aiuto informatico posta
06/09/2013, 10:48
chiedo aiuto agli esperti informatici del forum.
stamani mi sono ritrovato con più di 500 mail nouve, tutte o quasi ero del tipo "delivery status notification" con in allegato due file, uno di testo (notepad) ed uno di tipo ATT0.dat.
la domanda è: mi hanno fregato la pw della mail o è un virus?
cioè, se cambio la pw (già fatto) risolvo il problema? perchè comunque poco fa me ne è arrivata un'altra ma prima arrivavano a gruppi di 10-12 mail, quindi non escludo che questa singola sia semplicemente arrivata in ritardo.
stamani mi sono ritrovato con più di 500 mail nouve, tutte o quasi ero del tipo "delivery status notification" con in allegato due file, uno di testo (notepad) ed uno di tipo ATT0.dat.
la domanda è: mi hanno fregato la pw della mail o è un virus?
cioè, se cambio la pw (già fatto) risolvo il problema? perchè comunque poco fa me ne è arrivata un'altra ma prima arrivavano a gruppi di 10-12 mail, quindi non escludo che questa singola sia semplicemente arrivata in ritardo.
06/09/2013, 11:24
Non e' semplice fare un'analisi a distanza con questi elementi.
Tieni comunque presente che in questi giorni ci sono stati numerosi attacchi DOS a provider vari e quindi non e' escluso che si tratti di messaggi generati in seguito a malfunzionamenti dei sistemi.
Quanto alla password, che comunque e' sempre meglio cambiare spesso, non credo c'entri in questo caso dato che si tratta di messaggi ricevuti.
Tieni sotto controllo la cosa e vedi come evolve.![[;)]](./images/smilies/UF/icon_smile_wink.gif "Occhiolino")
Tieni comunque presente che in questi giorni ci sono stati numerosi attacchi DOS a provider vari e quindi non e' escluso che si tratti di messaggi generati in seguito a malfunzionamenti dei sistemi.
Quanto alla password, che comunque e' sempre meglio cambiare spesso, non credo c'entri in questo caso dato che si tratta di messaggi ricevuti.
Tieni sotto controllo la cosa e vedi come evolve.
06/09/2013, 11:47
zakmck ha scritto:
Quanto alla password, che comunque e' sempre meglio cambiare spesso, non credo c'entri in questo caso dato che si tratta di messaggi ricevuti.
avevo la stessa da una decina di anni, forse anche di più!
comunque dopo averla cambiata non ne sono arrivati altri, ma all'ultimo accesso mi ha fatto nuovamente cambiare la pw causa "tentativi sospetti di accesso", perciò direi che è confermata l'idea della pw rubata.
peccato, ci ero affezionato.
06/09/2013, 11:50
E' successo anche a me ma non ti preoccupare...
...ho cercato in giro ed hanno operato cosi':
1) hanno prelevato le email su internet in vari siti (tra cui facebook e un vecchio log di aruba)
2) hanno inviato email a tutti da tutti
ovviamente moltissimi indirizzi che hanno usato non funzionano più e, quindi, il provider ha rispedito al mittente (che ovviamente non è quello che ha inviato la posta)
Una spiegazione veloce veloce per la posta
Ci si collega al provider (anche con telnet)
Si scrive HELO seguito dal nome del provider (falso ovviamente)
Si scrive MAIL seguito dall'indirizzo di posta del mittente
Si scrive RCPT seguito dall'indirizzo di posta del destinatario
Si scrive DATA seguito dal testo della mail (questo è l'oggetto)
Si manda la combinazione di tasti <RETURN><LINEFEED> per due volte
Si scrive quello che si vuole (questo è il messaggio)
Si termina con . su una riga vuota
fine! email fasulla inviata
Per approfondire qui' è spiegato benissimo http://www.wowarea.com/italiano/aiuto/smtpteit.htm
...ho cercato in giro ed hanno operato cosi':
1) hanno prelevato le email su internet in vari siti (tra cui facebook e un vecchio log di aruba)
2) hanno inviato email a tutti da tutti
ovviamente moltissimi indirizzi che hanno usato non funzionano più e, quindi, il provider ha rispedito al mittente (che ovviamente non è quello che ha inviato la posta)
Una spiegazione veloce veloce per la posta
Ci si collega al provider (anche con telnet)
Si scrive HELO seguito dal nome del provider (falso ovviamente)
Si scrive MAIL seguito dall'indirizzo di posta del mittente
Si scrive RCPT seguito dall'indirizzo di posta del destinatario
Si scrive DATA seguito dal testo della mail (questo è l'oggetto)
Si manda la combinazione di tasti <RETURN><LINEFEED> per due volte
Si scrive quello che si vuole (questo è il messaggio)
Si termina con . su una riga vuota
fine! email fasulla inviata
Per approfondire qui' è spiegato benissimo http://www.wowarea.com/italiano/aiuto/smtpteit.htm
Ultima modifica di Microges il 06/09/2013, 11:53, modificato 1 volta in totale.
06/09/2013, 12:02
Microges ha scritto:
E' successo anche a me ma non ti preoccupare...
...ho cercato in giro ed hanno operato cosi':
1) hanno prelevato le email su internet in vari siti (tra cui facebook e un vecchio log di aruba)
2) hanno inviato email a tutti da tutti
ovviamente moltissimi indirizzi che hanno usato non funzionano più e, quindi, il provider ha rispedito al mittente (che ovviamente non è quello che ha inviato la posta)
Una spiegazione veloce veloce per la posta
Ci si collega al provider (anche con telnet)
Si scrive HELO seguito dal nome del provider (falso ovviamente)
Si scrive MAIL seguito dall'indirizzo di posta del mittente
Si scrive RCPT seguito dall'indirizzo di posta del destinatario
Si scrive DATA seguito dal testo della mail (questo è l'oggetto)
Si manda la combinazione di tasti <RETURN><LINEFEED> per due volte
Si scrive quello che si vuole (questo è il messaggio)
Si termina con . su una riga vuota
fine! email fasulla inviata
Per approfondire qui' è spiegato benissimo http://www.wowarea.com/italiano/aiuto/smtpteit.htm
cioè, io chiappo un indirizzo mail a caso, seguo le procedure sopra descritte ed in pratica risulta una mail inviata dall'indirizzo in questione?!?
06/09/2013, 12:10
Massimo Falciani ha scritto:
cioè, io chiappo un indirizzo mail a caso, seguo le procedure sopra descritte ed in pratica risulta una mail inviata dall'indirizzo in questione?!?
Si, tutti i campi di un messaggio di posta sono modificabili a piacere.
Quindi qualcuno ti aveva beccato la password e utilizzava il tuo account per spedire mail in giro. Le mail che ricevevi erano quindi le notifiche del sistema di posta che ti ritornava le mail non consegnate per problemi vari.
Forse e' meglio che ti fai anche un approfondito controllo per verificare che non ci sia qualche ospite indesiderato sulla tua macchina.
06/09/2013, 19:13
Messaggio di Massimo Falciani
chiedo aiuto agli esperti informatici del forum.
stamani mi sono ritrovato con più di 500 mail nouve, tutte o quasi ero del tipo "delivery status notification" con in allegato due file, uno di testo (notepad) ed uno di tipo ATT0.dat.
la domanda è: mi hanno fregato la pw della mail o è un virus?
cioè, se cambio la pw (già fatto) risolvo il problema? perchè comunque poco fa me ne è arrivata un'altra ma prima arrivavano a gruppi di 10-12 mail, quindi non escludo che questa singola sia semplicemente arrivata in ritardo.
Da quello che descrivi si tratta semplicemente di spoofing, non c'è stata nessuna violazione o password rubata dal tuo account di posta.
Piu o meno è come se io spedisco una busta ad un destinatario inesistente e ci metto come mittente Massimo Falciani - via verdi2 - milano.
La posta non trovando il destinatario restituisce la busta a te notificandoti che l'indirizzo del destinatario è inesistente.
Con le e-mail accade la stessa cosa
Io invio una mail ad un indirizzo inesistente e nel campo "rispondi A:" ci metto il tuo "m.falciani@alice.it"
Il server non trovando l'indirizzo manda al tuo indirizzo "m.falciani@alice.it" una notifica dello stato di consegna, in questo caso segnalandoti un errore allegati anessi.
Ultima modifica di Wolframio il 06/09/2013, 19:19, modificato 1 volta in totale.
06/09/2013, 19:41
Wolframio ha scritto:
Da quello che descrivi si tratta semplicemente di spoofing, non c'è stata nessuna violazione o password rubata dal tuo account di posta.
Certamente questo e' possibile ma serve un open relay. Dato che ormai sono merce molto rara, e' molto probabile che vengano utilizzati account violati per mandare spam con smtp auth. E dato che molti provider controllano la congruenza tra la clausola "MAIL FROM" e la password utilizzata, non e' inusuale che utilizzino la stessa mail dell'account violato come mittente.
Comunque dato che la webmail di Massimo ha segnalato dei "tentativi sospetti di accesso" ritengo che abbia fatto molto bene a cambiare la password.
06/09/2013, 20:47
un ulteriore domanda: se avessero utilizzato l'account (insomma se l'avessero effettivamente violato) que messaggi dovrebbero comparire nella posta inviata giusto?
perchè ovviamente ho immadiatamente controllato ma l'ultimo messaggio lo avevo mandato io il giorno prima.
perchè ovviamente ho immadiatamente controllato ma l'ultimo messaggio lo avevo mandato io il giorno prima.
06/09/2013, 20:59
Massimo Falciani ha scritto:
un ulteriore domanda: se avessero utilizzato l'account (insomma se l'avessero effettivamente violato) que messaggi dovrebbero comparire nella posta inviata giusto?
perchè ovviamente ho immadiatamente controllato ma l'ultimo messaggio lo avevo mandato io il giorno prima.
Se hanno violato il tuo account ed avrebbero inviato delle email le trovresti nella posta inviata.
Non sò che account hai, ma mettiamo che tu invii delle email, se tu puoi cancellarle dalla posta inviata e dal cestino, la stessa cosa la potrebbe fare anche quello che si è impossessato del tuo account per non insospettirti della sua presenza.
Io per esempio ho il mio dominio di posta (nome@cognome.ch) e posso controllare nei log gli accessi agli account con relativi Ip di chi è entrato.
Ultima modifica di Wolframio il 06/09/2013, 21:07, modificato 1 volta in totale.
07/09/2013, 03:24
Massimo Falciani ha scritto:
un ulteriore domanda: se avessero utilizzato l'account (insomma se l'avessero effettivamente violato) que messaggi dovrebbero comparire nella posta inviata giusto?
perchè ovviamente ho immadiatamente controllato ma l'ultimo messaggio lo avevo mandato io il giorno prima.
A parte che senza sapere i dettagli (tipo di casella, modalita' di accesso che utilizzi, ecc) non si puo' entrare nello specifico, ma in generale direi di no.
Ad esempio per inviare spam e' difficile che utilizzino la webmail. Solitamente accedono all'smtp relay direttamente utilizzando le credenziali violate (utente e password). In questo modo i messaggi inviati non appaiono all'utente legittimo.
Come suggerito anche da Wolframio, prova a verificare se il tuo provider fornisce uno strumento per verificare gli accessi alla tua casella.
07/09/2013, 11:03
Confermo quanto dici... se qualcuno accede direttamente al server di inoltro, il titolare non si accorge.
07/09/2013, 14:07
Wolframio ha scritto:
Confermo quanto dici... se qualcuno accede direttamente al server di inoltro, il titolare non si accorge.
però dovrebbe risultare dagli accessi, giusto?
perchè avevo controllato ma sembravano regolari, poi però c'è stato il tentativo di accesso sospetto...
boh...
07/09/2013, 14:49
Massimo Falciani ha scritto:Wolframio ha scritto:
Confermo quanto dici... se qualcuno accede direttamente al server di inoltro, il titolare non si accorge.
però dovrebbe risultare dagli accessi, giusto?
perchè avevo controllato ma sembravano regolari, poi però c'è stato il tentativo di accesso sospetto...
boh...
Nei log del server tutti gli accessi vengono memorizzati, il problema è che tu non potrai leggerli per vie convenzionali perchè non gestisci il server ma solo l'account che ci è ospitato. Come ha detto zakmck se l'accesso viene fatto direttamente dall' smtp relay i messaggi inviati, a te non appaiono come pure gli accessi, anche perchè il server di inoltro della posta è usato da tutti i clienti e non solo da te. Ma qui bisognerebbe sapere che servizio di posta elettronica è il tuo altrimenti si possono fare solo supposizioni.
poi però c'è stato il tentativo di accesso sospetto...
Qui bisogna capire e faccio solo una ipotesi che mi potrai confermare o smentire.... supponiamo che ti sei messo in allarme ed hai fatto parecchi accessi in breve tempo per verificare il tuo account, potrebbero essere stati i tuoi ripetuti accessi a far scattare l'avviso di accesso sospetto.
Prendila come ipotesi
![[:)]](./images/smilies/UF/icon_smile.gif "Felice"){kind=icon}
Ultima modifica di Wolframio il 07/09/2013, 15:01, modificato 1 volta in totale.
07/09/2013, 23:47
stasera sono arrivate altre mail, tanto per sicurezza ho cambiato nuovamente pw (questa mi sa che me la scordo) e vediamo cosa succede da ora a domani mattina.
questo non mi pare sia successo, una olta cambiata pw l'ho salvata e basta, perciò non credo sia dipeso da me.
comunque tanto per completezz di info ho un account di libero, la mia mail è anche tra i dati del mio pofilo personale qui su ufoforum.
ma potrebbe anche dipendere da qualche virus o simile?
Wolframio ha scritto:poi però c'è stato il tentativo di accesso sospetto...
Qui bisogna capire e faccio solo una ipotesi che mi potrai confermare o smentire.... supponiamo che ti sei messo in allarme ed hai fatto parecchi accessi in breve tempo per verificare il tuo account, potrebbero essere stati i tuoi ripetuti accessi a far scattare l'avviso di accesso sospetto.
Prendila come ipotesi
questo non mi pare sia successo, una olta cambiata pw l'ho salvata e basta, perciò non credo sia dipeso da me.
comunque tanto per completezz di info ho un account di libero, la mia mail è anche tra i dati del mio pofilo personale qui su ufoforum.
ma potrebbe anche dipendere da qualche virus o simile?