2.19.3.9. Лісты, якія паступаюць ад самога сябе
Могуць сустракацца сітуацыі, калі ў паштовыя скрыні прыходзяць падазроныя лісты, дзе ў якасці адпраўніка стаіць той жа скрыню, куды прыйшоў ліст. У такіх лістах часцей за ўсё паведамляецца, што паштовая скрыня нібыта узламаны, і вымагаюцца грошы. Найбольш распаўсюджаныя прычыны падобных сітуацый:
Для вызначэння найбольш верагоднай і прыдатнай прычыны варта вырабіць праверку па ўсіх пунктах па чарзе.
Увага!
Варта вырабіць усе праверкі незалежна ад таго, што менавіта больш за ўсё падыходзіць пад узніклую сітуацыю.Падмена загалоўка FROM ў лісце
Падмена адпраўніка гэта вельмі распаўсюджаная сітуацыя, рашэнне якой даволі простае. Для даменнага імя, у рамках якога вырабляецца адпраўка і атрыманне лістоў, трэба наладзіць SPF і DMARC, Каб засцерагчы сябе і іншых атрымальнікаў ад лістоў з падменай адпраўніка.
Каб вызначыць, хто менавіта адправіў ліст, праверце яго загалоўкі. У загалоўках лісты змяшчаецца ўся неабходная інфармацыя для аналізу. Звярніце ўвагу на сервера, названыя ў першым блоку Received:
у радку by
, Яны паказваюцца знізу ўверх, пачынаючы ад адпраўніка і заканчваючы атрымальнікам. Важна, што адпраўка з нашых сервераў заўсёды будзе рабіцца з аднаго з даменаў default-host.net
, І калі такога няма, то лісты былі адпраўленыя з падменай адпраўніка.
Абавязкова праверце дакладнае супадзенне знакаў у імя атрымальніка і адпраўніка. Часам могуць сустракацца сітуацыі з падменай некаторых знакаў, якія паміж сабой візуальна падобныя. Напрыклад, да такіх сымбаляў можна аднесці: 0
і O
, I
і l
, І т. Д. Таксама варта правяраць наяўнасць знакаў з іншых моў, напрыклад лацінскія сімвалы могуць быць замененыя кірылічнымі, гэта значыць: o
і аб
і т. д. Калі такія змены маюцца, скарыстайцеся фільтрамі WebMail або чорным спісам для блакавання падобных адпраўнікоў.
Несанкцыянаваны доступ у паштовую скрыню
Несанкцыянаваны доступ у паштовую скрыню гэта даволі вялікая праблема. Для яе ліквідацыі выканайце наступнае:
- Зменіце пароль да узламаных паштовай скрыні і да ўсіх наяўных. Варта мяняць пароль да ўсіх паштовых скрынях, так як з-за ўзлому аднаго скрыні цалкам верагодна, што можа быць доступ і ў астатнія, а змена пароля для ўсіх скрынь стане прэвентыўнай мерай.
- Запусціце праверку антывірусам усяго акаўнта. Калі ў рамках сайтаў была настроена адпраўка пошты з дапамогай SMTP, то пры ўзломе сайта цалкам верагодная ўцечка пароля ад паштовай скрыні. Таксама варта ўлічваць, што антывірус знаходзіць толькі знойдзеныя раней сігнатуры вірусаў. Калі ўзлом сайта быў праведзены з дапамогай новых, раней ня знойдзеных вірусаў, то антывірус можа не вырашыць праблему. Таксама сайт можа мець праблемы ў бяспецы, з-за чаго ўзлом мог адбыцца без бачных наступстваў. Падобныя сітуацыі варта правяраць распрацоўніку сайта, аналізуючы логі доступу да яго.
- Праверце лог аўтарызацыі у паштовай скрыні. Аўтарызацыі ў паштовай скрыні могуць вырабляцца з IP-адрасоў хостынгу, а таксама з IP-адрасоў, дзе настроены паштовыя кліенты для падлучэння да іх. Але важна разумець, што калі адпраўка лістоў выраблялася з дапамогай скрыптоў сайта, то такі метад не дапаможа вызначыць падобную праблему.
Калі было заўважана, што атрыманы доступ да скрыні, то важна праверыць таксама ўсе прылады на наяўнасць вірусаў, а таксама выкарыстоўваць цалкам іншыя паролі, так як пароль да паштовай скрыні быў як–то атрыманы зламыснікамі. Таксама рэкамендуем азнаёміцца з карыснымі парадамі па забеспячэнню абароны ад узлому.
Несанкцыянаваны доступ у панэль кіравання
Пры атрыманні доступу да панэлі кіравання хостынгам будзе таксама атрыманы доступ да паштовых скрынях. Каб зразумець, ці быў атрыманы доступ, праверце наяўнасць падазроных спробаў уваходу ў стварыў рахунак у логу аўтарызацыі. Бяспека маеце рахунку павінна выконвацца нават калі не было заўважана спробаў ўваходу з іншых адрасоў. Раім азнаёміцца і выканаць рэкамендацыі па абароне маеце рахунку.
Калі ёсць падазрэнні, што доступ да ўліковага запісу маглі атрымаць староннія, варта прыняць адпаведныя меры:
- Уключыце двухэтапную аўтэнтыфікацыю, Калі яна яшчэ не настроена.
- Скіньце або адключыце адначасовыя сесіі, Калі яны былі ўключаны.
- Зменіце ўсе магчымыя паролі, якія існуюць:
- Усе паролі ў рамках існуючых сайтаў, так як ёсць вялікая верагоднасць, што дадзеныя маглі быць скрадзеныя.