Постоянно приходят отчеты с почтового сервера о недоставленном письме (письма не отправлялись на самом деле)
Добрый день.
Знакомая жалуется на то, что ей часто стали последнее время приходить отчеты от почтовой системы о недоставленнных письмах.
При это она утверждает, что письма она не отправляла.
В почтовой программе их действительно нет.
Запросил логи у администратора почтового сервера (это рабочая почта, которая крутится на своем домене).
Прислали.
Отправка писем на указанные дату и время действительно была.
Просканировал компьютер с помощью cureit. Что-то он нашел, поудалял.
Поменял пароль на почту, сгенерировав достаточно сложный.
Через некоторое время снова стали падать отчеты о недоставленных письмах.
Причем происходит это достаточно редко, но это раздражает. Да и хочется разобраться, в чем же все же дело.
Письма от почтового сервера приходят вида:
This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed: [email protected]
retry timeout exceeded
This message was created automatically by mail delivery software.
A message that you sent has not yet been delivered to one or more of its recipients after more than 48 hours on the queue on relaysrv.wplus.net.
The message identifier is: 1agRHM-0003lj-U7
The subject of the message is:
=?windows-1251?B?zeUg7/Du9/Ll7e46IM7y4uXy8fLi5e3t7vHy/CDv7iAyNzUg1Mc=?=
The date of the message is: Thu, 17 Mar 2016 09:19:38 +0300
The address to which the message has not yet been delivered is: [email protected]
No action is required on your part. Delivery attempts will continue for some time, and this warning may be repeated at intervals if the message remains undelivered. Eventually the mail delivery software will give up, and when that happens, the message will be returned to you.
Решил обратится за помощью сюда, собранные логи прикладываю.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) shwedd, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Там небольшой офис, собственного постоянного системного администратора нет.
Почтовый сервер от провайдера.
Проблема на одном компьютере.
Что то явно рассылает письма.
При этом в отчете почтового сервера фигурирует версия почтовой программы и она явно совпадает с установленной на компьютере.
Странно.
Получается, вирус (если это вирус), отправляет письмо через аутлук, а затем его в аутлуке удаляет?
Можно ли поставить какую-либо программу для записи в лог действий аутлука?
- - - - -Добавлено - - - - -
Есть ли нормальный декодер с base64?
Просто есть пара почтовых отчетов, в которых фигурирует текст исходного письма.
Хотелось бы понять, что там написано.
Попробовал http://base64.ru/ и http://foxtools.ru/Base64 - очень многое осталось недекодированным.
Последний раз редактировалось shwedd; 21.03.2016 в 12:58.
Есть ли нормальный декодер с base64?
Просто есть пара почтовых отчетов, в которых фигурирует текст исходного письма.
Хотелось бы понять, что там написано.
Попробовал http://base64.ru/ и http://foxtools.ru/Base64 - очень многое осталось недекодированным.
Тут речь идет о небольшой организации.
Своего постоянного системного администратора у них нет.
Но при этом проблема только на этом компьютере.
Я не знаю, что может сделать администратор почтового сервера.
Но в одном из отчетов почтового сервера фигурирует версия почтовой программы на данном компьютере - и она совпадает.
Такое ощущение, что вирус (если это вирус) отравляет письма через аутлук и тут же их удаляет.
Можно как то журналировать действия аутлук по отправке/приему сообщений?
Также может ли кто то подсказать нормальный декодер с base64?
ПРосто в паре писем есть текст оригинального рассылаемого письма, хотелось бы понять, что там внутри.
Пробовал http://base64.ru/ и http://foxtools.ru/Base64 - остается куча закорючек и толком не понятно, что же было написано.
В base64 почтовый сервер при отлупе отсылает часть текста закодированного письма, его декодирование мало что даст. Попробуйте https://www.base64decode.org/
Отправить письмо от имени пользователя есть множество способов - и не через Outlook, и с другого компьютера, и вовсе даже с любого места из интернета. Зависит от настроек почтового сервера той организации.
И более того, можно отправить письмо от имени того пользователя вовсе не зная его пароля, через совершенно другой почтовый сервер, который позволяет такое. А отлупы будут приходить, опять же, этому как бы отправителю. Поэтому я и написал, что без сисадмина тут проблему не решить, скорее всего.
Пользователь может сменить свой пароль на почту? Если да - пусть так и сделает, если проблема не исчезнет, это хотя бы сузит круг поиска.
Хорошо, лог сделаю.
Пароль на почту меняли.
Насчет того, что по сути любой может отправить электронное письмо от чьего-либо имени - прекрасно понимаю.
Но дело то в том, что:
1. Указан ip-адрес правильный, т.е. письмо действительно уходит с компьютера, принадлежащего организации.
2. В служебной информации указана версия outlook, через которое письмо было отправлено, и она совпадает с установленной на компьютере пользователя (2007)