Вопрос Заражение в компании, как предотвратить.

[Alien]

возможно заражение произошло от 2 ПК которые я подозреваю.

 

[Alien]

поток писем всё ещё идёт...

 

[akok]

На такое поведение должен антиспам реагировать. DKIM, DMARK, SPF сервер проверяет?

 

[Alien]

DKIM

Отличная фича, в курсе её, но у хостинг сервера нету такой поддержки.

DMARK, SPF сервер

Нет нет...
У них нету никакого почтового сервера...

 

[akok]

Тогда как почта настроена?

 

[Alien]

Прошу проверить 2 suspect хотя бы

Тогда как почта настроена?

Да я сам был удивлён
Никак...
MX рекорд + хранение и отправка на клиентские машины по POP3(110)... (я о шифровании молчу...)

 

[AlexZir]

Пароль на почте поменяли?
Хост, с которого почта по организации рассылается, доступен для сканирования?

 

[Sandor]

Посмотрел CollectionLog-2020.08.10-10.07_ayshen_hamidova(suspect).zip - плохого не видно.

 

[akok]

MX рекорд + хранение и отправка на клиентские машины по POP3(110)... (я о шифровании молчу...)

Как совет, посмотри в сторону корпоративной почты яндекса или mail.ru.

 

[Lunik]

Добрый день! У Вас проблема то получается, что к вам от компании партнера приходят письма с вирусом?? Просто не совсем понял.
И переживаете, что вы могли были заражены?

 

[Alien]

Пароль на почте поменяли?

да

посмотри в сторону корпоративной почты яндекса или mail.ru.

Было решено установить Exchange сервер (чтобы сканировать вложения) на сервере.
Да и иметь больший контроль.

компании партнера приходят письма с вирусом

то что писалось партнёрам (содержание текста), присылаются якобы от них к нам.

И переживаете, что вы могли были заражены?

Да

DKIM, DMARK, SPF

DKIM, SPF включил
DMARK пока не разобрался.

 

[Lunik]

Тебя защищать это полезное занятие и даже самое главное. Но так же надо работать с партнером, защита защитой но спам ваших ящиков не прикратится.
Может быть такое, что это не от вашего партнера письма приходят, просто подменный ящик от их имени для убедительности.?

 

[AlexZir]

Заголовок спамерского письма процитировать можете? Интересует содержимое полей FROM

 

[regist]

Может быть такое, что это не от вашего партнера письма приходят, просто подменный ящик от их имени для убедительности.?

Так в теме уже несколько раз ТС писал, что это просто от их имени с "левого ящика" письма приходят.
Это так этот вирус работает, он ворует список контактов с заражённой машины, а потом ведёт рассылку по ним. Чтобы вызвать больше доверия у новой потенциальной жерты.

 

[Lunik]

Так в теме уже несколько раз ТС писал, что это просто от их имени с "левого ящика" письма приходят.

Да чет не внимательно прочитал.

Это так этот вирус работает, он ворует список контактов с заражённой машины, а потом ведёт рассылку по ним. Чтобы вызвать больше доверия у новой потенциальной жертвы.

Да я в курсе как он работает))

Ну тогда вас просто будут долбить, спамом этим)
Антивирус + Фильтрация почты + Информирование сотрудников как действовать в данный ситуация когда приходят такие письма.
Закрытие уязвимость систем как серверных так и пользовательских.

Данные ситуация часто встречаются у клиентов с письмами от их якобы партнеров, спам продолжается не больше 3-4 недель по моим наблюдениям, с периодичностью раз в 2 дня)

 

[Alien]

вирус работает, он ворует список контактов с заражённой машины

Да новые e-mailы и сотрудники которые не работали с фирмой этой не получают спама от слова СОВСЕМ. Всё чисто у них.

 

[Alien]

Эти ПК, внезапно в outlook, у них "сбрасывается пароль".
Видимо какое-то вредоносное ПО сидит. После восстановления настроек и смены пароля резко приходят сообщения от разных доменов что от Вас идут спам рассылки.
Пару раз был замечен вирус Emotet в папке All Users
Спасибо.

Надо выучить понимание логов.
Они в новом формате.

 

[Alien]

что их всех объеденяет?
почему у них детектится emotet и сбрасывается пароль от outlook? windows defender 10 стоит с свежими базами + последняя 10

 

[akok]

Для проверки ПК темы создавайте в профильном разделе, а тут только обсуждение. Спасибо. Wi-Fi есть в офисе? Роутер обновлен?

 

[akok]

+++ скриншоты нужны детекта.