О боже, выпускники Скиллбокса, похоже, начали трудоустраиваться. За день до отпуска (очень вовремя) приходит мне вот такое письмо:
Полез я значит в логи exim4, но там оказалось пусто. Проверил исходные файлы сайтов на этом сервере и тоже всё пусто – ни изменений за последние пару месяцев, ни новых файлов. Проверил сервер с помощью ClamAV – тоже всё чисто.
В попытках найти от куда валится спам решил всё-таки глянуть говно, которое мне прислали в виде вложения и охуел.
Во-первых, «спам» шлётся с домена, который направлен на сервер, но никак не привязан со стороны сервера.
Во-вторых, в писюле, что мамкины «специалисты по безопасности» из CERT-GIB прислали, ip-адрес моего сервера никак не фигурирует.
То есть пацаны обосрались с того, что кто-то использовал мёртвый домен в качестве отправителя корреспонденции. При этом:
– ящик с которого валился спам не существует
– почтовый сервер к данному домену не привязан
– у домена отсутствуют какие-либо разрешающие отправку со сторонних серверов DNS-записи, у него в принципе отсутствуют текстовые записи: DMARK, SPF и т.д.
– отправка ведется с ip, который нигде в DNS-записях не фигурирует
Мне тут только что предложили “Настроить спам-рассылки от FirstVDS, чтобы они заблокировали сами себя” – по-моему, отличная идея!
Вот это конечно совпало – так ярко блеснуть своим дебилизмом в день знаний. Я рекомендую пойти поучиться и Елене из FirstVDS и пацанам из GIB. У меня как раз предыдущий же пост был про email-рассылки, защиту от спама и всё вот это вот.
Сразу вспоминаются времена бурной молодости – больше 10 лет назад, когда я учился в Вышке, у нас был очень строгий преподаватель Татьяна Витальевна. В конце третьего модуля у нас был очень жесткий экзамен по макроэкономике. Весь поток ссался результатов этого экзамена. И вот, в намеченное время, Татьяна Витальевна не выслала результаты. Ну недолго думая, я решил сделать это за нее:
nano mail.php
<?php mail(‘econom-10-4@gmail.com’, ‘Результаты макроэкономика’, ‘Поздравлаяю! Завалили все. Удачи с отчислением’, 'From: bukina_tm@mail.ru' . "\r\n" . 'Reply-To: bukina_tm@mail.ru' . "\r\n" . 'X-Mailer: PHP/' . phpversion()); ?>
Ctrl + X php mail.php
Ох, как же знатно все присели на очко, после таких результатов – групповые чаты студентов (групп на потоке было аж 4 штуки) разрывались всю ночь. Спустя время, когда Татьяна Витальевна увидела «своё» письмо она тоже прихуела. Начали «вычислять» злоумышленника, повалились «угрозы», что уже «написано заявление в полицию и хакера очень быстро найдут», поэтому «лучше признаться по-хорошему». Жаль, что злоумышленника так и не нашли 😢
А я ведь даже не старался. Хрен с ним с ip отправителя, в свойствах письма даже был указан сайт, с которого проводилась отправка, а на нём – мои контакты. Наверное, Татьяне Витальевне следовало обратиться в GIB.
В те прекрасные времена, несмотря на то, что групповая почта у нас была на Gmail – у Гугла к такому явно фальсифицированному письму не возникло никаких претензий, оно даже в СПАМ не улетело.
Сейчас уже такого не провернуть. Любой популярный провайдер (а Gmail в первую очередь) отправляет в СПАМ или вообще отбрасывает входящую почту при малейшем подозрении. И это касается даже вполне себе «белых» рассылок. Об этом я как раз писал на прошлой неделе: https://t.me/low_digital/222
А для GIB у меня будет вот такой совет – вместо того, чтобы кукарекать направо и налево, закидывая провайдеров тысячами требований о блокировке, научитесь нормально настраивать почтовые сервера своим клиентам или нахуй не пользуйтесь self-hosted решениями, раз мозгов не хватает для их настройки – пусть ваш клиент (Банк ВТБ) заведет себе наконец-то почту на Яндексе.
Ни один провайдер электронной почты не пропустит подобный мусор, который был приведен в качестве примера в вашей жалобе:
– Отправка письма с несуществующего ящика: https://2ip.ru/mail-checker/
– Отправка письма с домена, не имеющего почтового сервера (отсутствуют MX-записи)
– Отправка письма с домена, не разрешающего отправку писем (отсутствуют SPF-записи)
– Письмо без DKIM-подписи
– Отправка с ip, который никак не связан с доменом (ip отправителя отсутствует в DNS-записях домена)
– Отправка с ip, находящегося в СПАМ-базах и блэклистах
