Comment le spammeur a-t-il usurpé les e-mails avec mon domaine Google Apps (il a même DKIM!)


11

J'ai eu beaucoup de rebonds ces derniers temps.

Je pensais que mon compte Google Apps était compromis, mais il n'y a aucune activité sur mon compte Apps et il n'y a certainement aucun utilisateur malveillant que je puisse voir.

Étant donné que l'e-mail est toujours envoyé à partir d'un nom d'utilisateur aléatoire (par exemple, onSecNtV1@mydomain.com), j'ai essayé de trouver un moyen de refuser l'envoi d'e-mail à partir d'utilisateurs non enregistrés. Je n'ai rien trouvé.

Ce qui m'inquiète, c'est que le message a une signature X-Google-DKIM, et il dit "Google a essayé de livrer votre message". Est-ce à dire que les e-mails proviennent de mes clients de confiance? (J'utilise uniquement gmail)

Les spammeurs AFAIK sont libres d'usurper tous les champs de l'e-mail, mais le DKIM devrait obliger les serveurs (modernes) à supprimer ces e-mails non vérifiables.

Une idée où est la fuite?

Voici un exemple de rebond:

Delivery to the following recipient failed permanently:

     spoonbillzi7@etisbew.com

Technical details of permanent failure: Google tried to deliver your
message, but it was rejected by the server for the recipient domain
174.133.125.2 [174.133.125.2].

The error that the other server returned was: 553 sorry, that domain
isn't in my list of allowed rcpthosts; no valid cert for gatewaying
(#5.7.1)

----- Original message -----

X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=google.com; s=20120113;
        h=x-received:x-received:received-spf:mime-version:date:message-id
         :from:to:subject:content-type:content-transfer-encoding
         :list-unsubscribe:x-gm-message-state;
        bh=l2RiLiEDvrHgBMSAjtLmNgIpmW4D1EFAIr3O42oBysM=;
        b=UBSW90YcP4Fu1vDLnvGCp06XEE5+FOAUR62qSnQrnaPcsKWJSdFT7x7XSU2+vHrpTI
         RaN4pHJWlaMHqtAUoMFE0T9hgBj0blZnNMDtMRFkcU4QD0E/QNw6VIQlAjWGOWvXghMc
         G+SX+YLugnQEWS6tG6guf1hF31XoB4a2HxvxQO4J+lWNLg60LaS7K4DiUr4yG25mvXBU
         uy+tXqjLKyZgA9jmvyVvBKeRYVwMIWvscJ26yw17K7LRfGZkAXzuvTVyGMuLUzthj5c5
         MSNZOG6u5faxtzdBkGRiNQVarq3IsXBuXcxk1vRiUktbM8OIhm2D4IrvhmTPrDF4yyTz
         EHhw==
X-Received: by 10.50.37.239 with SMTP id b15mr4892361igk.69.1360854627245; Thu, 14 Feb 2013 07:10:27 -0800 (PST)
X-Received: by 10.50.37.239 with SMTP id b15mr4892357igk.69.1360854627177; Thu, 14 Feb 2013 07:10:27 -0800 (PST)
Return-Path: <onSecNtV1@mydomain.com>
Received: from [117.201.44.87] ([117.201.34.157]) by mx.google.com with ESMTP id vx6si33676538igb.26.2013.02.14.07.10.25; Thu, 14 Feb 2013 07:10:26 -0800 (PST)
Received-SPF: neutral (google.com: 117.201.34.157 is neither permitted nor denied by best guess record for domain of onSecNtV1@mydomain.com) client-ip=117.201.34.157;
Authentication-Results: mx.google.com; spf=neutral (google.com: 117.201.34.157 is neither permitted nor denied by best guess record for domain of onSecNtV1@mydomain.com) smtp.mail=onSecNtV1@mydomain.com
MIME-Version: 1.0
Date: Thu, 14 Feb 2013 20:40:29 +0530
Message-ID: <B23FC935D84FBB6D39DD9BDCC44CD2.176.3699432888759@D>
From: "Valetine's Day" <onSecNtV1@mydomain.com>
To: spoonbillzi7@etisbew.com
Subject: I will be excited if you are my Valetine
Content-Type: text/html; charset="iso-8859-1" Content-Transfer-Encoding: 8bit
List-Unsubscribe: <mailto:E7E740C2663A5B2B9D18@missinyou.com>
X-Gm-Message-State: ALoCoQkVcAw4pG/8g2x1C02KHf4lLkBdJ4iLe9r1ZeGlGE1AwtZEQm5VsHh9tNmG04yH2ahWqXnIiKu7DrTf7j6bLHEaF0l0AMhrC6ZvnyJTUr4n+9TKMieQPycP0Pw8sCJ8DELiMNlLI/CGbgQ1ObMLghXauZTeqg==

----- End of message -----

Réponses:


4

Assurez-vous que l'adresse de capture n'est pas activée pour votre compte Apps, sinon vous obtiendrez des tonnes de choses aléatoires. http://support.google.com/a/bin/answer.py?hl=en&answer=33962

Ne vous inquiétez pas pour X-Google-DKIM-Signature (ou tout autre en-tête précédé de X- en général), celui-ci est spécifique à Gmail et ce n'est pas une vraie signature DKIM pour votre domaine. Si vous souhaitez en configurer un, consultez l'article suivant: http://support.google.com/a/bin/answer.py?hl=en&answer=174124


1
Tu as raison. La signature X-Google-DKIM est contenue dans tous les e-mails gmail / apps. Il existe un en-tête DKIM-Signature distinct pour mon propre DKIM. Donc, dans l'ensemble, je suppose que ce n'est pas de ma faute car le destinataire aurait dû laisser tomber le message.
Sam

3

Le rejet n'est pas lié à DKIM mais au destinataire. Mais pourquoi les serveurs de messagerie Google devraient-ils essayer de livrer aux mauvais MX? Ça n'a pas de sens pour moi. Bien entendu, le système destinataire pourrait être mal configuré. Les adresses de destinataires défaillantes ont-elles le même MX?

Autre chose: avez-vous vérifié la signature DKIM? C'est peut-être juste un texte d'aspect technique ...

En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.