Como o spammer falsificou emails com meu domínio do Google Apps (ele ainda possui DKIM!)

11

Ultimamente tenho recebido muitos retornos.

Achei que minha conta do Google Apps foi comprometida, mas não há atividade em minha conta de aplicativos e certamente não há usuários maliciosos que eu possa ver.

Como o email sempre é enviado de algum nome de usuário aleatório (por exemplo, onSecNtV1@mydomain.com), tentei encontrar uma maneira de impedir o envio de emails de usuários não registrados. Não consegui encontrar nada.

O que me preocupa é que a mensagem tenha uma assinatura X-Google-DKIM e diga "O Google tentou entregar sua mensagem". Isso significa que os emails são originários de meus clientes confiáveis? (Só uso o gmail)

Os spammers AFAIK são livres para falsificar todos os campos do email, mas o DKIM deve fazer com que os servidores (modernos) descartem esses emails não verificáveis.

Alguma idéia de onde está o vazamento?

Aqui está um exemplo de recuperação:

Delivery to the following recipient failed permanently:

     spoonbillzi7@etisbew.com

Technical details of permanent failure: Google tried to deliver your
message, but it was rejected by the server for the recipient domain
174.133.125.2 [174.133.125.2].

The error that the other server returned was: 553 sorry, that domain
isn't in my list of allowed rcpthosts; no valid cert for gatewaying
(#5.7.1)

----- Original message -----

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=google.com; s=20120113;
        h=x-received:x-received:received-spf:mime-version:date:message-id
         :from:to:subject:content-type:content-transfer-encoding
         :list-unsubscribe:x-gm-message-state;
        bh=l2RiLiEDvrHgBMSAjtLmNgIpmW4D1EFAIr3O42oBysM=;
        b=UBSW90YcP4Fu1vDLnvGCp06XEE5+FOAUR62qSnQrnaPcsKWJSdFT7x7XSU2+vHrpTI
         RaN4pHJWlaMHqtAUoMFE0T9hgBj0blZnNMDtMRFkcU4QD0E/QNw6VIQlAjWGOWvXghMc
         G+SX+YLugnQEWS6tG6guf1hF31XoB4a2HxvxQO4J+lWNLg60LaS7K4DiUr4yG25mvXBU
         uy+tXqjLKyZgA9jmvyVvBKeRYVwMIWvscJ26yw17K7LRfGZkAXzuvTVyGMuLUzthj5c5
         MSNZOG6u5faxtzdBkGRiNQVarq3IsXBuXcxk1vRiUktbM8OIhm2D4IrvhmTPrDF4yyTz
         EHhw==
X-Received: by 10.50.37.239 with SMTP id b15mr4892361igk.69.1360854627245; Thu, 14 Feb 2013 07:10:27 -0800 (PST)
X-Received: by 10.50.37.239 with SMTP id b15mr4892357igk.69.1360854627177; Thu, 14 Feb 2013 07:10:27 -0800 (PST)
Return-Path: <onSecNtV1@mydomain.com>
Received: from [117.201.44.87] ([117.201.34.157]) by mx.google.com with ESMTP id vx6si33676538igb.26.2013.02.14.07.10.25; Thu, 14 Feb 2013 07:10:26 -0800 (PST)
Received-SPF: neutral (google.com: 117.201.34.157 is neither permitted nor denied by best guess record for domain of onSecNtV1@mydomain.com) client-ip=117.201.34.157;
Authentication-Results: mx.google.com; spf=neutral (google.com: 117.201.34.157 is neither permitted nor denied by best guess record for domain of onSecNtV1@mydomain.com) smtp.mail=onSecNtV1@mydomain.com
MIME-Version: 1.0
Date: Thu, 14 Feb 2013 20:40:29 +0530
Message-ID: <B23FC935D84FBB6D39DD9BDCC44CD2.176.3699432888759@D>
From: "Valetine's Day" <onSecNtV1@mydomain.com>
To: spoonbillzi7@etisbew.com
Subject: I will be excited if you are my Valetine
Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:E7E740C2663A5B2B9D18@missinyou.com>
X-Gm-Message-State: ALoCoQkVcAw4pG/8g2x1C02KHf4lLkBdJ4iLe9r1ZeGlGE1AwtZEQm5VsHh9tNmG04yH2ahWqXnIiKu7DrTf7j6bLHEaF0l0AMhrC6ZvnyJTUr4n+9TKMieQPycP0Pw8sCJ8DELiMNlLI/CGbgQ1ObMLghXauZTeqg==

----- End of message -----
security  email  g-suite  email-bounces  dkim 
Sam
fonte

Respostas:

4

Verifique se você não tem o endereço abrangente ativado para sua conta do Google Apps. Caso contrário, você receberá toneladas de coisas aleatórias. http://support.google.com/a/bin/answer.py?hl=pt_PT&answer=33962

Não se preocupe com a assinatura X-Google-DKIM (ou com qualquer outro cabeçalho anexado ao X- em geral), este é específico ao Gmail e não é uma assinatura DKIM real para o seu domínio. Se você deseja configurar um, consulte o seguinte artigo: http://support.google.com/a/bin/answer.py?hl=pt_BR&answer=174124

Ilya Zakreuski
fonte
1
Você está correto. A assinatura X-Google-DKIM está contida em todos os emails do gmail / apps. Existe um cabeçalho DKIM-Signature separado para o meu próprio DKIM. Então, no geral, acho que não é minha culpa, pois o destinatário deveria ter descartado a mensagem.
19413 Sam
3

A rejeição não está relacionada ao DKIM, mas ao destinatário. Mas por que os servidores de e-mail do Google tentam fornecer MXs errados? Não faz sentido para mim. O sistema do destinatário pode estar configurado incorretamente, é claro. Os endereços dos destinatários com falha têm o mesmo MX?

Outra coisa: você verificou a assinatura DKIM? Talvez seja apenas um texto com aparência técnica ...

Hauke ​​Laging
fonte
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.