Onderwerp: Spam van mezelf?

Beste mensen,

Ik heb zo'n zwaar vermoeden dat men op mijn server relayed naar adressen die bij mij in de mailserver staan.

Voorbeeld:

Received: FROM [218.74.227.244] BY mail.crediblehosting.nl with hMailServer ; Tue, 6 Dec 2005 13:36:54 +0100
Message-ID: <CKMEGHBCJIEOIPFOEGCAOKDADNAB.angelique.grant_jk@c beng.com>
From: "Angelique Grant" <angelique.grant_jk@cbeng.com>
To: geenspam@credible.nl
Subject: Shining Stars Stock
Date: Tue, 06 Dec 2005 13:35:21 +0000
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: base64

Credible ben ik. Normaal gesproken komt er nog een mailserver vóór mail.crediblehosting.nl. Die krijg ik nu echter niet. Betekent dit dat men rechtstreeks spamt op mijn server? Of zie ik spoken?

Zo als ik het zie gebruiken ze alleen je domeinaam....tenzij 218.74.227.244 een ip van jou is. (ip = uit azie)

Ik heb hier de laatste tijd ook last van, dat mijn Email adres is ingevult als reply-to adres. Ik krijg sinds afgelopen week dagelijks enkele tientallen bouncemails. Ik denk dat zoiets ook bij jou is gebeurt?

Ik heb geen idee wat ertegen gedaan kan worden, iemand tips hiervoor?

hmm vaag. Normaal staat er tussen al die neppe mailtjes die ik nog ontvang het echte IP van de spammer.

zoals al die mailtjes die ik terug ontvang omdat ik er als afzender sta:
...
Authentication-Results: mta108.mail.ukl.yahoo.com
from=mijn domein .nl; domainkeys=neutral (no sig)
Received: from 60.51.148.5 (HELO txhlg.nl) (60.51.148.5)
by mta108.mail.ukl.yahoo.com with SMTP; Sun, 04 Dec 2005 18:48:11 +0000
From: Admin@ mijn domein
Date: Sun, 04 Dec 2005 18:39:47 UTC
...

Als het goed is moet je dus ook zoiets zien.
Is dit een server waar klanten op draaien en zelf hun php mail script in elkaar kunnen timmeren? Cpanel (op je server) mailt elke week altijd netjes een mailtje met dit soort info.

Origineel geplaatst door FreeFly
Zo als ik het zie gebruiken ze alleen je domeinaam....tenzij 218.74.227.244 een ip van jou is. (ip = uit azie)

Nee, is niet van mij. Ik woon gewoon in NL en gebruik geen proxys.

Zelf nog even wat nagezocht, volgens mij heb ik geen instelling verkeerd staan toch? Een open relay ben ik niet, maar "semi-"open ook toch niet?

Origineel geplaatst door EWS

Ik heb geen idee wat ertegen gedaan kan worden, iemand tips hiervoor?

Je e-mail adres niet openbaar maken :-) of neerzetten als naam at domein dot com

Origineel geplaatst door Glenn
Een open relay ben ik niet, maar "semi-"open ook toch niet?

Der spammerts gebruiker gewoon jou e-mail adres als reply adres.

Origineel geplaatst door EWS
Ik heb hier de laatste tijd ook last van, dat mijn Email adres is ingevult als reply-to adres. Ik krijg sinds afgelopen week dagelijks enkele tientallen bouncemails. Ik denk dat zoiets ook bij jou is gebeurt?

Nee, dat is weer een ander probleem. Mijn e-mailadres staat niet als afzender. Men maakt bij mij een SMTP connectie en verzend vervolgens naar de domeinen die ik host.

Ik heb geen idee wat ertegen gedaan kan worden, iemand tips hiervoor? [/B]

Voor jouw probleem wel, beveilig je php mail scripts!

EDIT: Lees dit eens:
http://securephp.damonkohler.com/ind...mail_Injection

Origineel geplaatst door FreeFly

Der spammerts gebruiker gewoon jou e-mail adres als reply adres.

Nee hoor, kijk nog eens naar mijn openingspost. Wat staat daar bij FROM? Niet mijn e-mailadres

En wie zegt er dat het vermelde From: ook de MAIL FROM (envelope sender) is?
Maar goed. Jouw mailserver (mail.crediblehosting.nl) accepteert gewoon e-mail voor @credible.nl adressen:

$ telnet mail.crediblehosting.nl 25
Trying 80.69.78.136...
Connected to mail.crediblehosting.nl.
Escape character is '^]'.
220 mail.crediblehosting.nl - Hi, welcome to the CredibleHosting.nl Mailserver! - Be blessed!
helo there
250 Hello. Pleased to meet you
mail from:<>
250 ... Sender OK
rcpt to:<postmaster@credible.nl>
250 OK its for postmaster@credible.nl
quit
221 goodbye
Connection closed by foreign host.

en threads over spam via fallback MX servers hebben we al genoeg gezien (no offence).

Echter, je zegt:

Normaal gesproken komt er nog een mailserver vóór mail.crediblehosting.nl.

Nee hoor...

$ dig NS credible.nl

;; ANSWER SECTION:
credible.nl. 67403 IN NS ns1.transip.nl.
credible.nl. 67403 IN NS ns1.crediblehosting.nl.
credible.nl. 67403 IN NS ns2.transip.nl.

$ dig @ns1.transip.nl. credible.nl MX

;; ANSWER SECTION:
credible.nl. 60 IN MX 0 mail.crediblehosting.nl.
credible.nl. 60 IN MX 10 relay.transip.nl.

$ dig @ns1.crediblehosting.nl. credible.nl MX

;; ANSWER SECTION:
credible.nl. 60 IN MX 10 relay.transip.nl.
credible.nl. 60 IN MX 0 mail.crediblehosting.nl.

;; ADDITIONAL SECTION:
mail.crediblehosting.nl. 3600 IN A 80.69.78.136

//edit

Betekent dit dat men rechtstreeks spamt op mijn server?

Ja en nee. Men kan een spamtool gebruiken die spam aflevert op op te geven MX'en / mailservers (spammers zijn lui, dus geen telnet o.i.d.). Maar gezien de MX records voor credible.nl wordt gewoon alle e-mail rechtstreeks op je mailserver afgeleverd.

Jan, bedankt voor je reactie. Ik heb een hoop te verduidelijken

Origineel geplaatst door Digiover
En wie zegt er dat het vermelde From: ook de MAIL FROM (envelope sender) is?

Ik snap wat je bedoelt, heb regelmatig valse afzenders gezien. Daar gaat het nu m.i. nu niet om, omdat het IP al aangeeft dat ik het zelf niet ben.

Maar goed. Jouw mailserver (mail.crediblehosting.nl) accepteert gewoon e-mail voor @credible.nl adressen:en threads over spam via fallback MX servers hebben we al genoeg gezien (no offence).

Ik bedoelde ook totaal geen fallback MX-en. Met voor bedoel ik dit: normaal gesproken verzend ik spam via een smtp server. Die levert het vervolgens af op mijn mail.crediblehosting.nl. Dit is de normale situatie:

(2)Received: FROM [217.172.253.163] BY mail.crediblehosting.nl with hMailServer ; Tue, 6 Dec 2005 21:19:17 +0100
(1)Received: from lbk@localhost by XaJ.int (8.11.6/8.11.6); Tue, 06 Dec 2005 17:12:36 -0300
Message-ID: <BFWalNEJRILOivP489rT@bokchoyrecipe.com>
From: "Debbie Levy" <KatherineDell@candy-dandy.com>
Reply-To: "Debbie Levy" <KatherineDell@candy-dandy.com>
To: geenspam@credible.nl
Subject: MS Office 2003 Pro $69.95 MS 2003
Date: Wed, 07 Dec 2005 01:16:36 +0500
MIME-Version: 1.0

Zoals je ziet krijgt mijn mailserver hem van een andere verzende mailserver aangeboden (het gaat hier dus niet om fallback mx-en). Echter, het geval wat ik bedoel gaat zo:

(1)Received: FROM [218.74.227.244] BY mail.crediblehosting.nl with hMailServer ; Tue, 6 Dec 2005 13:36:54 +0100
Message-ID: <CKMEGHBCJIEOIPFOEGCAOKDADNAB.angelique.grant_jk@c beng.com>
From: "Angelique Grant" <angelique.grant_jk@cbeng.com>
To: geenspam@credible.nl
Subject: Shining Stars Stock
Date: Tue, 06 Dec 2005 13:35:21 +0000
MIME-Version: 1.0
Content-Type: text/plain
Content-Transfer-Encoding: base64

Zoals je ziet, maar 1 mailserver. Oftewel, het lijkt erop dat die spammer mijn mailserver gebruikt om mail te verzenden naar domeinen die ik host. Dus dat hij niet zijn eigen smtp provider gebruikt, maar een connectie maakt met mijn smtp en vervolgens z'n spam dumpt en weer vertrekt. De vraag is of ik dát kan voorkomen.

Echter, je zegt: Nee hoor...

Zie uitleg hierboven Hoop dat het nu wel duidelijk is.

//editJa en nee. Men kan een spamtool gebruiken die spam aflevert op op te geven MX'en / mailservers (spammers zijn lui, dus geen telnet o.i.d.). Maar gezien de MX records voor credible.nl wordt gewoon alle e-mail rechtstreeks op je mailserver afgeleverd. [/B]

Met voor bedoel ik dit: normaal gesproken verzend ik spam via een smtp server.

Wat hoor ik nou, verzend jij spam? Ban!#@#@!!

OK, genoeg gelachen. De meeste spam wordt tegenwoordig inderdaad direct op je mailserver afgeleverd. Hiervoor worden meestal PC's gebruikt met een open proxy die geinstalleerd wordt via spyware, virussen, worms et cetera, en die connecten gewoon met je poort 25.

Wat je kan doen is DNS blocklists gebruiken op je mailserver. Veel geinfecteerde PC's komen vroeg of laat wel op een proxy of spam blocklist. Zo kun je in ieder geval een aardig deel voorkomen (maar helaas niet alles). Wij hebben een paar blocklists waarin we vele lists mirroren, verder zijn ook de blocklists van Spamhaus en Spamcop aan te raden*.

* = Nu volgen er 5 posts waarom je de list van Spamcop niet moet gebruiken, maar ik vind het aantal false positives redelijk meevallen en het houdt erg veel tegen

Er al wel eens aan gedacht dat spammers zelf ook over SMTP servers beschikken? Of dat zij misbruik maken van virus geïnfecteerde-hosts (met proxies en/of SMTP servertjes)? Dan ontbreekt die schakel. Oók zijn er spamtools die rechtsteeks met de MX'en van de te bespammen domeinen praten, net als met telnet als het ware (maar automated).

Het IP 218.74.227.244 komt uit een range (218.74.192.0 - 218.74.255.255) van CHINANET en is derhalve waardig om te blokkeren. De afgelopen dagen is de host wel rustig:
http://www.senderbase.org/search?sea...218.74.227.244

De vraag is of ik dát kan voorkomen.

Moeilijk en het kost heel veel tijd. Naast het gebruiken van vele DNS- en RBL's moet je je eigen blacklist maken en onderhouden. Dit betekent het analyseren van spam, toevoegen van IP adressen aan je blacklist die geblokkeerd moeten worden, het documenteren waarom dezen geblokkeerd zijn en verifiëren of de blokkades nog terecht zijn (deze range kan je wel permanent blokkeren).

Origineel geplaatst door lifeforms


Wat hoor ik nou, verzend jij spam? Ban!#@#@!!

OK, genoeg gelachen. De meeste spam wordt tegenwoordig inderdaad direct op je mailserver afgeleverd. Hiervoor worden meestal PC's gebruikt met een open proxy die geinstalleerd wordt via spyware, virussen, worms et cetera, en die connecten gewoon met je poort 25.

Wat je kan doen is DNS blocklists gebruiken op je mailserver. Veel geinfecteerde PC's komen vroeg of laat wel op een proxy of spam blocklist. Zo kun je in ieder geval een aardig deel voorkomen (maar helaas niet alles). Wij hebben een paar blocklists waarin we vele lists mirroren, verder zijn ook de blocklists van Spamhaus en Spamcop aan te raden*.

* = Nu volgen er 5 posts waarom je de list van Spamcop niet moet gebruiken, maar ik vind het aantal false positives redelijk meevallen en het houdt erg veel tegen

Zeker lachen Als je mij betrapt op spam mag je me zonder voorafgaande waarschuwing afsluiten. Geen probleem

Ja, die lists gebruik ik dus. Maar ik zit verschrikkelijk in de knoei met mijn mailserver. Die vraagt wat voor reply je terug krijgt indien er een positive in zit. Ik heb al jouw suggesties al geprobeerd, maar het wil niet baten

Wel aan gedacht, maar achtte de kans klein. Blijkbaar is dat dus niet zo, dus bedankt voor jullie antwoorden Jan en Walter!

EDIT: Chinanet range maar even op de IP-blocklist gezet.

Origineel geplaatst door Glenn
Ja, die lists gebruik ik dus. Maar ik zit verschrikkelijk in de knoei met mijn mailserver. Die vraagt wat voor reply je terug krijgt indien er een positive in zit. Ik heb al jouw suggesties al geprobeerd, maar het wil niet baten

Een positive moet een 553 (5xx = hard) of 451 (4xx = soft) error melding krijgen. Zie sectie 4.2.3 (Reply Codes in Numeric Order) van RFC2821 (pagina 44).
Als dit is wat je bedoelt met welke reply terug gegeven moet worden.
Het kan per MTA verschillen hoe je instelt welke foutmelding teruggegeven moet worden.

451 - Requested action aborted: error in processing
553 - Requested action not taken: mailbox name not allowed (e.g., mailbox syntax incorrect)

//Edit: RFC pagina nummer.