Non sto ad aprire un nuovo thread, ma per curiosità volevo un feedback.
State notando anche voi nelle ultime 8/10 ore e-mail di spam recanti nell'oggetto del messaggio indirizzi @libero.it validi, ma le e-mail curiosamente provengono da indirizzi @gmail.com (fuffa), con nel body un link bit.ly?
Ne ho già 6 nella Quarantena Amministrativa di Google Workspace e vedo che i destinatari (di ogni messaggio) sono diversi indirizzi e-mail legit (nel solito stile "invia a tutti i contatti"). Di solito questo capitava con caselle LiberoMail "bucate" ma le mail provenivano da indirizzi @libero.it. In questo caso sembrerebbe un'evoluzione: pescano i contatti da account LiberoMail e poi inviano con indirizzi Gmail (transitando dai server Google)
ESEMPIO
From: xxxxx0 <xxxxx0@gmail.com>
Date: Mon, 26 Jun 2023 16:02:52 +0300
Message-ID: <CA+RvHHXxxxxxxxxxxxxxxxxxxxxxxxxxxxxx1rA@mail.gmail.com>
Subject: indirizzoesistente@libero.it
To: dest1 <xxxx@yahoo.it>, dest2 <xxx@xxxx.it>,
dest3 <xxxxx@yahoo.it>, dest4 <xxxxx@xxxxxxxxxx.it> ....
Content-Type: text/plain; charset="UTF-8"
https://bit.ly/xxxxxxxxx
HEADER
ARC-Authentication-Results: i=1; mx.google.com;
dkim=pass header.i=@gmail.com header.s=20221208 header.b=Uh2xD+z7;
spf=pass (google.com: domain of xxxxx0@gmail.com **designates 209.85.220.41 as permitted sender**) smtp.mailfrom=xxxxx0@gmail.com;
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
Return-Path: <xxxxx0@gmail.com>
Received: from mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.220.41])
by mx.google.com with SMTPS id c30-x00x0X9dXX5e000xxx0b00xxfxxxxx4a0xr14XXXX8otk.4.2023.06.26.07.51.10
for <xxxxxx@xxxxxxxxxxxxxxx.it>
(Google Transport Security);
Mon, 26 Jun 2023 07:51:11 -0700 (PDT)
Received-SPF: pass (google.com: domain of xxxxx0@gmail.com **designates 209.85.220.41 as permitted sender**) client-ip=209.85.220.41;
Authentication-Results: mx.google.com;
dkim=pass header.i=@gmail.com header.s=20221208 header.b=Uh2xD+z7;
spf=pass (google.com: domain of xxxxx0@gmail.com **designates 209.85.220.41 as permitted sender**) smtp.mailfrom=xxxxx0@gmail.com;
dmarc=pass (p=NONE sp=QUARANTINE dis=NONE) header.from=gmail.com
come evidenziato, le e-mail transitano da 209.85.220.41 che è un IP Google/Gmail (IP address of the GMAIL server. Every email written with GMAIL web application will show this IP address).
Qualcun'altro sta ricevendo queste e-mail di spam?
Gmail le identifica già come spam, ma per sicurezza ho aggiunto una regola di compliance 😆
