Небольшое отступление, домены зарегистрированы на почту на mail.ru, но ящиком этим давно не пользуюсь и стоит пересылка на gmail. Регистратор — R01.
Приходит письмо "Жалоба на домен мой-домен.ru" такого вот общего содержания:
И на телефоне видно что есть какие-то вложения, но кривенькие. Решил посмотреть повнимательнее на компьютере. Тут и началось самое интересное.
Вот как письмо выглядело в браузере:
Отправитель — отправитель стоит как info@r01.ru и не указано что письмо отправлено через другой домен, т. е. можно подумать что пришло действительно письмо от регистратора
Оформление вложения — почта mail.ru (на которую зарегистрирован домен) и вложение стилизовано под этот сервис, но на gmail меня это и насторожило.
При попытке перехода по ссылкам — документ открывался на пару секунд и потом предлагал ввести пароль от моего ящика на mail.ru. Но лень по вводу пароля победила, я просто «заскриншотил» страницу пока она была открыта и почитал содержание уже на картинке, тут-то в принципе все и встало на свои места. В файле вода без конкретики и регистратор у меня R01 (письмо прислали правильное), а в файле указывают ру — центр. После этого уже посмотрел где предлагают ввести пароль, адреса накопал два:
Ребята, кстати, надо заметить довольно оперативно отслеживают введенные пароли, потому как на мой введенный пароль почти моментально пришел ответ:
В этой всей истории меня смущает только один момент — почему gmail не указал, что письмо было отправлено не c r01.ru?! Рассылка идет с sweb, о чем я их уведомил и получил ответ, что меры приняты (какие не знаю). Для пытливых:
Приходит письмо "Жалоба на домен мой-домен.ru" такого вот общего содержания:
Здравствуйте, уважаемый клиент.
В адрес Регистратора Р01 с IP-адреса 46.18.200.45 поступила жалоба на домен мой-домен.ru. Данному обращению был присвоен номер AM35930.
Сообщаем Вам, что жалоба признана необоснованной, поскольку обстоятельства, на которые указывает автор жалобы, не нашли подтверждения.
Исходя из вышеизложенного, санкции к домену мой-домен.ru применены не будут.
Файл с текстом жалобы приложен к настоящему письму.
И на телефоне видно что есть какие-то вложения, но кривенькие. Решил посмотреть повнимательнее на компьютере. Тут и началось самое интересное.
Вот как письмо выглядело в браузере:
Отправитель — отправитель стоит как info@r01.ru и не указано что письмо отправлено через другой домен, т. е. можно подумать что пришло действительно письмо от регистратора
Оформление вложения — почта mail.ru (на которую зарегистрирован домен) и вложение стилизовано под этот сервис, но на gmail меня это и насторожило.
При попытке перехода по ссылкам — документ открывался на пару секунд и потом предлагал ввести пароль от моего ящика на mail.ru. Но лень по вводу пароля победила, я просто «заскриншотил» страницу пока она была открыта и почитал содержание уже на картинке, тут-то в принципе все и встало на свои места. В файле вода без конкретики и регистратор у меня R01 (письмо прислали правильное), а в файле указывают ру — центр. После этого уже посмотрел где предлагают ввести пароль, адреса накопал два:
- для mail.ru — mail.ru.104194064068438755363301999438882211.xyz
- для яндекса — docviewer.yandex.ru.10859155697777473566221838775384.xyz — по этой ссылке google chrome уже выдает предупреждение о фишинговом сайте
Ребята, кстати, надо заметить довольно оперативно отслеживают введенные пароли, потому как на мой введенный пароль почти моментально пришел ответ:
В этой всей истории меня смущает только один момент — почему gmail не указал, что письмо было отправлено не c r01.ru?! Рассылка идет с sweb, о чем я их уведомил и получил ответ, что меры приняты (какие не знаю). Для пытливых:
исходник письма
Delivered-To: d***y@gmail.com
Received: by 10.28.25.130 with SMTP id 124csp1612639wmz;
Mon, 14 Dec 2015 02:59:36 -0800 (PST)
X-Received: by 10.112.160.33 with SMTP id xh1mr12911366lbb.67.1450090776287;
Mon, 14 Dec 2015 02:59:36 -0800 (PST)
Return-Path: <belebeycru@vh234.sweb.ru>
Received: from mx70.mail.ru (mx70.mail.ru. [94.100.176.84])
by mx.google.com with ESMTPS id vo10si16785629lbb.137.2015.12.14.02.59.35
for <d***y@gmail.com>
(version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
Mon, 14 Dec 2015 02:59:36 -0800 (PST)
Received-SPF: softfail (google.com: domain of transitioning belebeycru@vh234.sweb.ru does not designate 94.100.176.84 as permitted sender) client-ip=94.100.176.84;
Authentication-Results: mx.google.com;
spf=softfail (google.com: domain of transitioning belebeycru@vh234.sweb.ru does not designate 94.100.176.84 as permitted sender) smtp.mailfrom=belebeycru@vh234.sweb.ru;
dmarc=fail (p=NONE dis=NONE) header.from=r01.ru
Received: from [77.222.56.130] (ident=mail)
by mx70.mail.ru with local (envelope-from <belebeycru@vh234.sweb.ru>)
id 1a8Qqt-0001M2-Ay
for d***y@gmail.com; Mon, 14 Dec 2015 13:59:35 +0300
X-ResentFrom: <d***y@mail.ru>
X-MailRu-Forward: 1
Authentication-Results: mxs.mail.ru; spf=pass (mx70.mail.ru: domain of vh234.sweb.ru designates 77.222.56.130 as permitted sender) smtp.mailfrom=belebeycru@vh234.sweb.ru smtp.helo=vh234.sweb.ru
Received-SPF: pass (mx70.mail.ru: domain of vh234.sweb.ru designates 77.222.56.130 as permitted sender) client-ip=77.222.56.130; envelope-from=belebeycru@vh234.sweb.ru; helo=vh234.sweb.ru;
Received: from vh234.sweb.ru ([77.222.56.130]:53758)
by mx70.mail.ru with esmtp (envelope-from <belebeycru@vh234.sweb.ru>)
id 1a8Qqs-0001Kw-Qa
for d***y@mail.ru; Mon, 14 Dec 2015 13:59:35 +0300
X-Mru-BL: 0:0
X-Mru-TLS: TLSv1.2:AES128-SHA
X-Mru-BadRcptsCount: 0
X-Mru-PTR: vh234.sweb.ru
X-Mru-NR: 1
X-Mru-OF: Linux (Ethernet or modem)
X-Mru-RC: RU
Received: from belebeycru by vh234.sweb.ru with local (Exim 4.84)
(envelope-from <belebeycru@vh234.sweb.ru>)
id 1a8Qqs-003gGZ-Lj
for d***y@mail.ru; Mon, 14 Dec 2015 13:59:34 +0300
To: d***y@mail.ru
Subject: Жалоба на домен мой-домен.ru
MIME-Version: 1.0
Content-type: text/html; charset=windows-1251
From: R01.RU <info@r01.ru>
Message-Id: <E1a8Qqs-003gGZ-Lj@vh234.sweb.ru>
Date: Mon, 14 Dec 2015 13:59:34 +0300
X-Sender-Uid: 11827
X-DMARC-Policy: none
X-DMARC-Result: fail
X-Mras: Ok
X-Mru-Authenticated-Sender: belebeycru@vh234.sweb.ru
X-Spam: undefined
X-DMARC-Policy: none
X-DMARC-Result: fail
X-Mras: Ok
X-Mru-Authenticated-Sender: belebeycru@vh234.sweb.ru
Здравствуйте, уважаемый клиент.<br>...
Комментарии (11)
nikitasius
26.12.2015 00:36Приходили такие письма. После просмотра заголовков удалял. Вообще всегда надо смотреть заголовки письма, если что-то важное.
lehha
26.12.2015 10:08>> dmarc=fail (p=NONE dis=NONE)
то есть у регистратора нет настройки dmark с указанием отклонять письма с поддельным адресом отправителя (подписи/сервера). Хороший регистратор, что тут сказать.
amarao
В письме же плейнтекстом сказано, что оно отправлено пользователем belebeycru:
Return-Path: <belebeycru@vh234.sweb.ru>
Received: from belebeycru by vh234.sweb.ru with local (Exim 4.84)
(envelope-from <belebeycru@vh234.sweb.ru>)
id 1a8Qqs-003gGZ-Lj
for d***y@mail.ru; Mon, 14 Dec 2015 13:59:34 +0300
Алсо, вы плохо скрываете кому письмо было адресовано — в заголовках gmai'овый адрес.
ivan386
Наверно имелось ввиду неуказанно в интерфейсе.
SergeyDeryabin
Да, этот момент больше всего и смутил.
Вот картинка-пример из справки google:
ivan386
В той же справке последний абзац разъесняет как убрать via
SergeyDeryabin
Что написано я видел, только не понял как это работает. В справке два условия: SPF и DKIM. В заголовках DKIM нет, вот SPF r01:
$ dig r01.ru -t txt;; ANSWER SECTION:r01.ru. 600 IN TXT "v=spf1 a mx include:nic.ru include:hostcomm.ru a:moon.r01.ru ip4:31.177.84.4 ip4:109.70.27.60 ip4:31.177.69.4 ?all"Почему не стоит что отправлено через
vh234.sweb.ru?ivan386
Видимо баг GMail. Он принял чужой хедер «Received-SPF: pass» за свой.
SergeyDeryabin
Поправил свой email, спасибо.
А насчет обратного адреса да, я согласен. Надеюсь sweb заблокировал учетную запись, но что помешает зарегить пяток новых на левую почту и через терминал, например, оплатить.
amarao
Ничего не мешает. более того, за пять баксов можно сделать выделенный сервер и слать с него что хочешь как хочешь с какими хочешь заголовками.