DrClinker сказал(а):
Не так давно вот на такую статью наткнулся https://sec-consult.com/blog/detail/smtp-smuggling-spoofing-e-mails-worldwide/ Возможно, сделали так как в статье.
TanosX сказал(а):
Получил письмо на Яндекс, выглядит так:
Посмотреть вложение 72826
Внутри:
Посмотреть вложение 72827
EML файл:
ССЫЛКА
Я в курсе, что такое спуфинг, потому это отпадает) Получается спам-фильтр Яндекса свободно пустил такое письмо в инбокс, так как не знал что с ним делать! Но как это сделано? Может кто в курсе!
Нажмите, чтобы раскрыть...
Dread Pirate Roberts сказал(а):
интересно, спасибо.
тут очевидная уязвимость в почтовом сервере яндекса, что он позволяет указывать пустой заголовок From (точнее, любую строку, не похожую на e-mail, в твоём случае это символ двойной кавычки)
также возможная уязвимость в том, что антиспам не декодит base64 и поэтому не видит в письме ссылку, ссылки обычно повышают спам скор.
также низкий спам скор из-за того, что письмо отправлено с локального сервера (с яндекса же и на яндекс), поэтому там и dkim=pass, и все дела.
kehor сказал(а):
Мне такое же приходило, причём на несколько ящиков, только № другие (больше чем 447) и ссылка другая (хотя домен тот же esthandler) и у меня в спаме оно везде.
Антиспам яндекса декодит base64 и ссылки видит в таких письмах. Судя по всему номера до ~500 зашли, а дальше в спам. поэтому там и копий (адресатов) во всех письмах от 50 до 100.
Мне кстати предлагали этот оффер. Видимо нашли того кто взял чернуху по ру. там объёмы они просят 1кк сутки, наверно поэтому кто то и решил таким способом слать, а не по классике. Исполнитель 100% здесь или на экспе.
TanosX сказал(а):
Да и я видел этот оффер, но по РУ ну нет) Тут вопрос как сделали.
kehor сказал(а):
Не берусь утверждать конечно. Но смотри:
X-Yandex-Tracker-Env: b2b
X-Yandex-Tracker-Mail-Type: external
X-Yandex-Tracker-Transport: front
Вот сервис. подобие jira.
cloud. yandex. ru/ru/services/tracker
Что твой eml, что те что приходили мне, все отправлены с яндекса на яндекс.
Копать надо в сторону абузы клауд сервисов яндекса.
Если отправитель, вовсе и не отправитель в прямом смысле, а условно "бизнес акк внутри сервиса", то вот тебе и направление и причина отсутствия отправителя. Возможно есть момент с правами на просмотр названия акка. Типа уведомлялку на почты можно отправить, но у адресата нет прав на просмотр айди или названия.
Нажмите, чтобы раскрыть...