Bij een klant waar ik 1x per week wat beheer onsite doe ben ik tegen een lastig probleem aangelopen.
De Postmaster-mailbox (exchange 5.5) wordt overladen met bounced spam-mails. Iets of iemand stuur met grote regelmatig met allerlei fictieve adressen van de klant spam de wereld in naar allerlei niet bestaande mailadressen.
Hierdoor antwoorden allerlei Postmasters met de melding dat dat adres niet bestaat. Gevolg....Bijna 1000 mailtjes per dag die binnenkomen op de Postmaster en ik mag gaan selecteren welke weg kunnen en welke echt verkeerd geaddresseerd zijn (en dus doorgestuurd).
De mailserver doet niet aan relay, die optie is afgesloten.
Verder is na de virusstorm van de laatste tijd zowat ieder werkstation in dat bedrijf gecontroleerd op virussen. Denk dus ook niet dat het daar ergens zit.
Mijn vermoeden is dat iemand van buiten af net doet alsof hij vanuit ons domein mailt. Met als gevolg dat wij de reply's krijgen.
Mijn vraag nu........Hoe kan ik achterhalen waar het vandaan komt en wat kan ik er tegen doen?
Enige TIP is van zeer Harte Welkom.
Spam probleem
Spam probleem
Tilburgs Carnavals Motto 2012:
Ge wit ôot nôot nie
Ge wit ôot nôot nie
ff gezocht:
Deze moet je hebben:
Code: Select all
X-Message-Info: JGTYoYF78jEHjJx36Oi8+Q1OJDRSDidP
Received: from mail.dsmarty.com ([80.126.124.231]) by mc5-f39.law1.hotmail.com with Microsoft SMTPSVC(5.0.2195.5600);
Sat, 14 Jun 2003 12:39:59 -0700
Received: from mail.dsmarty.com ([])
by mail.dsmarty.com (Merak 5.8.6) with SMTP id E11QV
for <aarjan@hotmail.com>; Sat, 14 Jun 2003 21:39:59 +0200
Subject: Welcome to forum.dsmarty.com Forums
To: , <aarjan@hotmail.com>
MIME-Version: 1.0
Content-type: text/plain; charset=iso-8859-1
Content-transfer-encoding: 8bit
Date: Sat, 14 Jun 2003 19:41:27 UT
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: PHP
From: postmaster@dsmarty.com
Return-Path: postmaster@dsmarty.com
Message-ID: <MC5-F39Wk6P7P1jN3d30001a252@mc5-f39.law1.hotmail.com>
X-OriginalArrivalTime: 14 Jun 2003 19:39:59.0562 (UTC) FILETIME=[BDBE12A0:01C332AC]
Received: from mail.dsmarty.com ([])
Vergeet niet dat veel e-mail adressen gespoofed worden. Dus meegepakt zijn uit anderen hun adderesboek. Daarnaast maakt kazaa zich ook op grote schaal schuldig van dit soort praktijken. Als een klant ooit kazaa heeft gebruikt, kunnen email adressen uit die tijd nog steeds in spam lijsten staan.
cn=Blacktux,dc=EMS2CREW,dc=NL
** This File Should Not Be World Readable **
The open cow project pwd = "admin"
[url]HTTP://WWW.EMS2CREW.TK[/url]
** This File Should Not Be World Readable **
The open cow project pwd = "admin"
[url]HTTP://WWW.EMS2CREW.TK[/url]
Probleem is dat wij de From niet krijgen. Wij krijgen antwoord van een postmaster (ander domein) dat "wij" gepoogd hebben iemand te mailen en dat dat niet lukte omdat dat adres niet bestaat.
De informatie die wij dus krijgen is bijvoorbeeld van Postmaster@hotmail.com pietjepukkel@hotmail.com bestaat niet, jullie mailtje van ikvnwivbnibv@onsdomein.com is niet aangekomen.
Daar kunnen wij dus niets mee.
Als wij nu de info hadden van de andere partij die ons "verwittigd", dan zijn we een stap verder
Inderdaad iemand zit flink op onze naam te spoofen....maar hoe kom ik er achter wie en hoe kan ik het stoppen??
De informatie die wij dus krijgen is bijvoorbeeld van Postmaster@hotmail.com pietjepukkel@hotmail.com bestaat niet, jullie mailtje van ikvnwivbnibv@onsdomein.com is niet aangekomen.
Daar kunnen wij dus niets mee.
Als wij nu de info hadden van de andere partij die ons "verwittigd", dan zijn we een stap verder
Inderdaad iemand zit flink op onze naam te spoofen....maar hoe kom ik er achter wie en hoe kan ik het stoppen??
Tilburgs Carnavals Motto 2012:
Ge wit ôot nôot nie
Ge wit ôot nôot nie
Is een idee Madmanmadman wrote:Kan je geen filters bouwen in exchange? Zodat je alleen die mailtjes nog maar te zien krijgt met een mail adres dat ook werkelijk bij jullie bestaan? Ik weet, het is geen mooi oplossing, maar wel functioneel!
Alleen willen we juist de mailtjes afvangen gericht aan alle ooit ontslagen medewerkers. En na een reorganisatie waar ongeveer 50% er uit moest zijn er dat nogal wat.
Ben trouwens al wat verder.
Via de tests bij http://trusontechnologies.com/services/spam_tester.php
erachter gekomen dat de relay niet helemaal dicht staat bij ons.
Wordt aan getimmerd nu....
Verder de headers van de originele berichten bekeken en daaruit bleek dat de originele spam niet vanaf onze exchange-server kwam.
Bijgevoegd een Message IDvan zo'n bericht.
70fd01c38e29$907d8818$7fa01068@kgbibvc
Helaas is KGBIBVC net zo' variable als hetgeen voor de @ staat
Tilburgs Carnavals Motto 2012:
Ge wit ôot nôot nie
Ge wit ôot nôot nie