Hoje em dia os spammers utilizam técnicas aprimoradas para enviar e-mail forjando o remetente das mensagens, técnica também conhecida como Spoofing.
Isso ocorre pois protocolo SMTP (responsável pelo envio de e-mail) ainda que seguro, possui a vulnerabilidade que permite que qualquer pessoa com conexão internet e um programa especial, envie mensagens alterando o campo "From" (remetente)
Ex.: Você pode receber uma mensagem com o remetente "seu_email@seudominio.com.br".
Abaixo definimos algumas causas já identificadas que pode causar esse tipo de incidente nas contas de email de seu domínio.
Pode ser que o seu computador ou o de alguém que possui seu e-mail no catálogo de endereços esteja infectado com um WORM, que é um tipo de vírus que envia e-mails automaticamente para todos os contatos no catálogo de endereços do programa de e-mail, principalmente o Microsoft Outlook e o Outlook Express, a fim de tentar se multiplicar.
Variações conhecidas como Cavalos-de-Tróia (trojans) também podem apresentar um comportamento semelhante. Outros tipos ainda podem até buscar endereços digitados no seu Webmail, por meio de arquivos temporários do navegador. Isso possibilita que o vírus crie uma mensagem contaminada forjando ser de sua autoria.
Para resolver, é necessário fazer uma varredura em seu computador a fim de localizar e eliminar o vírus. Recomendamos também que troque a senha da sua caixa postal e não utilize mais o e-mail em seu computador até que você tenha certeza de que ele esteja "limpo".
Se sua máquina não estiver infectada e mesmo assim você receber devoluções de mensagens não enviadas, é bem provável que o problema esteja no computador de alguém que tem o seu e-mail registrado em seu catálogo de endereços, e aí não tem muito o que fazer, pois a solução dependerá dessa pessoa.
Como forma de precaver esse tipo de problema é recomendado manter seu anti-vírus sempre atualizado e ativo. Certos anti-vírus e programas de firewall detectam e bloqueiam quando mensagens são enviadas com muitos destinos, e até mesmo muitas mensagens enviadas de uma vez só.
É possível que alguma pessoa tenha enviado mensagens (normalmente mensagens em massa, como malas diretas, ou SPAM) e utilizou uma técnica de Spoofing citada acima, que consiste em forjar o remetente da mensagem utilizando um e-mail qualquer como endereço de resposta para os possíveis erros.
Com Spammers utilizando a técnica de Spoofing é possível que você receba mensagens de erro com o remetente contendo o seu endereço de email ou o endereço de qualquer conta de seu domínio. Isso ocorre pois toda vez que enviamos uma mensagem para um endereço inválido/inexistente, é retornado uma mensagem de erro (bounce) e como normalmente os Spammers disparam mensagens para uma enorme lista de e-mails, é comum que muitos dos endereços dessa lista sejam inválidos.
Então para evitar que as mensagens sejam devolvidas para o próprio servidor do spammer, ele configura um e-mail qualquer para recebê-las, e você pode ter tido o azar de ser escolhido.
Também é possível que você receba propagandas ou mensagens comuns com o seu email como remetente. Isso normalmente é utilizado para o envio de SPAM possibilitando ao spammer não utilizar ou divulgar seus endereços.
A vantagem que o spammer tem com essa ação é que, se ele estiver usando um servidor de e-mails próprio, ele economizará recursos do servidor dele, pois este não precisará processar as mensagens retornadas.
E se por acaso o spammer estiver usando um servidor de e-mails de outra empresa, com essa técnica ele conseguirá disfarçar os bounces registrados nos logs do provedor, dificultando que o spammer seja descoberto pelo real dono do servidor ou remetente.
Veja as três principais situações onde há spoofing:
A certeza você só terá depois que analisar todas as possibilidades que citamos acima, mas para saber por onde começar, observe o cabeçalho completo exibido no conteúdo da mensagem de erro recebida.
Lendo o cabeçalho de baixo para cima, veja se no primeiro "Received:" tem algum endereço com o domínio "locaweb.com.br". Se tiver, acesse o prompt do DOS e faça um ping nesse endereço e outro ping no endereço pop.[seudomínio.com.br].
Compare os endereços IP mostrados em cada ping e se forem iguais, significa que a mensagem foi disparada pelo seu servidor de e-mails, ou seja, sua máquina possivelmente está infectada. Se os IPs forem diferentes, pode se tratar de alguma vulnerabilidade relacionada à diretiva allow_url_fopen, então vale a pena conferir a programação de seu site.
Do contrário, é bem provável que você sofreu um spoofing ou que algum conhecido seu pegou algum vírus que está tentando se multiplicar.
Infelizmente não existem formas de realizar o bloqueio dessas mensagens, pois as mesmas são enviadas por servidores externos aos da LocaWeb, onde não temos acesso a nenhum tipo de configuração para bloquear esse tipo de envio, pois trata-se de uma vulnerabilidade do protocolo SMTP e não de nossos servidores.
Para reduzir as chances de você sentir esse problema é a possibilidade de você não ativar o apelido * (asterisco), ou pega-tudo, pois este faz com que sua conta receba mensagens enviadas para qualquer endereço eletrônico do seu domínio, mesmo que ele não exista.
Para minimizar o recebimento dessas mensagens na pasta de entrada também sugerimos que ative as ferramentas de SPAM ¹ nas contas de seu domínio seguindo os passos no link abaixo:
¹Opções válidas apenas para serviço Email Locaweb
IMPORTANTE: Para que os filtros de SPAM funcionem corretamente o seu domínio não deve estar na lista de bloqueio, pois caso o mesmo esteja os filtros de não farão as devidas verificações de SPAM.
Em nossa estrutura visando evitar que essa pratica ocorra partindo de nossos servidores, realizamos um ajuste que sempre que uma mensagem é enviada com um from diferente da conta que autentica o erro Access Denied retorna, e a mensagem não é envida.
Essa alteração pode fazer com que serviços de E-mail Marketing ou SMTP externos pararem de funcionar, caso feita de modo incorreto.
Para bloquear essa prática foi criada uma politica chamada SPF, através da qual o Administrador de um domínio determina quais IP's/ domínios são autorizados a realizar envios de mensagens por seu domínio.
Como na Locaweb nosso padrão utiliza o atributo ? Neutro(Neutral), os envios acabam sendo aceitos, mesmo quando partem de servidores que não estão declarados na entrada SPF.
Dessa forma para reduzir e em alguns casos eliminar essas fraudes, por completo, basta editar em sua zona de DNS, sua entrada SPF, alterando esse atributo de "?" para "-" fail, assim nenhum servidor que não esteja declarado em sua entrada SPF, poderá enviar mensagens por seu domínio.
Caso seu domínio não esteja na Locaweb, ou utilize serviços de outras empresas para o envio de e-mails, reúna todos os valores das entradas SPF que esses serviços precisam, que sejam criadas, antes de alterar qualquer coisa em sua zona de DNS, para desse modo evitar que algum serviço de envio seja comprometido.
Assim poderá garantir que todos os seus serviços de envio de mensagens estejam autorizados e aptos à realização de envios por seu domínio.