2.19.3.9. Листи, що надходять від самого себе

Можуть зустрічатися ситуації, коли в поштові скриньки надходять підозрілі листи, де в якості відправника зазначена та ж скринька, куди прийшов лист. В таких листах найчастіше повідомляється, що поштову скриньку нібито зламано, і вимагаються гроші. Найбільш поширені причини подібних ситуацій:

Для визначення найбільш вірогідної і підходящої причини слід провести перевірку за всіма пунктами по черзі.

Увага!

Слід зробити всі перевірки незалежно від того, що саме найбільше підходить під ситуацію, що виникла.

Підміна відправника це дуже поширена ситуація, вирішення якої досить просте. Для доменного імені, в рамках якого проводиться відправка та одержання листів, потрібно налаштувати SPF та DMARC, щоб убезпечити себе та інших одержувачів від листів з підміною відправника.

Щоб визначити, хто саме відправив лист, перевірте його заголовки. У заголовках листа міститься вся необхідна інформація для аналізу. Зверніть увагу на сервери, зазначені в першому блоці Received: в рядку by, вони вказуються від низу до верху, починаючи від відправника і закінчуючи одержувачем. Важливо, що відправка з наших серверів завжди буде проводитися з одного з доменів default-host.net, і якщо такого немає, то листи були відправлені з підміною відправника.

Обов’язково перевірте точний збіг символів в імені одержувача і відправника. Іноді можуть зустрічатися ситуації з підміною деяких символів, які між собою візуально схожі. Наприклад, до таких символів можна віднести: 0 та O, I та l, і т. д. Також варто перевіряти наявність символів з інших мов, наприклад латинські символи можуть бути замінені кириличними, тобто: o та про і т. д. Якщо такі зміни є, скористайтеся фільтрами WebMail або чорним списком для блокування подібних відправників.

Несанкціонований доступ до поштової скриньки це досить велика проблема. Для її усунення виконайте наступне:

  1. Змініть пароль до зламаної поштової скриньки і до всіх наявних. Слід змінювати пароль до всіх поштових скриньок, так як через злом однієї скриньки цілком ймовірно, що може бути доступ і в інші, а зміна пароля для всіх скриньок стане превентивним заходом.
  2. Запустіть перевірку антивірусом всього акаунту. Якщо в рамках сайтів була налаштована відправка пошти за допомогою SMTP, то при зломі сайту цілком імовірний витік пароля від поштової скриньки. Також слід враховувати, що антивірус знаходить тільки знайдені раніше сигнатури вірусів. Якщо злом сайту було здійснено за допомогою нових, раніше не знайдених вірусів, то антивірус може не вирішити проблему. Також сайт може мати проблеми в безпеці, через що злом міг статися без видимих наслідків. Подібні ситуації слід перевіряти розробнику сайту, аналізуючи логи доступу до нього.
  3. Перевірте лог авторизаций в поштовій скриньці. Авторизації в поштовій скриньці можуть проводитися з IP-адрес хостингу, а також з IP-адрес, де налаштовані поштові клієнти для підключення до них. Але важливо розуміти, що якщо відправлення листів проводилася за допомогою скриптів сайту, то такий метод не допоможе визначити подібну проблему.

Якщо було помічено, що отриманий доступ до скриньки, то важливо перевірити також всі пристрої на наявність вірусів, а також використовувати зовсім інші паролі, так як пароль до поштової скриньки був як-то отриманий зловмисниками. Також рекомендуємо ознайомитися з корисними порадами щодо забезпечення захисту від злому.

При отриманні доступу до панелі керування хостингом буде також отримано доступ до поштових скриньок. Щоб зрозуміти, чи був отриманий доступ, перевірте наявність підозрілих спроб входу в обліковий запис у логу авторизаций. Безпека облікового запису повинна дотримуватися навіть якщо не було помічено спроб входу зі сторонніх адрес. Радимо ознайомитися і виконати рекомендації по захисту облікового запису.

Якщо є підозри, що доступ до облікового запису могли отримати сторонні, слід вжити відповідних заходів:

Зміст