Кто знает, что это за прикол?!

[TanosX]

Получил письмо на Яндекс, выглядит так:



Внутри:



EML файл:

ССЫЛКА

Я в курсе, что такое спуфинг, потому это отпадает) Получается спам-фильтр Яндекса свободно пустил такое письмо в инбокс, так как не знал что с ним делать! Но как это сделано? Может кто в курсе!

 

[Dread Pirate Roberts]

интересно, спасибо.
тут очевидная уязвимость в почтовом сервере яндекса, что он позволяет указывать пустой заголовок From (точнее, любую строку, не похожую на e-mail, в твоём случае это символ двойной кавычки)
также возможная уязвимость в том, что антиспам не декодит base64 и поэтому не видит в письме ссылку, ссылки обычно повышают спам скор.
также низкий спам скор из-за того, что письмо отправлено с локального сервера (с яндекса же и на яндекс), поэтому там и dkim=pass, и все дела.

 

[DrClinker]

Не так давно вот на такую статью наткнулся https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/ Возможно, сделали так как в статье.

 

[TanosX]

DrClinker сказал(а):
Не так давно вот на такую статью наткнулся https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/ Возможно, сделали так как в статье.

Сегодня как раз читал) Подумал, что так и есть.

 

[kehor]

TanosX сказал(а):
Получил письмо на Яндекс, выглядит так:

Посмотреть вложение 72826

Внутри:

Посмотреть вложение 72827

EML файл:

ССЫЛКА

Я в курсе, что такое спуфинг, потому это отпадает) Получается спам-фильтр Яндекса свободно пустил такое письмо в инбокс, так как не знал что с ним делать! Но как это сделано? Может кто в курсе!
Нажмите, чтобы раскрыть...

Dread Pirate Roberts сказал(а):
интересно, спасибо.
тут очевидная уязвимость в почтовом сервере яндекса, что он позволяет указывать пустой заголовок From (точнее, любую строку, не похожую на e-mail, в твоём случае это символ двойной кавычки)
также возможная уязвимость в том, что антиспам не декодит base64 и поэтому не видит в письме ссылку, ссылки обычно повышают спам скор.
также низкий спам скор из-за того, что письмо отправлено с локального сервера (с яндекса же и на яндекс), поэтому там и dkim=pass, и все дела.

Мне такое же приходило, причём на несколько ящиков, только № другие (больше чем 447) и ссылка другая (хотя домен тот же esthandler) и у меня в спаме оно везде.

Антиспам яндекса декодит base64 и ссылки видит в таких письмах. Судя по всему номера до ~500 зашли, а дальше в спам. поэтому там и копий (адресатов) во всех письмах от 50 до 100.

Мне кстати предлагали этот оффер. Видимо нашли того кто взял чернуху по ру. там объёмы они просят 1кк сутки, наверно поэтому кто то и решил таким способом слать, а не по классике. Исполнитель 100% здесь или на экспе.

 

[TanosX]

kehor сказал(а):
Мне такое же приходило, причём на несколько ящиков, только № другие (больше чем 447) и ссылка другая (хотя домен тот же esthandler) и у меня в спаме оно везде.

Антиспам яндекса декодит base64 и ссылки видит в таких письмах. Судя по всему номера до ~500 зашли, а дальше в спам. поэтому там и копий (адресатов) во всех письмах от 50 до 100.

Мне кстати предлагали этот оффер. Видимо нашли того кто взял чернуху по ру. там объёмы они просят 1кк сутки, наверно поэтому кто то и решил таким способом слать, а не по классике. Исполнитель 100% здесь или на экспе.

Да и я видел этот оффер, но по РУ ну нет) Тут вопрос как сделали.

 

[kehor]

TanosX сказал(а):
Да и я видел этот оффер, но по РУ ну нет) Тут вопрос как сделали.

Не берусь утверждать конечно. Но смотри:
X-Yandex-Tracker-Env: b2b
X-Yandex-Tracker-Mail-Type: external
X-Yandex-Tracker-Transport: front
Вот сервис. подобие jira.
cloud. yandex. ru/ru/services/tracker

Что твой eml, что те что приходили мне, все отправлены с яндекса на яндекс.
Копать надо в сторону абузы клауд сервисов яндекса.
Если отправитель, вовсе и не отправитель в прямом смысле, а условно "бизнес акк внутри сервиса", то вот тебе и направление и причина отсутствия отправителя. Возможно есть момент с правами на просмотр названия акка. Типа уведомлялку на почты можно отправить, но у адресата нет прав на просмотр айди или названия.

 

[TanosX]

kehor сказал(а):
Не берусь утверждать конечно. Но смотри:
X-Yandex-Tracker-Env: b2b
X-Yandex-Tracker-Mail-Type: external
X-Yandex-Tracker-Transport: front
Вот сервис. подобие jira.
cloud. yandex. ru/ru/services/tracker

Что твой eml, что те что приходили мне, все отправлены с яндекса на яндекс.
Копать надо в сторону абузы клауд сервисов яндекса.
Если отправитель, вовсе и не отправитель в прямом смысле, а условно "бизнес акк внутри сервиса", то вот тебе и направление и причина отсутствия отправителя. Возможно есть момент с правами на просмотр названия акка. Типа уведомлялку на почты можно отправить, но у адресата нет прав на просмотр айди или названия.
Нажмите, чтобы раскрыть...

Благодарю! Буду искать.

 

[ded9aw23]

Ну а домен estismail.com в письме принадлежит сервису рассылок estismail.com, видимо с него и слали.