tomnolane
@tomnolane
профессиональный разработчик

Зачем подделывать и как защититься от чужой рассылки писем от моего домена?

Доброго времени суток тостерчане и тостерчанки!
Суть: есть домен мойдомен.ru. Есть траффик на него: около 30000-40000 посетителей в сутки. Сайт предоставляет бесплатно посреднические услуги. В своей нише он занимает второе место в России. Есть платная реклама и естественно есть массовая рассылка HTML-писем по email пользователям сайта от mail@мойдомен.ru
В субботу появился некто, кто стал рассылать от моего домена, но как nosup@мойдомен.ru и рассылать по тематике никак не связанной с моим сайтов - что-то про биткоины. Доступ к почте осуществляется через mail.ru взлом пароля небыло, MiTM тоже.
И соответственно два вопроса: зачем подделывать мой домен и писать про биткоины? (знаю про элементарную подмену заголовков на php) но в целях массовой рассылки?
И второй: как можно запретить такое?
  • Вопрос задан
  • 2133 просмотра
Решения вопроса 3
@neol
Дополню предыдущие ответы.
  • если будете использовать SPF, то с ~all, а не -all (в статьях часто рекомендуют второе), иначе огребёте проблем с пересылкой ваших писем.
  • DKIM и DMARC - обязательно. SPF с жёстким запретом отправки с других хостов без DKIM сделает только хуже, а без него просто не работает.
Ответ написан
tomnolane
@tomnolane Автор вопроса
профессиональный разработчик
ответ от сервиса, предоставляющие массовую рассылку
Сообщаю. была найдена в блочном редакторе XXS уязвимость. У нас работает Wallarm https://wallarm.com/ и мы платим им постоянно за его работу.
Произошла SQL инъекция, и Wallarm ее не заметил.
Злоумышленник смог добавить в свой аккаунт через нее подтвержденные адреса ( и на вашем домене в том числе) и поставить себе большой кредитный лимит, а так же изменил уровень попадания на модерацию до full trust ( то есть мы не проверяем никогда, кроме spam trap адресов ).
В ночь, когда работает только один сотрудник ( так как больше не требуется ) злоумышленник зарегистрировал аккаунт на сервисе esputnik , там разместил html файл с редиректом на сайт vsegdaplus.ru . Потом он зашел в свой аккаунт с не его подтвержденными адресами и включенным огромным кредитным лимитом и малыми партиями всю ночь до утра слал письма, всего ушло 1,9 млн трафика от 5ти разных доменов. Все одной тематики.

Как мы "залатали": уязвимость найдена и закрыта.
В перечне действий по такому ручному внесению адреса в подтвержденные не для staff аккаунтов установлен блокиратор + уведомление аларм на группу админов.
В Wallarm открыт кейс на расследование по инциденту, так как это их работа выявлять и закрывать нас от таких взломов.
Полученные данные по IP адресам взлома, по домену, на котором располагался вредоносный код и который был использован для инъекции, и другие данные - все поданы в юридический отдел для соответствующей подачи заявления в киберполицию.
Ответ написан
Комментировать
Akdmeh
@Akdmeh
PHP, Yii2, Music
Может конкуренты решили насолить.
Читаем следующее:
https://habrahabr.ru/company/cbs/blog/314738/
https://ru.wikipedia.org/wiki/Sender_Policy_Framework
https://habrahabr.ru/post/270159/
https://yandex.ru/support/pdd/set-mail/spf.html - вот на это обратите внимание.

Гуглите SPF и изучайте редактирование DNS-записей. Вы не сможете полностью защитится от подделок, но для большинства почтовых клиентов это будет сильно ограничивать возможности подобных подделок
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы