Фишинг почтовых паролей владельцев доменов

[amarao]

В письме же плейнтекстом сказано, что оно отправлено пользователем belebeycru:

Return-Path: <belebeycru@vh234.sweb.ru>

Received: from belebeycru by vh234.sweb.ru with local (Exim 4.84)
(envelope-from <belebeycru@vh234.sweb.ru>)
id 1a8Qqs-003gGZ-Lj
for d***y@mail.ru; Mon, 14 Dec 2015 13:59:34 +0300

Алсо, вы плохо скрываете кому письмо было адресовано — в заголовках gmai'овый адрес.

[ivan386]

Наверно имелось ввиду неуказанно в интерфейсе.

[AlexPetroff]

Да, этот момент больше всего и смутил.

Вот картинка-пример из справки google:

[ivan386]

В той же справке последний абзац разъесняет как убрать via

[AlexPetroff]

Что написано я видел, только не понял как это работает. В справке два условия: SPF и DKIM. В заголовках DKIM нет, вот SPF r01:

$ dig r01.ru -t txt
;; ANSWER SECTION:
r01.ru. 600 IN TXT "v=spf1 a mx include:nic.ru include:hostcomm.ru a:moon.r01.ru ip4:31.177.84.4 ip4:109.70.27.60 ip4:31.177.69.4 ?all"

Почему не стоит что отправлено через vh234.sweb.ru?

[ivan386]

Видимо баг GMail. Он принял чужой хедер «Received-SPF: pass» за свой.

[AlexPetroff]

Поправил свой email, спасибо.

А насчет обратного адреса да, я согласен. Надеюсь sweb заблокировал учетную запись, но что помешает зарегить пяток новых на левую почту и через терминал, например, оплатить.

[amarao]

Ничего не мешает. более того, за пять баксов можно сделать выделенный сервер и слать с него что хочешь как хочешь с какими хочешь заголовками.

[nikitasius]

Приходили такие письма. После просмотра заголовков удалял. Вообще всегда надо смотреть заголовки письма, если что-то важное.

[lehha]

>> dmarc=fail (p=NONE dis=NONE)

то есть у регистратора нет настройки dmark с указанием отклонять письма с поддельным адресом отправителя (подписи/сервера). Хороший регистратор, что тут сказать.

[ivan386]

У домена нет подписи.