Se sei l'amministratore MDaemon della tua azienda potresti aver notato messaggi spam che in qualche modo vengono spediti dall'interno della tua rete.
Ti è mai capitato? Forse uno dei tuoi PC è stato compromesso.
Se non sai da che parte cominciare ecco qui alcuni suggerimenti per aiutarti a identificare e risolvere il problema.

Per prima cosa assicurati di aver abilitato l'opzione Authentication is always required when mail is from local accounts (Security -> Security Settings ->SMTP Authentication).
Abilita anche Credentials used must match those of the return-path address e Credentials used must match those of the From header address.

In ultimo accertati che non sia stata selezionata l'opzione unless message is sent to a local account in modo da prevenire lo spam intra-dominio (tra utenti del dominio locale).
 
 

Il passo successivo è quello di capire se lo spam venga spedito attraverso una sessione autenticata.
Per fare questo recupera uno dei messaggi spam e aprilo con Notepad per visualizzarne gli header (oppure aprilo all'interno di Queue & Statistics Manager).
Se visualizzi un elemento che somiglia a questo:
 
X-Authenticated-Sender: SpammerUser@example.com
 
Significa che il messaggio possiede un header X-Authenticated-Sender e l'utente ha autenticato l'invio del messaggio.

La prima cosa da fare in un caso del genere è modificare la password del relativo account attraverso il menu Accounts di MDaemon.

Anche se lo spam passa attraverso il client di posta dell'utente, le credenziali di autenticazione saranno rifiutate e lo spamming risulterà temporaneamente sospeso fino a quando l'utente non riceverà la nuova password con cui aggiornare il client stesso.

Nelle versioni di MDaemon più recenti è stata aggiunta la funzione Account Hijack Detection che disabilita automaticamente un account che invii un numero predeterminato di messaggi in uscita attraverso una sessione autenticata entro un certo periodo di tempo.

Il consiglio è quello di abilitare questa funzione: in MDaemon si trova sotto Security -> Security Settings -> Screening -> Hijack Detection.
 
 

A questo punto bisogna controllare gli header Received. Trova quello che indica che il messaggio è stato ricevuto dal tuo server. Un header del genere può avere questo aspetto:
 
Received from computer1 (computer1@example.com (192.198.1.121) by example.com (MDaemon PRO v17) with ESMTP id md50000000001.msg for ,
Fri, 13 Sep 2016 21:00:00 -0800

Trova l'indirizzo IP che si è connesso (192.198.1.121 nell'esempio qui sopra): esso corrisponde alla macchina che ha inviato lo spam.
Trovato il colpevole?
A quel punto puoi andare sulla macchina per affrontare direttamente il problema dello spambot.

Se invece il messaggio non era autenticato o non è stato spedito dalla tua rete locale, vai all'header Message-ID e copia il relativo valore:
 
Message-ID: <123.xyx.someone@example.net>
 
Dopodiché apri il log SMTP-IN di MDaemon nel punto corrispondente all'orario in cui il messaggio è stato ricevuto da MDaemon (in base al timestamp che trovi nell'header Received) e cerca il Message-ID (nella linea del codice di risposta 250 che viene prodotta all'accettazione del messaggio):
 
Thu 2016-09-12 20:00:00: –> 250 Ok, message saved <123.xyx.someone@example.net>> 
 
Verifica il resto della transazione e controlla il motivo per cui il messaggio è stato accettato/non rifiutato: punteggio SPAM, DNSBL ecc.
Infine, se il tuo dominio esterno è presente nell'elenco Trusted Host (Security -> Security Settings -> Trusted Hosts), prova a rimuoverlo dalla lista.

Se questa mini-guida ti è stata di aiuto, faccelo sapere!

Tratto dal blog MDaemon.


Condividi sui Social Network