这个垃圾邮件来自我的服务器吗?

2

我注意到我的雅虎帐户中有一些交付错误,它提到了我的一些数据/电子邮件/服务器: 

h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
adriantnt333@yahoo.com - my yahoo account where I found this message
adriantnt333@gmail.com - my gmail address

我不知道这个垃圾邮件是否来自我的服务器 h2.adriantnt.com 或者它只是一个假的反弹。

我在雅虎帐户中发现这一点非常奇怪,从我记忆中来看,我在这台服务器和我的雅虎电子邮件之间没有关联。

完整邮件标题: 

From MAILER-DAEMON@h2.adriantnt.com Fri Jul 31 04:31:05 2015
X-Apparently-To: adriantnt333@yahoo.com; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
 ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
 r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
 q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
 RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
 QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
 KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
 TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
 lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
 M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
 5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
 NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
 7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
 nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
 8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
 Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
 qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
 TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
 j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
 Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
 uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
 tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
 AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
 xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
 _4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
 0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com  from=h2.adriantnt.com; domainkeys=neutral (no sig);  from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1  (EHLO h2.adriantnt.com) (176.9.76.194)
  by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: MAILER-DAEMON@h2.adriantnt.com
To: adriantnt333@yahoo.com
Subject: failure notice
Content-Length: 5935

电邮内容 http://pastebin.com/yW4cLJ53

我附加了它^因为它包含不受此SuperUser文本字段支持的亚洲字符

其中我看到了

Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)

这是一个有效的Facebook IP,是从Facebook界面发起的消息吗?

email  spam-prevention  headers 
adrianTNT
source

Answers:

3

我不知道这个垃圾邮件是否来自我的服务器

消息来自您的服务器 176.9.76.194。然而,这是一个“反弹”消息而不是垃圾邮件。

这意味着有人试图将您的“来自地址”的电子邮件发送到不存在的“收件人”地址并将其退回。

有两种可能性:

  1. 您的服务器已被黑客攻击,原始邮件来自您的服务器。

  2. 有人用你的“来自”地址伪造了这封电子邮件。

    垃圾邮件发送者一直这样做,大多数电子邮件标题都很容易伪造。

    • “来自:”地址

    • 一些“Received:”标题也可以伪造。

      SMTP邮件欺骗 显示使用开放(不安全)中继邮件服务器可以轻松完成此操作。

但是,完整消息的pastebin副本说:

你好。这是h2.adriantnt.com上的qmail-send程序。   我担心我无法将您的信息发送到以下地址。   这是一个永久性错误;我已经放弃了。对不起它没有用。

送货地址是 adriantnt333@gmail.com

所以看起来你的qmail服务器已被泄露,因为它告诉你它无法传递邮件(表明它试图首先发送它)。

它无法传递,因为gmail认为它是垃圾邮件: 

Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2      12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1  https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp

更新

根据聊天邮件中的对话 adriantnt.com 自动转发到Gmail。

最可能的解释是收到伪造电子邮件的反弹 adriantnt.com,转发到gmail然后被gmail拒绝为垃圾邮件。

这解释了上面的qmail消息。

什么是退回邮件?

在Internet的标准电子邮件协议SMTP中,退回邮件(也称为未送达报告/收据(NDR)),(失败)传递状态通知(DSN)邮件,未送达通知(NDN)或仅仅是退回,是来自邮件系统的自动电子邮件消息,通知发件人有关传递问题的另一条消息。据说原始消息已经反弹。

邮件传递中的多个位置可能发生错误。发件人有时可能会收到来自他们自己的邮件服务器的退回邮件,报告说它无法发送邮件,或者收件人的邮件服务器报告虽然它已接受邮件,但它现在发现它无法送达 - 当服务器时接受邮件传递,它也接受在交付失败时交付DSN的责任。

由于各种原因,特别是伪造的垃圾邮件和电子邮件病毒,用户可能会收到错误的退回邮件,以响应他们从未实际发送过的邮件。

资源 弹跳消息

如何分析电子邮件标题?

有许多工具可以分析电子邮件标题,其中一些可以显示链中的任何IP地址是否在垃圾邮件黑名单中。

这些工具还可以判断链中是否有任何“已接收:”标题是伪造的。

MxToolbox电子邮件标题分析器

将您的电子邮件标头提供到此工具会产生以下输出:

enter image description here

进一步阅读

DavidPostill
source
在我的初始帖子中你可以看到 adriantnt333.com,这是一个错误,包括find-and-replace,域名实际上是 adriantnt.com,我希望这不会造成混乱。查找和替换用于更改/保护实际的电子邮件地址。
adrianTNT
@adrianTNT感谢您的澄清,但它对分析或答案没有任何影响;)
DavidPostill
谢谢。我会*标记它。在这条消息中,它到达了我的雅虎和gmail帐户(完全相同的用户名),你认为这表明更有可能是伪造的消息吗?我想确保我的服务器没有受到损害。除此之外,Yahoo和Gmail都无法将有效的退回邮件发送回此服务器。
adrianTNT
@adrianTNT反弹将转到发件人地址。它看起来像垃圾邮件,垃圾邮件发送者从地址中伪造了许多垃圾邮件,并且碰巧包含了两个垃圾邮件。我不能确定你的邮件服务器没有受到损害......我不这么认为,但我不想提供任何保证......你应该检查服务器的出站邮件日志......
DavidPostill
谢谢,我也会查看日志。仔细观察,我发现它包含了我的第三个地址,即adriantnt333@adriantnt.com(与gmail和yahoo同名)。刚刚从Qmail切换到PostFix几个小时前,不知道我留下了什么日志。
adrianTNT
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.