Email

Come cercare uno spambot nella propria rete

09 Ottobre 2013

Ti è mai successo di dover cercare nella tua rete uno spambot?
Oppure sei l’amministrator di un server MDaemon e hai notato che da qualche parte, in qualche modo, non si sa come, ci sono dei messaggi di spam che provengono dalla tua rete?


Stop spam


Questa è una mini guida per evitare di perdere ore e impazzire nel troubleshooting

Innanzi tutto, blindiamo il server MDaemon.
Accertati che sia abilitata l’opzione "Authentication is always required when mail is from local accounts", che si trova in Security -> Security Settings -> SMTP Authentication.
Assicurati di abilitare anche "Authentication credentials must match those of the email sender".
Infine, controlla che non sia abilitato il flag "Unless message is to a local account", per prevenire lo spam intra-dominio (fra utenti locali).

Fatto ciò, cerchiamo di capire se i messaggi di spam incriminati vengono da una sessione autenticata o meno.
Ti serve uno dei messaggi di spam: aprilo con un blocco note per vedere cosa dicono gli header della email.
Cerca la stringa "X-Authenticated-Sender". Dovresti trovare una riga del tipo:

X-Authenticated-Sender: SpammerUser@example.com

Se questo header è presente, allora l’account che vedi è quello che si è autenticato per mandare il messaggio di spam.
Cambia la password di questo account dal menu Account di MDaemon.
In questo modo, se anche il bot sta usando il client dell’utente, senza la nuova password non riuscirà più a spedire email.
Il passo successivo è investigare gli header Received cercando nei messaggi ricevuti dal server.
Un esempio di header è il seguente:

Received from computer1 (computer1@example.com) (192.198.1.121) by example.com (MDaemon PRO v13.5.3) with ESMTP id md50000000001.msg for < UserWhoWasSpammed@example.com >, Fri, 13 Sep 2013 21:00:00 -0800.

Ora cerca l’indirizzo IP usato per connettersi (192.198.1.121): questa è la macchina che invia lo spam.
A questo punto risolvi il problema con un buon antivirus/anti-malware.

Se invece il messaggio di spam non viene da una fonte autenticata o non viene da dentro la tua rete, è necessario localizzare il Message-ID e copiarlo in memoria. Un Message-ID di esempio è fatto così:

Message-ID: < 123.xyx.someone@example.net >
 

A questo punto apri i log di MDaemon, in particolare il log SMTP-IN che ha loggato le operazioni intorno all’orario in cui è stato ricevuto il messaggio (guardando il “timestamp” negli header) e in questo log cerca il Message-ID: lo trovi in corrispondenza di una risposta di tipo 250, al momento in cui il messaggio viene accettato:


Thu 2013-09-12 20:00:00: –> 250 Ok, message saved 123.xyx.someone@example.net

Osserva ora il punteggio spam e il DNSBL.
Infine, se il dominio è listato nei Trusted Hosts o nei  Trusted Domains (menu Security -> Security Settings -> Trusted Hosts), prova a rimuoverlo dalla lista.

Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)

Lascia un commento

Il tuo indirizzo e-mail non verrà pubblicato, lo utilizzeremo solamente per inviarti la notifica della pubblicazione del tuo commento. Ti informiamo che tutti i commenti sono soggetti a moderazione da parte del nostro staff.