+ Reply to Thread
Results 1 to 4 of 4

Thread: Logs SMTP estranhos... Será uma invasão?

  1. #1
    Junior Member
    Join Date
    Jan 2013
    Location
    Uberlândia - MG
    Posts
    1

    Logs SMTP estranhos... Será uma invasão?

    Olá...


    Estou com uns logs que começaram semana passada... todos os dias, principalmente durante a madrugada... aparecem mensagens na fila de retentativa do IceWarp para um tal de contato@guiadestakbem.com.br....

    Dando uma olhada no LOG do SMTP eu isolei um dos casos...

    Alguem poderia me ajudar a entender o que está acontecendo?

    SYSTEM [0FC4] 12:22:33 Client session Message id OMH76545 item 201301031130456599-1109613936_3.tm$
    SYSTEM [0FC4] 12:22:33 Client session DNS query 'guiadestakbem.com.br' 0 (1) [OK - 2]
    SYSTEM [0FC4] 12:22:33 Client session Connecting to 'guiadestakbem.com.br'
    200.98.246.171 [0FC4] 12:22:33 Client session Connected, local IP= 178.18.123.106:
    200.98.246.171 [0FC4] 12:22:35 Client session <<< 220 and/or bulk e-mail.
    200.98.246.171 [0FC4] 12:22:35 Client session >>> EHLO mail.wafx.net
    200.98.246.171 [0FC4] 12:22:35 Client session <<< 250 HELP
    200.98.246.171 [0FC4] 12:22:35 Client session >>> STARTTLS
    200.98.246.171 [0FC4] 12:22:36 Client session <<< 220 TLS go ahead
    200.98.246.171 [0FC4] 12:22:36 Client session SSL: Not verified (19) - proceed anyway
    200.98.246.171 [0FC4] 12:22:36 Client session >>> EHLO mail.wafx.net
    SYSTEM [0FC4] 12:22:37 Client session *** <> <contato@guiadestakbem.com.br> 1 5997 00:00:00 INCOMPLETE-SESSION OMH76545
    200.98.246.171 [0FC4] 12:22:37 Client session Disconnected
    Desde já agradeço...

  2. #2
    Senior Member
    Join Date
    Sep 2011
    Location
    Brazil
    Posts
    280
    Ola, JMazio

    Tudo bem? Talvez fosse interessante também acionar o suporte, pois é um caso certamente crítico e no fórum, tentamos não deixar nada sem resposta, mas depende da interação dos usuários, etc. e fica difícil receber determinadas evidências, etc. por aqui. Alguns clientes até optam por 1 hora de suporte premium, o que nos permite rever o FAQ e todos aspectos juntos via web conferência.

    Parece um caso de abuso SMTP. Você precisa ver que conta autenticou e mudar a senha de tal conta, provavelmente abuso por autenticação SMTP, onde algum usuário seu possivelmente foi infectado com algum vírus na qual a senha dele foi repassada a terceiros, ou então um caso de senha fácil... Ou de spam feito por algum usuário (mais improvável).

    Veja nosso FAQ a respeito: https://suporte.icewarp.com.br/index...ridos-via-smtp

    Tem incusive um filtro bastante útil que aloca a conta que autenticou no header, de forma que basta dar um duplo clique na mensagem na fila de retetativa e verificar o header para achar a conta usada na autenticação.

    Tem vários posts no forum com dicas diversas também, mas basicamente você precisa decodificar a sessão da autenticação (lembre que ocorre uma entrada, onde usuário deve autenticar - a não ser que seu IP esteja nos IPs confiáveis ou outro método como POP before SMTP o tenha liberado de enviar sem autenticar e depois uma saída). O FAQ explica.

    Em caso de dúvidas, leia também nosso FAQ "como ler logs". https://suporte.icewarp.com.br/index...lemas-de-envio

    Ficamos à disposição.

    Atenciosamente,
    Flávio
    IceWarp Brasil

  3. #3
    Junior Member
    Join Date
    Aug 2017
    Posts
    2

  4. #4
    Junior Member
    Join Date
    Aug 2017
    Posts
    2
    Australian Investment Education

    australianinvestmenteducationdotcomdotau/how-to-invest-in-shares/

+ Reply to Thread

Posting Permissions

  • You may not post new threads
  • You may not post replies
  • You may not post attachments
  • You may not edit your posts