Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Exchange Server » V. 2010 - Ваше SPF запись взломано.

Ответить
Настройки темы
V. 2010 - Ваше SPF запись взломано.

Аватара для merdzd

Старожил


Сообщения: 252
Благодарности: 5


Конфигурация

Профиль | Отправить PM | Цитировать


Изменения
Автор: merdzd
Дата: 29-11-2019
Доброго дня.
Иногда проскакивают письма аля:
Ваше устройство взломано
Скрытый текст
You can check it - I sent this message from your acc¬ount.

After that, I made a full dump of your disk (I have all your address book, history of viewing sites, all files, phone numbers and addresses of all your contacts).

This means that I have full acc¬ess to your device and acco¬unts. I've been watching you for a few months now.
The fact is that you were infected with malware through an adult site that you visited. If you are not familiar with this, I will explain.
Vi¬rus gives me full access and control your devices.
This means that I can see everything on your scr¬een, turn on the camera and microphone, but you do not know about it.
I also have access to all your contacts and all your correspondence.
Why your antivirus did not detect malware? answer: My malware uses the driver, I update its signatures every 4 hours so that your antivirus is silent.
I made a video showing how you satisfy yourself in the left half of the screen, and in the right half you see the video that you watched.

With one click of the mouse, I can send this vi¬deo to all your emails and contacts.
If you want to prevent this, transfer the amount of $771 to my bitcoin address
(if you do not know how to do this, write to Google: "Buy Bitcoin").
My bit¬coin address (BTC Wallet) is: 1Q2pVgd9YradB42risptr8tsydKrVDSD2A

С обратным почтовым адресом имени пользователя. но c чужого iP.

SPF запись такая: v=spf1 a mx ~all

A/AAAA - contoso.ru
87.242.71.188
MX - contoso.ru
mx20.contoso.ru - 222.34.39.255
mx30.contoso.ru - 42.229.131.255
email.contoso.ru - 222.34.39.255
email.contoso.ru - 42.229.131.255
email10.contoso.ru - 222.34.39.255


Замечено, что происходит когда какой то из MX серверов недоступен в сети.
На Exchange установлены настроены анти спам агенты.
SenderIDConfig Было:
SpoofedDomainAction : StampStatus
TempErrorAction : StampStatus
поменял на Reject
поможет?

Отправлено: 21:56, 20-11-2019

 

Ветеран


Сообщения: 2897
Благодарности: 597

Профиль | Отправить PM | Цитировать


Цитата merdzd:
SPF запись такая: v=spf1 a mx ~all
A/AAAA - contoso.ru
87.242.71.180
MX - contoso.ru
mx20.contoso.ru - 222.34.39.255
mx30.contoso.ru - 42.229.131.255
email.contoso.ru - 222.34.39.255
email.contoso.ru - 42.229.131.255
email10.contoso.ru - 222.34.39.255 »
Сейчас данные совсем другие, вы что-то поменяли за неделю?

-------
ПМ стираю не читая. Не пишите мне.


Отправлено: 16:57, 28-11-2019 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для merdzd

Старожил


Сообщения: 252
Благодарности: 5

Профиль | Отправить PM | Цитировать


Цитата Jula0071:
вы что-то поменяли за неделю? »
Это же не ральный домен contoso.ru
Ip адреса тоже.

Во всех заголовках принимающий сервер такого письма email.contoso.ru Это exchange 2007 c которого уже все (почти) мигрироввали на email10.contoso.ru exchange 2010.
А в гуглах в основном проблема именно с 2010 м exchange.
Но на exchange 2007 также включен SenderIDConfig:

Скрытый текст
SpoofedDomainAction : Reject
TempErrorAction : Reject
BypassedRecipients : {}
BypassedSenderDomains : {}
Name : SenderIdConfig
Enabled : True
ExternalMailEnabled : True
InternalMailEnabled : False
AdminDisplayName :


Поменял spf запись на -all вместо ~all

Ещё
test-senderid -ipaddress 129.89.160.219 -PurportedResponsibleDomain contoso.ru
RunspaceId : 1ea6722d-630a-4031-97e0-d8f1bac5cc97
Status : None
FailReason : None
Explanation :

Отправлено: 10:15, 29-11-2019 | #3


Аватара для merdzd

Старожил


Сообщения: 252
Благодарности: 5

Профиль | Отправить PM | Цитировать


Пока закручивал гайки от началась отбивка (email.contoso.ru #<email.contoso.ru #5.1.0 smtp; 554 5.1.0 Sender denied> #SMTP#) дружественной организации.
При том что их домен добавлен в BypassedSenderDomains : {ИХcontoso.сom}

Такое впечатление что SenderID вообще не работает корректно.

Отправлено: 11:12, 29-11-2019 | #4



Компьютерный форум OSzone.net » Серверные продукты Microsoft » Microsoft Exchange Server » V. 2010 - Ваше SPF запись взломано.

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Каждое двадцатое Android-устройство взломано OSZone News Новости информационных технологий 0 31-01-2016 15:30
V. 2007 - [решено] PTR и SPF записи iluffka Microsoft Exchange Server 1 01-02-2014 00:16
V. 2010 - SPF-записи и include old_nick Microsoft Exchange Server 2 16-07-2013 14:55
[решено] Отключенная учетная запись и запись с истекшим сроком действия. В чем разница? CaminoDeFlores Microsoft Windows NT/2000/2003 4 01-06-2009 09:30
Конвертирование графических файлов в SPF формат gera42 Хочу все знать 1 26-11-2003 04:09




 
Переход