Programador PHP freelance

Buscando el origen del spam en las notificaciones (parte II)

En el post anterior hemos llegado a ver la cola de correo de nuestro servidor y con ella hemos confirmado que tenemos un problema. Hay spam en ella y no deberíamos permitir que el email saliera del servidor hasta que la limpiemos. Pero no adelantemos acontecimientos.

Vamos a analizar lo que nos dicen los emails que nos ha enviado el servidor.

Hi. This is the qmail-send program at programadorphp.ovh.net.
I tried to deliver a bounce message to this address, but the bounce bounced!

<ana.tucovic@yahoo.com>:
66.196.118.34 failed after I sent the message.
Remote host said: 554 Message not allowed – [299]

— Below this line is the original bounce.

Si analizamos el principio del email que nos envía nuestro servidor podremos leer que no es capaz de hacer llegar los mensajes de error a la dirección de origen ana.tucovic@yahoo.com, y no es de extrañar. No existe. Además no tiene sentido que nuestro servidor envíe con ese from.

A continuación sigue la parte que se corresponde con cada uno de los destinatarios. Pego sólo un trozo.

Hi. This is the qmail-send program at programadorphp.ovh.net.
I’m afraid I wasn’t able to deliver your message to the following addresses.
This is a permanent error; I’ve given up. Sorry it didn’t work out.

<dr.no@sbb.rs>:
89.216.2.3 does not like recipient.
Remote host said: 550 5.1.1 <dr.no@sbb.rs>… No such local user here
Giving up on 89.216.2.3.

<dr.vesnaglisic@gmail.com>:
64.233.167.27 failed after I sent the message.
Remote host said: 550-5.7.1 Unauthenticated email from yahoo.com is not accepted due to domain’s
550-5.7.1 DMARC policy. Please contact administrator of yahoo.com domain if
550-5.7.1 this was a legitimate mail. Please visit
550-5.7.1 http://support.google.com/mail/answer/2451690 to learn about DMARC
550 5.7.1 initiative. bq7si6693229wjb.180 – gsmtp

Para cada dirección destino encontramos una razón por la que el mensaje no puede ser entregado.

El siguiente bloque del email se corresponde con el mensaje en sí.

— Below this line is a copy of the message.

Return-Path: <ana.tucovic@yahoo.com>
Received: (qmail 2210 invoked from network); 5 Feb 2015 16:59:19 +0100
Received: from nat-178-215-104-218.speedyline.ru (HELO dominiodemiamigo.com) (178.215.104.218)
  by 23-f.com with ESMTPSA (DHE-RSA-AES256-SHA encrypted, authenticated); 5 Feb 2015 16:59:19 +0100
Message-ID: <2C70BDFD1070363A79C2BCB8C0D8347E@dominiodemiamigo.com>
From: “ana.tucovic” <ana.tucovic@yahoo.com>
To: “dr trajkova” <dr.trajkova@maill.com>, “dplavi81” <dplavi81@yahoo.com>,
 “dr vekoslav” <dr.vekoslav@gmail.com>, “dr danko” <dr.danko@eunet.rs>,
 “dr boca” <dr_boca@eunet.rs>, “dr s djukanovic” <dr.s.djukanovic@gmail.com>,
 “dr no” <dr.no@sbb.rs>, “dr mare” <dr.mare@medianis.net>,
 “dr adzic” <dr.adzic@verat.net>, “dr vesnaglisic” <dr.vesnaglisic@gmail.com>
Subject: =?ISO-8859-1?Q?ana.tucovic=40yahoo.com?=
Date: Wed, 5 Feb 2015 04:59:15 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary=”—-=_NextPart_000_7068_187969EE.2236F89D”
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110

This is a multi-part message in MIME format.

——=_NextPart_000_7068_187969EE.2236F89D
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

Se puede destacar la siguiente línea:

Received: from nat-178-215-104-218.speedyline.ru (HELO dominiodemiamigo.com) (178.215.104.218)
  by programadorphp.es with ESMTPSA (DHE-RSA-AES256-SHA encrypted, authenticated); 5 Feb 2015 16:59:19 +0100

Si la analizamos veremos que el received  se ha realizado by programadorphp.es que es mi servidor, es decir la entrega del email se describe en esta línea y además nos dice quien la hace, la IP 178.215.104.218 que además va relacionada con el siguiente host de Rusia: nat-178-215-104-218.speedyline.ru. Sospechoso, no?

Al final la clave está en que en esta entrega o conexión el cliente de email debe de comunicarle al servidor SMTP el dominio sobre desde el que se opera y aquí vemos que el origen del problema está en una cuenta del dominio dominiodemiamigo.com. La web de un amigo 😉

Analizo más notificaciones de las que me ha enviado el sistema y en todas confirmo que la llamada HELO  siempre hace referencia a dominiodemiamigo.com aunque sí que puedo detectar variaciones en los servidores que hacen de from. Esto me hace pensar que han comprometido la contraseña de alguna de las cuentas y que el envío de spam se está realizando desde otro ordenador que no el suyo. Es una suposición.

Received: from javelin.croquet.volia.net (HELO dominiodemiamigo.com) (93.73.227.135)
  by domuspc.com with ESMTPSA (DHE-RSA-AES256-SHA encrypted, authenticated); 6 Feb 2015 00:33:38 +0100

Received: from 94.76.69.132.freenet.com.ua (HELO dominiodemiamigo.com) (94.76.69.132)
  by dominiodemiamigo.com with ESMTPSA (DHE-RSA-AES256-SHA encrypted, authenticated); 6 Feb 2015 00:25:45 +0100

Pues lo siguiente es cambiarle las contraseñas de las cuentas de email a mi amigo y llamarle para decirle que ha sido premiado y que seguramente tiene algún ordenador infectado con algún gusano que ha conseguido extraer la contraseña del correo.

Esto se vuelve a hacer largo. Si te interesa saber como acaba, sigue leyendo en el siguiente post.