SPAM, Virus o “Hack” della password? Come verificare

ATTENZIONE
Questo articolo non è strettamente legato al Kerio® Connect

Spesso capita che si vanga chiamati dal cliente che urla al virus in quanto riceve delle mail di “spam” da se stesso e riceve segnalazioni che ha inviato queste mail ad altri.

Poniamo un esempio, in questi giorni, 16/17 Aprile 2012, stanno arrivando delle mail dove il mittente è il nostro indirizzo di posta, sono indirizzate a noi stessi e ad altri indirizzi di colleghi.
La prima cosa che uno può pensare è ad un virus o che la nostra password sia stata trovata e usino il nostro account per inviare mail, seppure queste due considerazioni siano plausibili sono completamente sbagliate!

Chiunque al mondo può inviare mail a nostro nome, basta avere un server di posta che non sia in blacklist o in spam list, bastano infatti pochi comandi o una semplice configurazione del client di posta per inviare le mail a nome di altri.

Ma come possiamo capirlo?!?!

Ci sono due metodi, uno è quello di leggersi i Log e di verificare da chi sia arrivata la mail in questione l’altro molto più veloce è quello di leggersi l’header delle mail, basta selezionare il messaggio e “visualizzarne l’origine” c’è una opzione apposta in ogni client di posta, e avremo questo risultato:

Return-Path:
X-Envelope-To: info@coretech.it, helpdesk@coretech.it
X-Spam-Status: No, hits=0.0 required=5.9
tests=BAYES_40: -0.276,HTML_MESSAGE: 0.001,MIME_HTML_ONLY: 0.001,
RDNS_NONE: 0,UNPARSEABLE_RELAY: 0.001,TOTAL_SCORE: -0.273,autolearn=ham
X-Spam-Level:
Received: from [200.110.193.232] ([200.110.193.232])
by mail.coretech.it (Kerio® Connect 7.3.1);
Mon, 16 Apr 2012 18:50:21 +0200
Received: from 200.110.193.232(helo=nidzvpzk.uysifuua.org)
by with esmtpa (Exim 4.69)
(envelope-from )
id 1MM329-4849rv-TN
for info@coretech.it; Mon, 16 Apr 2012 13:48:57 -0300
From: ,
To: ,
Subject: =?windows-1252?B?UG90ZXRlIGd1YWRhZ25hcmUgMjAwIGV1cm8gYWwgZ2lvcm5vIGluIHBp+S4=?=
Date: Mon, 16 Apr 2012 13:48:57 -0300
MIME-Version: 1.0
Content-Type: text/html
charset="Windows-1252"
X-Priority: 3
X-Mailer: tdjbejo.52
Message-ID:
Content-Transfer-Encoding: quoted-printable

Come possiamo notare dalla prima riga, il Return-Path: corrisponde al’indirizzo di qualcun’altra, ed è l’indirizzo a cui arrivano le eventuali risposte a questa mail, seguono i destinatari della mail, i vari score per determinare se la mail è spam e poi quello che ci interessa:

Received: from [200.110.193.232] ([200.110.193.232])
by mail.coretech.it (Kerio® Connect 7.3.1);
Mon, 16 Apr 2012 18:50:21 +0200
Received: from 200.110.193.232(helo=nidzvpzk.uysifuua.org)
by with esmtpa (Exim 4.69)
(envelope-from )
id 1MM329-4849rv-TN
for info@coretech.it; Mon, 16 Apr 2012 13:48:57 -0300
From: ,

Come possiamo vedere questa mail è stata ricevuta dal server con IP: 200.110.193.232 che si chiama nidzvpzk.uysifuua.org ed è un Exim 4.69
e come mittente ha messo il nostro dominio di posta.
Ma è evidente che non siamo noi ad inviare le mail, e perché allora si usano questi escamotage?!?!
Semplicemente perché solitamente il proprio dominio viene inserito in whitelist.
Una volta che abbiamo individuato qua è il server che ci invia lo spam, possiamo:
1) tranquillizzare gli utenti che non sono loro ad inviare le mail, non hanno preso nessun virus, ma sopratutto non hanno trovato la password del’account!
2) bloccare l’indirizzo IP del server in questione mettendolo in blacklist.