forum.dsmarty.com

Posted: **08 Oct 2003, 00:16**

Bij een klant waar ik 1x per week wat beheer onsite doe ben ik tegen een lastig probleem aangelopen.

De Postmaster-mailbox (exchange 5.5) wordt overladen met bounced spam-mails. Iets of iemand stuur met grote regelmatig met allerlei fictieve adressen van de klant spam de wereld in naar allerlei niet bestaande mailadressen.
Hierdoor antwoorden allerlei Postmasters met de melding dat dat adres niet bestaat. Gevolg....Bijna 1000 mailtjes per dag die binnenkomen op de Postmaster en ik mag gaan selecteren welke weg kunnen en welke echt verkeerd geaddresseerd zijn (en dus doorgestuurd).

De mailserver doet niet aan relay, die optie is afgesloten.
Verder is na de virusstorm van de laatste tijd zowat ieder werkstation in dat bedrijf gecontroleerd op virussen. Denk dus ook niet dat het daar ergens zit.

Mijn vermoeden is dat iemand van buiten af net doet alsof hij vanuit ons domein mailt. Met als gevolg dat wij de reply's krijgen.

Mijn vraag nu........Hoe kan ik achterhalen waar het vandaan komt en wat kan ik er tegen doen?

Enige TIP is van zeer Harte Welkom.

Posted: **08 Oct 2003, 00:25**

Dus jullie domein staat in het FROM gedeelte? Kijk even naar de born van het bericht, daar staan een hoop nuttige IP's in!

Posted: **08 Oct 2003, 00:30**

ff gezocht:

Code: Select all

Subject: Welcome to forum.dsmarty.com Forums
To: , <aarjan@hotmail.com>
MIME-Version: 1.0
Content-type: text/plain; charset=iso-8859-1
Content-transfer-encoding: 8bit
Date: Sat, 14 Jun 2003 19:41:27 UT
From: postmaster@dsmarty.com
Message-ID: <MC5-F39Wk6P7P1jN3d30001a252@mc5-f39.law1.hotmail.com>

Deze moet je hebben:

Received: from mail.dsmarty.com ([])

Posted: **08 Oct 2003, 00:31**

Vergeet niet dat veel e-mail adressen gespoofed worden. Dus meegepakt zijn uit anderen hun adderesboek. Daarnaast maakt kazaa zich ook op grote schaal schuldig van dit soort praktijken. Als een klant ooit kazaa heeft gebruikt, kunnen email adressen uit die tijd nog steeds in spam lijsten staan.

Posted: **09 Oct 2003, 01:54**

Probleem is dat wij de From niet krijgen. Wij krijgen antwoord van een postmaster (ander domein) dat "wij" gepoogd hebben iemand te mailen en dat dat niet lukte omdat dat adres niet bestaat.

De informatie die wij dus krijgen is bijvoorbeeld van Postmaster@hotmail.com pietjepukkel@hotmail.com bestaat niet, jullie mailtje van ikvnwivbnibv@onsdomein.com is niet aangekomen.

Daar kunnen wij dus niets mee.
Als wij nu de info hadden van de andere partij die ons "verwittigd", dan zijn we een stap verder

Inderdaad iemand zit flink op onze naam te spoofen....maar hoe kom ik er achter wie en hoe kan ik het stoppen??

Posted: **09 Oct 2003, 10:18**

Kan je geen filters bouwen in exchange? Zodat je alleen die mailtjes nog maar te zien krijgt met een mail adres dat ook werkelijk bij jullie bestaan? Ik weet, het is geen mooi oplossing, maar wel functioneel!

Posted: **09 Oct 2003, 13:05**

madman wrote:Kan je geen filters bouwen in exchange? Zodat je alleen die mailtjes nog maar te zien krijgt met een mail adres dat ook werkelijk bij jullie bestaan? Ik weet, het is geen mooi oplossing, maar wel functioneel!

Is een idee Madman
Alleen willen we juist de mailtjes afvangen gericht aan alle ooit ontslagen medewerkers. En na een reorganisatie waar ongeveer 50% er uit moest zijn er dat nogal wat.

Ben trouwens al wat verder.

Via de tests bij http://trusontechnologies.com/services/spam_tester.php

erachter gekomen dat de relay niet helemaal dicht staat bij ons.
Wordt aan getimmerd nu....

Verder de headers van de originele berichten bekeken en daaruit bleek dat de originele spam niet vanaf onze exchange-server kwam.
Bijgevoegd een Message IDvan zo'n bericht.

70fd01c38e29$907d8818$7fa01068@kgbibvc

Helaas is KGBIBVC net zo' variable als hetgeen voor de @ staat

forum.dsmarty.com

Spam probleem

Spam probleem