Beste WHTers,
twee klanten krijgen sinds kort (ene klant sinds vanmorgen, andere 2 dagen terug) hun mail account (username@domein.tld) volge"spammeded" met bounce mails van onze mailservers, ik citeer klant: "Een paar dagen geleden had ik die hele 25000 mails verwijderd. Vandaag heb ik weer gekeken en er blijken er weer 5000 te zijn."
Het gaat, vermoed ik, om spam mails:
The message identifier is: 1EQx3r-0004fQ-MD
The subject of the message is: Destaque do m?s !! Playboy
The date of the message is: Sun, 16 Oct 2005 03:11:39 +0200
The address to which the message has not yet been delivered is:
camila@hawk.com.br
Delay reason: SMTP error from remote mailer after RCPT TO:<camila@hawk.com.br>:
host mail.dashsjc.com.br [200.206.190.237]: 450 <camila@hawk.com.br>:
Recipient address rejected: User unknown in local recipient table
A message that you sent could not be delivered to one or more of its recipients. This is a permanent error. The following address(es) failed:
camilop@ieg.com.br
It appears that the DNS operator for ieg.com.br has installed an invalid MX record with an IP address instead of a domain name on the right hand side.
Viel me wel op dat bij beide klanten , die dit als voorbeeld gaven, iets met camila/o is.
Kunnen jullie mij eens raad geven: hoe pak ik dit aan? Ik heb niet echt een idee hoe ik dit nu moet uitzoeken, het lijkt erop dat die mailboxen misbruikt worden. chkrootkit geeft aan dat er geen rootkits gevonden zijn. Waar kan ik nog meer mee zoeken? Iemand ervaringen met zo'n situatie?
Alvast bedankt!
Alexander