PDA

Bekijk Volledige Versie : Spam e-mail/ bounced e-mail



ebkmartijn
14/02/15, 15:34
Beste,

Op dit moment ondervind ik een probleem op mijn server met e-mail. Er worden verschillende e-mails verstuurd(spam) vanaf een bepaald account, deze e-mails worden echter niet zelf verstuurd en gaan meestal naar e-mailadressen welke niet bestaan. Hierdoor komen ze in de Mail Queue Administration te staan van Directadmin.

Na het checken van de logs lijkt het erop dat er wel daarwerkelijk is ingelogd op het account. Een header van de mail staat hieronder (anoniem gemaakt).

1YMaHM-0001hQ-Qk-H
mail 8 12
<info@xxxxxxx.nl>
1423910932 0
-helo_name mail.xxxxxxx.nl
-host_address 189.234.224.2.18227
-host_auth plain
-interface_address 85.17.250.193.25
-received_protocol esmtpa
-body_linecount 31
-max_received_linelength 616
-auth_id info@xxxxxx.nl
-host_lookup_failed

< E-mail adressen >

194P Received: from [189.234.224.2] (helo=mail.xxxxxxx.nl)
by server1.xxxxxxx.nl with esmtpa (Exim 4.76)
(envelope-from <info@xxxxxxx.nl>)
id 1YMaHM-0001hQ-Qk; Sat, 14 Feb 2015 13:48:53 +0300
090 Content-Type: multipart/alternative; boundary="----=_NextPart_000_17B5_1EFB8695.6FDD3A4E"
032 Content-Transfer-Encoding: 7bit
035F From: Raul Lupia <info@xxxxxxx.nl>
024 Mime-Version: 1.0 (1.0)
010 Subject:
057I Message-Id: <27636b825248$143619d6$68387147$@xxxxx.nl>
038 Date: Sat, 11 Jan 2015 11:50:24 +0000
012 References:
014 In-Reply-To:
617T To: Een hele lading adressen
029 X-Mailer: iPad Mail (12A365)
047 Thread-Index: AdJVBW/vazdhbHh2YnRwYzk0bXM5cg==
024 Content-Language: en-us

Uit bovenstaande header maak ik op dat er daadwerkelijk is ingelogd op het mail account en er vervolgens mail is verstuurd via Ipad Mail. Kan het zo zijn dat die Ipad bijvoorbeeld is besmet met een virus en deze mail verzend via de betreffende Ipad?

Intussen stapelen de mails zich vrij snel op en zoek ik dus spoedig een oplossing.

Ik hoor graag van u.

Met vriendelijke groet,

Martijn

Mikey
14/02/15, 15:44
Beste Martijn,

Mocht je er niet uit komen, wij kunnen je helpen voor € 25.00 / uur

Je vraag of de ipad besmet is, acht ik in ieder geval heel klein. Het zullen waarschijnlijk fake headers zijn om de mail zo legitiem mogelijk te maken.

t.bloo
14/02/15, 15:55
1. het komt niet van je ipad, dat is fake
2. iemand in Mexico heeft je password
3. verander het password bij slimservers

Bovenstaande komt veel voor. Ze sniffen of brute forcen het password en gebruiken dan je server om spam email te versturen. Je ziet alleen de mail die blijft hangen, de andere 90% is al lang naar buiten.

Mark17
14/02/15, 16:46
Bovenstaande komt veel voor. Ze sniffen of brute forcen het password en gebruiken dan je server om spam email te versturen. Je ziet alleen de mail die blijft hangen, de andere 90% is al lang naar buiten.

Helaas zien we het met enige regelmaat. Mogelijk is de schade relatief beperkt door een goede rate limiting (op 200-500 mails per dag). Meestal is het wachtwoord wijzigen de eerste en snelste stap om de verdere gevolgen te beperken.