:strip_exif()/u/69356/crop6703a7ee02efa.gif?f=community)
Ik krijg de laatste tijd zo nu-en-dan een e-mail die ik helemaal niet verzonden heb, vanaf een adres wat ik wel heb, maar niet gebruik.
Het zit zo:
Ik heb een domein (meerdere maarjah) mcdemaasstreek.nl
Hierop draait een Postfix mailserver (2.1.5-r2) met een forward van webmaster naar de account sa007 (ik dus).
Nu krijg ik dus e-mails met dat ik vanaf webmaster@mcdemaasstreek.nl mails zou versturen naar <insert normaal uitziend mailadres> met een virus erin (Email-Worm.Win32.NetSky.q).
Dit lijkt me sterk:
punt1. ik draai overal linux (W32 worm?)
punt2. ik draai NIET open relay (probeer maar, zelfs als je het graag wil, en je hebt login en pass werkt het zelfs niet)
punt3. dat mailadres staat alleen ingesteld als forward.
Het mailadres staat wel vermeld op enkele webpagina's
Is het nou echt dat mijn mail niet goed is of is iemand mij aan het immiteren en kan ik er niks aan doen?
Hier nog de source van een zo'n mail (gegevens vervangen door &&IETS&& reeksen)
Het zit zo:
Ik heb een domein (meerdere maarjah) mcdemaasstreek.nl
Hierop draait een Postfix mailserver (2.1.5-r2) met een forward van webmaster naar de account sa007 (ik dus).
Nu krijg ik dus e-mails met dat ik vanaf webmaster@mcdemaasstreek.nl mails zou versturen naar <insert normaal uitziend mailadres> met een virus erin (Email-Worm.Win32.NetSky.q).
Dit lijkt me sterk:
punt1. ik draai overal linux (W32 worm?)
punt2. ik draai NIET open relay (probeer maar, zelfs als je het graag wil, en je hebt login en pass werkt het zelfs niet)
punt3. dat mailadres staat alleen ingesteld als forward.
Het mailadres staat wel vermeld op enkele webpagina's
Is het nou echt dat mijn mail niet goed is of is iemand mij aan het immiteren en kan ik er niks aan doen?
Hier nog de source van een zo'n mail (gegevens vervangen door &&IETS&& reeksen)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
| Return-Path: <>
X-Original-To: webmaster@mcdemaasstreek.nl
Delivered-To: sa007@Deschutes.sa007.nl
Received: from mx2.activeisp.com (ns1.activeisp.com [213.188.129.5])
by Deschutes.sa007.nl (Postfix) with ESMTP id DD9B78FCBC
for <webmaster@mcdemaasstreek.nl>; Mon, 18 Apr 2005 22:58:56 +0200 (CEST)
Received: by mx2.activeisp.com (Postfix)
id CB25D1FC92B; Mon, 18 Apr 2005 22:19:23 +0200 (CEST)
Date: Mon, 18 Apr 2005 22:19:23 +0200 (CEST)
From: MAILER-DAEMON@mx2.activeisp.com (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: webmaster@mcdemaasstreek.nl
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="809431FA195.1113855563/mx2.activeisp.com"
Message-Id: <20050418201923.CB25D1FC92B@mx2.activeisp.com>
This is a MIME-encapsulated message.
--809431FA195.1113855563/mx2.activeisp.com
Content-Description: Notification
Content-Type: text/plain
This is the Postfix program at host mx2.activeisp.com.
I'm sorry to have to inform you that your message could not be
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to <postmaster>
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The Postfix program
<&&MAIL&&>: host mx-av.activeisp.com[213.188.134.21] said: 554 5.6.0
The message is infected with the "Email-Worm.Win32.NetSky.q" virus. (in
reply to end of DATA command)
--809431FA195.1113855563/mx2.activeisp.com
Content-Description: Delivery report
Content-Type: message/delivery-status
Reporting-MTA: dns; mx2.activeisp.com
X-Postfix-Queue-ID: 809431FA195
X-Postfix-Sender: rfc822; webmaster@mcdemaasstreek.nl
Arrival-Date: Mon, 18 Apr 2005 21:43:40 +0200 (CEST)
Final-Recipient: rfc822; &&MAIL&&
Action: failed
Status: 5.0.0
Diagnostic-Code: X-Postfix; host mx-av.activeisp.com[213.188.134.21] said: 554
5.6.0 The message is infected with the "Email-Worm.Win32.NetSky.q" virus.
(in reply to end of DATA command)
--809431FA195.1113855563/mx2.activeisp.com
Content-Description: Undelivered Message
Content-Type: message/rfc822
Received: from &&DOMEIN&& (&&HOST&& [&&IP&&])
by mx2.activeisp.com (Postfix) with ESMTP id 809431FA195
for <&&MAIL&&>; Mon, 18 Apr 2005 21:43:40 +0200 (CEST)
From: webmaster@mcdemaasstreek.nl
To: &&MAIL&&
Subject: Re: Mail Authentification
Date: Mon, 18 Apr 2005 21:43:39 +0200
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20050418194340.809431FA195@mx2.activeisp.com>
This is a multi-part message in MIME format.
------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit
Please authenticate the secure message.
------=_NextPart_000_0016----=_NextPart_000_0016
Content-Type: application/octet-stream;
name="document_info.txt.scr"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="document_info.txt.scr"
<--Insert base64 versie van worm-->
------=_NextPart_000_0016----=_NextPart_000_0016--
--809431FA195.1113855563/mx2.activeisp.com-- |
:strip_icc():strip_exif()/u/21971/crop5b5ae9fcba7bc_cropped.jpeg?f=community)