В смысле звонят напрямую админу, и тот сразу сообщает ему пароль по телефону? :)
Ну а бумаги (санкции) какие-то нужны им для этого иметь, или чистый воды гопстоп? :)

Ну, так как я не "техник", а юзер, то опишу своими словами. Это нечто вроде интерфейса удаленного доступа.
И да, и нет. Тут ведь как: пришли, забрали, инфу скопировали и отдали-извинились (или же не отдали). А обосновать - всегда можно

Если речь всё ещё идёт про СОРМ, то там всё предельно просто - это обычный сервак, жрущий дармовое электричество в стойке любого отечественного провайдера. В него включается 2 провода. Первый уходит к фсбшникам, которые и притащили сервак, а по второму провайдер обязан сливать копию всего своего трафика. В случае если у кровавой гэбни пропадает связь с серваком - в офисе провайдера раздаётся звонок и протокольный голос интересуется чего случилось и не надоела ли провайдеру его лицензия.

Во всяком случае именно так это выглядело несколько лет назад :-)

Добавлено через 2 минуты
Из мер защиты использую GPG (Gnu Privacy Guard) для общения с представителями технической интеллигенции.
В остальной переписке остаётся уповать на то, что оператору СОРМ будет не слишком скучно проглядывать мою эпистолярщину за утренним кофе.

К сожалению, в данном случае это не похоже на простую подмену адреса отправителя. Такой заголовок "Received" получается в том случае, если письмо не отправили, а загрузили в почтовый ящик, создав черновик и переместив его в папку "Входящие". При этом в поле "From" автоматически подставляется адрес из настроек учётной записи.

Мне тоже "Давно пытаюсь создать с нуля..." пришло. Пароль был стойкий, доступ к ящику осуществлялся только с одного компьютера, на котором ничего подозрительного не нашлось (проверял с помощью CureIt, AVZ, ClamAV). Пароль знал только я. При аутентификации использовался протокол HTTPS. Если верить полю "Date", компьютер на момент создания письма был выключен. Также я обычно завершаю сессию в веб-интерфейсе и не храню cookie от почты. Похоже, что злоумышленник должен был знать пароль или обойти проверку.

А по ссылкам в этих письмах действительно вирус. Я один файл загрузил — там архив, в архиве файл с расширением scr, а там Trojan.Carberp.10 по классификации DrWeb.

Это опечатанная коробка, внутри которой сервак. Прямой монтаж в стойку запрещен.
В ручную просматривать можно, но этого никто не делает. Всё на технике. В ручную - только по запросу.

Интересно-интересно. Павел Ваш комментарий?

Добавлено через 2 часа 57 минут
Кстати, пара статей в тему Кто из ФСБ работает на форумах и в блогах и Грязные руки

Откуда дровишки? Никогда не слышал о подобном требовании.
Что фсбшный тазик обязан стоять строго на полу чтобы о него все вспотыкались?

Добавлено через 3 минуты
Извините, но на первый взгляд это бред.
На второй, впрочем, тоже :)

Что именно в заголовке натолкнуло вас на столь превратную интерпретацию?

Я проводил эксперименты. При пересылке письма даже внутри сервиса rambler.ru, даже при отправке письма самому себе, получается больше одного заголовка "Received". Обязательно присутствуют минимум два заголовка: 1) о передаче письма MX Рамблера (mx<XX>.rambler.ru) по протоколу SMTP; 2) о передаче от MX внутреннему серверу (mail<YY>.rambler.ru).

Заголовок "Received: from [<IP>] by mperl<ZZZ>.rambler.ru with HTTP (mailimap)" (вероятно, могут быть другие варианты адреса принимающей стороны) добавляется сразу же при создании письма в рамблеровском веб-клиенте Ramail. Если письмо не было отправлено, то он остаётся единственным. Если было, следующим добавляется заголовок о передаче письма по SMTP.

К тому же, в моём случае письмо в почтовом ящике было отмечено в веб-клиенте как важное, хотя не содержало заголовка, устанавливающего приоритет, что тоже наводит на мысль о несанкционированном доступе в ящик.

Теперь понятно, спасибо. Да такое вполне может быть - просто из исходного сообщения было неочевидно, что это - единственный заголовок в письме.

Я видел несколько таких писем (Ink приводил выше листинг одного из них) — во всех заголовок "Received" единственный.

Видимо, в последние дни пошла волна таких атак. На разных форумах всплывают недоумённые сообщения пострадавших. К сожалению, мало кто представляет себе истинную серьёзность проблемы.

Такое возможно. И для этого необязательно доступ к ящику. Если кто-то имеет
доступ извне не к пограничным front-end SMTP-серверам почтовой инфраструк-
туры, а к внутреннему SMTP-серверу (к последнему серверу в цепочке) и про-
грамма рассылки устанавливает соединение с ним, причем именно по протоколу
SMTP, причем извне, причем с левого внешнего IP-адреса, то заголовок тоже 1,
и в поле sender также можно вбивать адрес получателя. Конкретно с рамблером
я не экспериментировал, но на корпоративных почтовых системах так получалось.

Я не исключаю вариант, что сами почтовые провайдеры могут оказывать услуги
по массовой рассылке, в таком случае у них доступ к любым своим сервакам и
они могут какие-угодно манипуляции с заголовками рассылаемых писем делать.

По моему опыту, конечной точкой приёма сообщений на Рамблере являются серверы mail*. С mperl* почта только выходит. Неизвестно, как mperl* работают на приём. Впрочем, не зная, как там всё устроено на самом деле, трудно говорить о возможной схеме взлома.

Я поэкспериментировал с рамблером по схеме Whale (создаем письмо, сохраняем
как черновик, а потом перемещаем в папку входящих). Получил такой заголовок:

Received: from [193.233.69.10] by mcgi-wr-21.rambler.ru with HTTP (mailimap);
Fri, 28 Oct 2011 10:18:44 +0400
From: <xyz@rambler.ru>
To: <xyz@rambler.ru>
Subject: 123
Date: Fri, 28 Oct 2011 10:18:44 +0400
MIME-Version: 1.0
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="windows-1251"; format="flowed"
Message-Id: <632746163.1319782724.105088680.49579@mcgi-wr-21.rambler.ru>
X-Mailer: Ramail 3u, (chameleon)

Заголовок Received один и во многом такой же, как в случае примера Ink.

Принимающие сервера - mperl* (их имена разрешаются в адреса 10.8.X.X),
либо mcgi-wr* (их имена разрешаются в адреса 10.32.X.X). В обоих случаях
это private (частные) адреса, напрямую к ним из внешних сетей нет доступа.
Так что версия Whale вполне может быть реальной. Только вот, кто и зачем
так странно развлекается. И вообще сами админы рамблера в курсе этого?

Это ппц,они задолбали со своими взломами,люди фигнёй страдают!есть же возможность завести свой аккаунт без проблем и никто тебя не банит,пиши что хочешь!Так нет,надо же кому нибудь что нибудь испортить!

Сейчас что-то творится с серверами рамблера: на протяжении последних часов регулярные ошибки

У них часто такое бывает.