Zbanowali mi skrzynkę na wp.pl za spam.

[ttah]

Opiszę co mi się właśnie przytrafiło z nadzieją, że ktoś bardziej doświadczony mi rozjaśni sprawę.

Dostałem bana na moje wieloletnie konto @wp.pl. Za rozsyłanie spamu.

Wczoraj wysyłałem z Gmaila wiadomość do osoby posiadajacej konto na @wp.pl.

Dostałem zwrotkę:

<an6gjfjjkjkjkjhhhgjj9@ya.ru>:
213.180.193.89 does not like recipient.
Remote host said: 550 5.7.1 No such user!
Giving up on 213.180.193.89.

Co ciekawe, w zwrotce było takie coś:

Received: from 97-106-148-203.res.bhn.net (HELO foxtrot434) (***@wp.pl@[97.106.148.203])

IP jest zupełnie inne. Nie moje. Gwiazdkami zakryłem mojego e-maila.

Dzisiaj ponowiłem wysyłkę i znowu zwrot, tym razem z takimi informacjami:

Received: from 81.30.213.231.static.ufanet.ru (HELO foxtrot434) (***@wp.pl@[81.30.213.231])

Zacząłem sobie testować wysyłanie maili z moich różnych skrzynek na moją tym razem pocztę na @wp.pl no i się zaczęło. Każdy e-mail dochodził, ale przy okazji dostawałem też zwrotkę, że wiadomość wysłana do jakichś zupełnie przypadkowych maili nie mogła zostać dostarczona, bo mnie nie lubią.

W każdym mailu od tych różnych demonów pocztowych Received from IP nie zgadza, są tam jakieś dane z całego swiata, tylko nie moje.

Dzisiejsze zwrotki łączy jednak treść maili, które są rozsyłane:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META content=3D"text/html; charset=3Dwindows-1251" http-equiv=3DContent-=
Type>
<META name=3DGENERATOR content=3D"MSHTML 8.00.6001.23588"></HEAD>
<BODY>
<DIV>were</DIV>
<DIV><A href=3D"https://worklebiz.pl/">Zapoznaj sie z moja sugestia</A></D=
IV>
<DIV>Dziekuje za uwage!</DIV></BODY></HTML>

Na kompie póki co nic nie znalazłem. Do poczty używam Thunderbirda.

Czy to na pewno u mnie siedzi jakiś grzyb, czy możliwe, że jakiś spamer po prostu wlepił mojego maila w nadawcę spamowych informacji, a ja dostałem rykoszetem?

Moja skrzynka jest bardzo łatwa, 3 literowa. Już w przeszłosci dostawałem spamy z jakichś przypadkowych rejestracji na przeróżnych portalach. Ale nigdy czegoś takiego.

[mghost.pl]

Raczej wygląda na to, że ktoś autoryzuje się i wysyła maile z Twojej skrzynki. Jeśli jeszcze możesz, zmień do niej hasło na złożone, losowe, niesłownikowe i możliwie długie.

Czym sprawdzasz swój komputer?

[ttah]

Avira Antivir. Od kilkudziesięciu minut leci pełny skan, ale potrwa jeszcze pewnie kilka godzin.

Pocztę sprawdzam Thunderbirdem. Mam kilka skrzynek w nim skonfigurowanych, ale tylko ta @wp.pl oberwała. Ale możliwe też, że do wysyłania maili używam tylko ich serwera niezależnie od maila, z którego wysyłam (czy jakoś tak, nie pamiętam jak to działa, nie znam się).

Hasło zdążyłem zmienić tuż przed banem, ale nie wiem czy coś to dało, bo teraz już nie mam dostępu do skrzynki nawet przez stronę www.

Czyli to najpewniej na komputerze u mnie coś zalega?

[mghost.pl]

Sprawdź jeszcze Eset online scan + MalwareBytes.

Wiesz, równie dobrze mogłeś mieć słownikowe hasło, które po prostu można było znaleźć na liście haseł i ktoś akurat spasował jeden z rekordów z Twoim adresem.

Jak wykluczysz komputer, to tylko to praktycznie jest jedyną opcją.

Chyba, że łączyłeś się do publicznych hotspotów i sprawdzałeś swoją skrzynkę autoryzując się plain textem...

[ttah]

Niestety z hasłem możesz mieć rację. Jak to zwykle bywa z lenistwa i wygody nie zmieniałem przez ostatnie kilka lat, a najtrudniejsze to ono nie było.

Malwerbytes już wczoraj sprawdziłem i cisza, a teraz tego ESETa odpalam.

Najciekawsze dla mnie jest to, że zwrotkę niedostarczenia maila dostawałem tylko jak sam wysłałem jakąś wiadomość do kogoś z pocztą @wp.pl (1 mail - 1 zwrotka, chociaż już odbijało mi nie tego maila co wysyłałem, tylko spamowego, o innej treści i z innego IP).

A jak tak sobie myślę, to powinienem chyba dostać setki takich zwrotek. Nie rozumiem w ogóle tej korelacji: 1 mail normalny - 1 zwrotka od przypadkowego demona poczty z zupełnie innym mailem.

[mghost.pl]

Pokaż zwrotkę, zwrotka prawdę Ci powie

[ttah]

Tę dostałem jako pierwszą na swoją skrzynkę @wp.pl, po wysyłce maila z Gmaila do kogoś z mailem na @wp.pl:

pastebin.com/JEEp597w

Kolejna próba dzień później i przyszło dokładnie to samo, tylko nieistniejący mail był inny. Trzecia próba to zamiast treści hello, były jakieś losowe literki: kjhhgghghghghhg

I zacząłem testować wysyłanie z innych skrzynek pocztowych na moją @wp.pl. Za każdym razem dochodził i mój e-mail i jakaś zwrotka. Np.:

pastebin.com/hu6F3V7m

pastebin.com/MbnVh38z

pastebin.com/J67J9xwZ

[SzlafRock]

I zacząłem testować wysyłanie z innych skrzynek pocztowych na moją @wp.pl.

Sprawdź dobrze komputer, zmień hasła na trudne do wszystkich skrzynek pocztowych.

[mghost.pl]

Pierwsza zwrotka - wysyłałeś maila do nieistniejącego użytkownika:

Remote host said: 550 5.7.1 No such user!

Kolejna - próba wysłania emaila z adresu ip, nieuwierzytelnionego przez odpowiedni rekord SPF:

Remote host said: 550 Bad SPF records for [wp.pl:64.64.214.214]

I faktycznie, adres ip: 64.64.214.214 nie ma takich uprawnień:

https://www.digwebinterface.com/?hostnames=wp.pl&type=TXT&ns=resolver&useresolver=8.8.4.4&nameservers=

To samo w kolejnej zwrotce i ostatniej

[ttah]

A skąd te maile były wysyłane? Idzie wykluczyć, że to z mojego komputera czy wręcz przeciwnie?

Tak ma moje to wysyłane były z jakichś kompów zombie, przy użyciu mojej skrzynki, ale jak pisałem wyżej, nie znam się

[mghost.pl]

https://whois.domaintools.com/97.106.148.203

https://whois.domaintools.com/213.113.56.116

Najczęściej komputery - zombie, słabo zabezpieczone serwery.

Jeśli nie mieszkasz w USA i chwilę później w Szwecji (albo nie tunelujesz połączeń przez te kraje), to można wykluczyć Twój komputer

[ttah]

To jest fascynujące, te wszystkie botnety. Mniej fascynuje bycie ich częścią, ale ich twórcy to są geniusze.

Siedzę w Polsce, na Neostradzie póki co. Sam niczego nie tuneluję, chociaż to pewnie nie byłby problem dla piszących różne robaki. Szkoda, że nigdy się nie dowiem gdzie i w jaki sposób dorwali się na moją pocztę.

Dobre chociaż to, że to prawdopodobnie nie ode mnie było wysyłane. Dokończę te skany kompa i potem raz jeszcze zmiana haseł.

Pozostaje mi też czekać na odpowiedź supportu wp.pl o ile odpiszą, czego pewien nie jestem, ponieważ nie płacę im za skrzynkę. Będzie mały żal jak mi przepadnie, no ale pewnie jakaś kara za takie szkolne błędy być musi

[mghost.pl]

Zacznij korzystać z takich rzeczy jak KeePass, LastPass.

Do każdej strony miej unikalne, generowane losowo hasło o maksymalnej dostępnej złożoności dla danego formularza.

Unikniesz takich problemów

Możesz też zerknać tutaj: https://haveibeenpwned.com/

[arve_lek]

Pozostaje mi też czekać na odpowiedź supportu wp.pl o ile odpiszą, czego pewien nie jestem, ponieważ nie płacę im za skrzynkę. Będzie mały żal jak mi przepadnie, no ale pewnie jakaś kara za takie szkolne błędy być musi

Mi też zbanowali, jeden telefon do nich załatwił sprawę i odblokowali mi skrzynkę bez problemów.

[ttah]

Odzyskałem dostęp do konta. Pryszło jeszcze kilka zwrotek już z innym spamem w treści ale po zmianie hasła na losowe, wygenerowane w KeePass na razie cisza. Ale minęło zbyt mało czasu by osądzać, więc póki co się wstrzymam.

Dziękuję wszystkim za pomoc, w szczególności swits.pl.

I od razu wstawiam rozwiązanie problemu gdy nie działa litera "ą" po zainstalowaniu KeePass. Z tym, że w nowszej wersji wchodzimy w zakładkę Integration, a nie Advanced jak tam jest wskazane.