4.4.10. Письма от самого себя

Могут встречаться ситуации, когда в почтовые ящики приходят подозрительные письма, где в качестве отправителя указан тот же почтовый ящик, куда пришло письмо. В таких письмах чаще всего сообщается, что почтовый ящик был якобы взломан, и вымогаются деньги.

Наиболее распространённые причины таких ситуаций:

Для определения наиболее вероятной причины следует проверить все пункты по очереди. Для надёжности лучше проверять все пункты, а не только тот, который больше всего подходит под ситуацию.

Подмена заголовка «From»

Подмена адреса отправителя письма это распространённая ситуация, которая решается довольно просто. Для домена, в пределах которого выполняется отправка и получение писем, нужно настроить SPF и DMARC. Это обезопасит владельца этого домена и других получателей от писем с подменой отправителя.

Чтобы определить, кто именно отправил письмо, проверьте его заголовки. В заголовках содержится вся необходимая информация для анализа. Обратите внимание на сервера, которые указаны в первом блоке Received: в строке by, они указываются снизу вверх, начиная от отправителя и заканчивая получателем. Важно, что отправка с наших серверов всегда будет выполняться с одного из доменов default-host.net, и если такового нет, то письма были отправлены с подменой отправителя.

Обязательно проверьте точное совпадение символов в имени получателя и отправителя. Иногда могут встречаться ситуации с подменой некоторых символов, которые между собой визуально схожи, например: 0 и O, I и l, и т. д. Также стоит проверять наличие символов из других языков, например латинские символы могут быть заменены кириллическими: o и о, и т. д. Если обнаружена такая подмена, воспользуйтесь чёрным списком или фильтрацией писем в WebMail.Online и WebMail classic для блокировки таких отправителей.

Несанкционированный доступ

Почтовый ящик

В случае несанкционированного доступа в почтовый ящик выполните следующее:

  1. Измените пароль к взломанному почтовому ящику и ко всем остальным. Пароль лучше менять ко всем почтовым ящикам, так как из-за взлома одного почтового ящика вполне вероятно, что мог быть получен доступ и к остальным. Изменение пароля для всех почтовых ящиков станет превентивной мерой.
  2. Запустите антивирусное сканирование всего содержимого хостинг-аккаунта. Если на сайтах была настроена отправка почты по SMTP, то при взломе сайта велика вероятность утечки пароля почтового ящика. Стоит учитывать, что антивирус находит только те вирусы, сигнатуры которых есть в его базе. Если при взломе использовались новые вирусы, о которых антивирус ещё не знает, то сканирование может не обнаружить угрозы. Кроме того, сам сайт может иметь проблемы в безопасности, из-за чего взлом мог произойти без видимых последствий. Решение таких ситуации находится в компетенции разработчика сайта. В анализе могут помочь логи доступа сайта.
  3. Проверьте лог подключений к почтовому ящику. Авторизации в почтовом ящике могут производиться с IP-адресов хостинга, а также с IP-адресов, где настроены почтовые клиенты для подключения к ним. Но важно понимать, что если отправка писем производилась с помощью скриптов сайта, то такой метод не поможет определить источник проблемы.

Если вы начали подозревать, что доступ к почтовому ящику мог получить кто-то посторонний, рекомендуем проверить на наличие вирусов все свои устройства и сменить пароли. См. также Рекомендации по защите от взлома.

Панель управления

В случае несанкционированного доступа к панели управления постороннему могут быть доступны все почтовые ящики, которые находятся в учётной записи. Рекомендуем регулярно проверять лог авторизаций на наличие подозрительных попыток входа. Безопасность учётной записи следует соблюдать даже если не было замечено попыток входа со сторонних адресов.

Если есть подозрения, что доступ к учётной записи могли получить посторонние, следует принять соответствующие меры:

Содержание