[e-mail] 200 bounceberichten per dag - Internet en hosting

maandag 10 oktober 2005 08:56

Acties:

Verwijderd

Topicstarter

Sinds anderhalve week wordt er via mijn e-mail adres blijkbaar spam & virussen naar anderen gestuurd. Dit gebeurt niet door mijn computer ofzo, het is gewoon gefaked. Nu heb ik dus onbeperkte aliassen (wat het probleem vormt) waar vrolijk gebruik van gemaakt. Het probleem is, dat ik nu letterlijk minstens 200 bounceberichten terugkrijg per dag.

Ik heb het forum afgezocht of iemand anders ook met dit probleem zat, maar het enige wat ik heb gevonden was: installeer een spamfilter (gedaan, helpt echt niet, want het lijkt met de dag meer te worden), wacht af gaat vanzelf wel weg (nou niet dus), of verander je aliassen (kan dus niet, want ze zijn onbeperkt en het is dus ook zeer willekeurig via welke naam er gestuurd wordt)

Het begint echt behoorlijk vervelend te worden, want door die chaos zie ik ook niet meer welke berichten wel aan mij verstuurd worden en gooi ik die misschien ook wel per ongeluk weg...

Ik heb juist (5 jaar terug) express voor een account met onbeperkte aliassen gekozen, zodat ik per groep een passende kon gebruiken. Deze worden ook gewoon nog gebruikt door belangrijke organisaties, dus ik kan niet zomaar mijn account gaan sluiten en maar één adres overhouden ofzo. (ik weet ook niet meer precies welke aliasen ik precies allemaal in gebruik heb)

maandag 10 oktober 2005 09:08

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Er zit vast enige regelmaat in de bouncemessages. Filter daar dan op en zet die allemaal in een aparte map.

Dat er wordt gebounced is een beetje inherent aan de manier waarop e-mail in elkaar steekt: bij niet bouncen ga je mails missen. Maar hoe dan ook kan je niets doen aan de meldingen die door andermans servers worden gegenereerd.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 10 oktober 2005 09:11

Acties:

pjottum

¯\_(ツ)_/¯

Ikzelf heb het domein flerp.net, dit heb ik al enige jaren. Dit wordt vaak gebruikt, spammerts vullen dan ahsjkghysakg@flerp.net in, in elke willekeurige volgorde. Gevolg is dat ik:
1. een specifiek mailaccount heb aangemaakt voor mezelf, en iedereen die specifiek via dit domein mailt.
2. de catchall nu helemaal uitgezet heb (dus mail daarop gaat direct naar /dev/null.

Je kan ook de catchall een tijdje blijven uitlezen, maar op een aparte pop-box zetten; filtering helpt hier gewoon niet meer bij. Helaas. (ik heb het geprobeerd, geloof me..)

Sterkte!

ping 127.212.23.124

maandag 10 oktober 2005 09:12

Acties:

Verwijderd

enige oplossing is een vast adres aanmaken en goed nadenken welke alliassen er bestaan. Deze vervolgens naar je eigen adres fw-en. Dan ben je iig van een gedeelte af.

maandag 10 oktober 2005 09:19

Acties:

Verwijderd

Topicstarter

Filteren werkt inderdaad niet. Dat doe ik nu al 1,5 week en er komen alleen maar steeds nieuwe adressen bij. (vanmorgen had ik er 300!!) Ik snap het gewoon niet, hoe dit ineens is ontstaan. Als ik fora afzoek, zie ik niet dit probleem ineens veel opduiken ofzo, dus waarom nu bij mij wel?

Ik zou het heel jammer vinden om van die aliassen af te stappen (zeker omdat ik er specifiek voor gekozen had) maarja, als dit zo door blijft gaan...

maandag 10 oktober 2005 09:27

Acties:

Blorgg

Waarschijnlijk worden al die mailtjes door een enkele PC verstuurd. Kijk eens in de headers waar vandaan ze verstuurd worden en spreek de bebehorende ISP aan.

Een ding is in ieder geval zeker. De mailservers die die mailtjes bouncen zijn erg slecht geconfigureerd. En goede mailserver controleerd namelijk eerst het domein en IP adres van de afzender en of die bij elkaar horen. Zo niet dan ga je niet bouncen, dan drop je zo'n mailtje gewoon omdat je anders krijgt wat jij nu hebt. Je zou dus ook nog even de beheerders van de bouncende mailservers aan kunnen spreken.

maandag 10 oktober 2005 09:29

Acties:

Frogmen

Er wordt hier driftig gezocht naar het gevolg, waarom probeer je de oorzaak niet te achterhalen er zijn tegenwoordig instanties die zich hier mee bezighouden maar zolang niemand aangifte doet kunnen zij niets. Ik zou het in ieder geval al uit principe overwegingen melden.

Voor een Tweaker is de weg naar het resultaat net zo belangrijk als het resultaat.

maandag 10 oktober 2005 09:33

Acties:

_JGC_

Dit is ook de reden waarom ik bij het herconfigureren van de mailserver bij een ISP gewoon catchall adressen helemaal weg heb geflikkerd. bestaande catchalls meegenomen in de conversie, nieuwe catchalls onmogelijk aan te maken. Reden is duidelijk, die heb jij inmiddels ondervonden. Bestaande klanten bellen dan nog wel eens op dat ze veel spam krijgen, blijkt vervolgens dat ze catchall hebben -> ow delete maar, gebruiken we toch niet

Ipv catchall hebben we gewoon toegestaan om zelf ongelimiteerd aliasen toe te wijzen aan mailadressen.

Bij die ISP reject postfix overigens al een heleboel virusmeldingen, als een virusscanner melding geeft aan een gebruiker dat er een virus in door de gebruiker gezonden mail zit, krijgt de postmaster van die mailserver dat ding gewoon keihard terug met een 554 error: met al dat gespoof kloppen die meldingen toch nooit.

maandag 10 oktober 2005 09:36

Acties:

Verwijderd

Topicstarter

Nee, ze komen niet van een enkele pc... Ik heb al een paar keer ip adressen zitten checken en de ene komt uit de USA, de ander uit Japan en de volgende uit (noem maar wat) Het is echt willekeurig. Als het ging om 15 berichten ofzo, zou ik inderdaad de gebruikers van dat bouncen wel kunnen waarschuwen, maar het zijn per dag zo'n 200 verschillende mensen... Dat is dus het dweilen met de kraan open.

Ik heb net ook even bij mijn account gekeken (Demon) (ga ze hier ook zeker nog over bellen), maar zie ook eigenlijk niet eens een mogenlijkheid om de aliassen te beperken. (het kan dat dit heel dom overkomt en dat je elk e-mail adres kan beperken) maar ik heb dit nog nooit gedaan en er staat dus ook niks bij de help...

EDIT
...Juist ja, zoals hierboven al uit op te maken is, beschik ik dus zelf niet over een mailserver, maar wordt dat bij die hele stugge Demon geregeld... Kan dus waarschijnlijk zelf weinig gaan instellen?

Ik krijg dus ook vaak meldingen dat ik een virus heb verstuurd (wat ik dus niet heb gedaan) dus die virusfilters kijken ook absoluut niet naar een ip adres en bouncen lekker door naar mij...

[ Voor 24% gewijzigd door Verwijderd op 10-10-2005 09:42 ]

maandag 10 oktober 2005 10:10

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Blorgg schreef op maandag 10 oktober 2005 @ 09:27:
Een ding is in ieder geval zeker. De mailservers die die mailtjes bouncen zijn erg slecht geconfigureerd. En goede mailserver controleerd namelijk eerst het domein en IP adres van de afzender en of die bij elkaar horen. Zo niet dan ga je niet bouncen, dan drop je zo'n mailtje gewoon omdat je anders krijgt wat jij nu hebt. Je zou dus ook nog even de beheerders van de bouncende mailservers aan kunnen spreken.

offtopic:
Oneens. Dat zou betekenen dat het merendeel van de bedrijven (MKB zonder eigen SMTP server) geen bounces krijgt en dat er mail verloren gaat. Mijn mail bounced af en toe (terwijl ik plaintext mail stuur imho zonder 'verdachte' termen) en ik wil het dan graag weten als dat het geval is.

Bij domeinen met iets als DomainKeys of Sender ID zou dan wel kunnen natuurlijk.

Verwijderd schreef op maandag 10 oktober 2005 @ 09:36:
Nee, ze komen niet van een enkele pc... Ik heb al een paar keer ip adressen zitten checken en de ene komt uit de USA, de ander uit Japan en de volgende uit (noem maar wat) Het is echt willekeurig. Als het ging om 15 berichten ofzo, zou ik inderdaad de gebruikers van dat bouncen wel kunnen waarschuwen, maar het zijn per dag zo'n 200 verschillende mensen... Dat is dus het dweilen met de kraan open.

De vraag is niet van welk IP de bounce komt, maar van welk IP het originele spambericht kwam. Als dat vaak dezelfde is, kan je daar wat aan doen.

[ Voor 4% gewijzigd door F_J_K op 10-10-2005 10:13 ]

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

maandag 10 oktober 2005 10:14

Acties:

Haranaka

Bij demon is het volgens zo dat je ervoor kan kiezen of je de hele catchall leeg haald of voor slechts enkele email adressen. Hangt af van welke gebruikersnaam je invult bij het ophalen van je post. Vul je als gebruikernaam: systeemnaam.demon.nl dan trek je de hele box leeg. Vul je daarintegen gebruiker1@systeemnaam.demon.nl in (met zelfde wachtwoord) wordt alleen de post van gebruiker 1 opgehaald en blijft de rest op de server van demon staan. Die worden als ik het goed heb na 30 dagen weggegooit.
Alleen hebben we dan nog 1 probleem:

ik weet ook niet meer precies welke aliasen ik precies allemaal in gebruik heb

Wat je dan nog kan doen is met enige regelmaat kijken via de webmail van demon bv op je catchall account of er toch nog post tussenzit die voor jou bestemd is.

Maar wellicht is het toch effectiever om aan de slag te gaan met het filteren van de binnenkomende berichten. Bijvoorbeeld op het ip adres van de spammer(s), dat wisselt minder vaak dan de afzenders email adressen. Vergelijk de headers van de emails goed en zoek naar overeenkomsten.
Als je toch het ip hebt van de spammer(s), stuur gelijk een abuse mailtje naar de provider.
Een beetje rigoreus maar je kan natuurlijk ook alle gebouncede email filteren, beetje jammer alleen als jij zelf een mailtje verstuurd naar een onbereikbaar adres.

Om je hiermee te kunnen helpen is het misschien handig te vermelden met wel programma jij de email ophaald en welke spamfilter je hebt gebruikt.

...

maandag 10 oktober 2005 10:16

Acties:

pjottum

¯\_(ツ)_/¯

@Fluzzz:
Het ligt ook niet aan jou.
Het ligt aan de virus/spam/etc makers. Die plukken gewoon willekeurige domeinen van het web om spam mee te gaan versturen. Via gehackte/gekraakte/voorzien van botjes pc's. (zie ook: http://www.nu.nl/news/605...lige_computerinbraak.html) Liefst een klein domeintje, maar philips.com kan net zo goed. Dat bouncen interesseert werkelijk ze geen ene h*l. Echt niet. 0,01 ct/bericht krijgt namelijk pas zin bij >1M-berichten.
Zoeken naar de source hiervan heeft dus helaas geen enkele zin. Je moet je dus indekken, door spamfilters en het loslaten van je catchall.

Als je dat dan niet zelf kan oplossen, moet je provider het doen. Dan kunnen ze wel stug zijn, maar je betaald ze elke maand weer, dus ze moeten wel. Slechte dienstverlening staat slecht in een markt waar je alleen met je dienstverlening het verschil kan maken (xs4all heeft niet voor niks een goeie naam..)

ping 127.212.23.124

maandag 10 oktober 2005 10:26

Acties:

Verwijderd

Topicstarter

Ik gebruik voor het ophalen van mijn mail zowel mijn webmail als Outlook Express. Voor het filteren MailWasher Pro (laatste versie) Ik filter alle bounce berichten daarop binnengekomen. (mijn blacklist is inmiddels al ENORM...)

Ik snap dat ik niet het ip adres moet controleren van degene die een bouncemailtje stuurt, maar heb in de headers gekeken van de mailtjes eronder die gebounced worden (als ik het zo duidelijk omschrijf) Dat moet dan toch het ip adres van de dader zijn? Nou ik zal vanmiddag nog maar eens gaan checken.

dinsdag 11 oktober 2005 10:32

Acties:

Verwijderd

Topicstarter

Nou ik heb gister en vandaag nog eens uitgebreid mijn berichten gecheckt op de ip adressen van de spammers, maar ben bang dat ze achter een anonieme proxi zitten, of wel verwijderd zijn door de bounce. Ze zijn in ieder geval echt nergens terug te halen. Op het internet nog een aantal slachtoffers van dit voorval gevonden die zelfs 1000en bounces per dag binnenkregen. Zij hebben er ook alles aan proberen te doen (zoals het achterhalen van de websites die gespammed worden) maar het haalde niks uit.

Ik ben bang dat ik toch maar een telefoontje naar mijn provider moet gaan plegen en zeggen dat ze het catch all moeten uitzetten. (hopelijk kunnen ze dan wel de paar mailadressen behouden die ik nu gebruik) Want bij mij lijkt het ook steeds meer te worden (zit nu aan de 500 mailtjes per dag

)

Het zou ook erg fijn zijn als die grote providers eens gingen stoppen met bouncen. Naar mijn idee levert dit niets op (behalve een hoop ellende voor de gedupeerden) de spammers zelf trekken zich over het algemeen toch niks aan van bounce berichten...

dinsdag 11 oktober 2005 10:58

Acties:

Woy

Moderator Devschuur®

Kan je niet in de headers kijken waar de mail vandaan is gestuurd. Als jij een mailtje van jou eigen stuurt kan je in de headers terug zien dat hij van jou is verstuurd. Als hij dus niet bij jou vandaan is verstuurd kan je hem gewoon droppen.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

dinsdag 11 oktober 2005 11:03

Acties:

leuk_he

1. Controleer de kabel!

pjottum schreef op maandag 10 oktober 2005 @ 10:16:
@Fluzzz:
Het ligt ook niet aan jou.
Het ligt aan de virus/spam/etc makers. Die plukken gewoon willekeurige domeinen van het web om spam mee te gaan versturen.

Om precies te zijn: ze pakkeneen "willekeuring"domein om het from adres mee te faken.

Need more data. We want your specs. Ik ben ook maar dom. anders: forum, ff reggen, ff topic maken
En als je een oplossing hebt gevonden laat het ook ujb ff in dit topic horen.

dinsdag 11 oktober 2005 11:16

Acties:

Verwijderd

De bounces komen vanuit de hele wereld. Maar de mail zelf (die bij iedereen bounced) wordt vaak vanaf 1 plek verstuurd. Het beste kun je die mailserver vinden. Vaak is het dan een open-relay, zonder dat iemand het door heeft. Ze of de ISP hierop wijzen is vaak al genoeg.
Ik heb dit zelf ook gehad en het melden was genoeg om het te doen stoppen.
(zat ook op 1000 per dag ofzo....)

Jouw domeinnaam wordt gebruikt om mail uit jouw naam mee te versturen, de mensen denken dat jij een spammer bent. Als je het niet stopt, dan wordt het hele domein straks als spam gezien en kun je er geen mail mee meer verzenden, omdat iedereen mail vanaf dat domein direct naar de /dev/null verwijst.... Dus actie is echt noodzaak. Maar wel bij de bron. Alleen zorgen dat je er zelf geen last van hebt helpt niets.

[ Voor 3% gewijzigd door Verwijderd op 11-10-2005 11:17 ]

dinsdag 11 oktober 2005 11:57

Acties:

Verwijderd

Topicstarter

Dat is nu net het probleem. Ik heb geprobeert om de locatie te achterhalen. Maar alles wat er in de headers staat is het demon ip adres (van mijn account dus) en het ip adres van de provider die het mailtje bounced. Daar kom ik dus niet veel verder mee... Het is inderdaad absoluut niet de bedoeling om met mijn domeinnaam als gevaarlijke spammer bekend te worden, maar wat dan te doen?

Dus hoe vind ik die gewraakte mailserver?

[ Voor 6% gewijzigd door Verwijderd op 11-10-2005 12:05 ]

dinsdag 11 oktober 2005 12:32

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op dinsdag 11 oktober 2005 @ 11:57:
Daar kom ik dus niet veel verder mee... Het is inderdaad absoluut niet de bedoeling om met mijn domeinnaam als gevaarlijke spammer bekend te worden, maar wat dan te doen?

Zoals ik al zei: check DomainKeys en SenderID. DomainKeys is imho te veel werk maar neem alle SMTP servers die je gebruikt op in je DNS records (Sender ID). Dit vooral ook in het kader van baat het niet dan schaadt het niet

Dus hoe vind ik die gewraakte mailserver?

Er is geen enkele bounce mail die de volledige headers meestuurt? Neem dan evt. contact op met een van de bouncers (let een beetje op wie/welke organisatie je aanspreekt).

Maar goed, helaas is dit in het kader van een gevalletje 'goeden, kwaden, lijden' waarschijnlijk niet goed op te lossen...

Kan je niet op basis van bepaalde headers de bounces naar een andere mailbox omleiden?

Verwijderd schreef op dinsdag 11 oktober 2005 @ 10:32:
Het zou ook erg fijn zijn als die grote providers eens gingen stoppen met bouncen. Naar mijn idee levert dit niets op (behalve een hoop ellende voor de gedupeerden) de spammers zelf trekken zich over het algemeen toch niks aan van bounce berichten...

offtopic:
Als mijn ISP mails aan of van mij / het bedrijf waar ik werk niet meer zou bouncen, zou ik een week later bij een andere ISP zitten. Mail is te belangrijk om het niet te merken als een mail niet aankomt.

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 11 oktober 2005 13:41

Acties:

Verwijderd

Topicstarter

Ok, voor de zekerheid zal ik maar even erbij melden dat voordat dit begon, ik mij nooit heb bezig gehouden met al die informatie die in de headers verstopt zit en er dus ook maar vaag bewust van was wat dit allemaal deed. Uiteraard ben ik al een aantal dagen aan het zoeken en zoeken op het internet voor een uitgebreide uitleg over deze gegevens en snap al iets meer van de brei aan gegevens, maar bij lange na nog niet genoeg... Dus heb ik vervolgens al een aantal keer het kladblok geopent met de mailtjes erbij en elke code onderelkaar geplakt. (dus ip adressen en andere voor mij raar uitziende getallen en codes) Bij elk mailtje heb ik dit opnieuw gedaan om te kijken of er ook maar iets overeen kwam in deze getallen en lettertjes reeks. Ip adressen heb ik laten checken waar ze vandaan kwamen (zo kwam ik erachter dat het eerste ip adres gegeven in de headers naar Demon leidt) en rare codes (dit zullen dan wel de sender ids zijn denk ik?) vergeleken. Maar... er kwam gewoon niets met elkaar overeen...

Dus doe ik nu iets vreselijk verkeerd ofzo? (dit zal dan wel, want ik maak uit jullie antwoorden op dat er wél ips ofwel andere dingen overeen moeten komen)

Ik zal eens proberen het aan zo'n provider te vragen of die de ips wel kan zien,maar wat nu als ze gespooft zijn?

Oeps...ik bedoelde trouwens niet het gewone bouncen van niet bestaande adressen, maar doelde op die fake bounces die mensen doen als ze spam ontvangen. Dat levert naar mijn idee alleen maar meer problemen op.

dinsdag 11 oktober 2005 14:02

Acties:

F_J_K

Moderator CSA/PB

Front verplichte underscores

Verwijderd schreef op dinsdag 11 oktober 2005 @ 13:41:
Dus doe ik nu iets vreselijk verkeerd ofzo? (dit zal dan wel, want ik maak uit jullie antwoorden op dat er wél ips ofwel andere dingen overeen moeten komen)

Nee hoor, het hoeft bepaald niet zeker van eenzelfde server af te komen. Het kan net zo goed zo zijn dat de spam wordt verstuurd van vele verschillende machines die zijn besmet met trojaanse paarden. En dan valt er echt niets aan te doen (behalve de taak tot je te nemen de hele wereld op te voeden...). Maar niet geschoten is altijd mis

'Multiple exclamation marks,' he went on, shaking his head, 'are a sure sign of a diseased mind' (Terry Pratchett, Eric)

dinsdag 11 oktober 2005 14:29

Acties:

Woy

Moderator Devschuur®

Maar je kan toch kijken of er geen andere gegevens in de headers staan als je zelf een mailtje stuurt die gebounced wordt. Als er dan bijvoorbeeld wel het ip adres van jouw mailserver in staat dan kan je dus filteren dat alleen bounces waar dat adres in staat doorgelaten worden.

Wat ik dus bedoel: Kijk eens wat het verschil in headers is met mailtjes die je zelf stuurt die gebounced worden en mailtjes van de spammer die gebounced worden. Als hier verschillen inzitten dan kan je daar mischien op filteren.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”

dinsdag 11 oktober 2005 14:34

Acties:

Verwijderd

Topicstarter

Dat zal ik dan nog wel even testen vanavond. Maar het gaat natuurlijk niet alleen om het filteren, ook om het feit dat mijn domein niet als grote boze spammert gezien gaat worden

dinsdag 11 oktober 2005 14:51

Acties:

Woy

Moderator Devschuur®

Verwijderd schreef op dinsdag 11 oktober 2005 @ 14:34:
Dat zal ik dan nog wel even testen vanavond. Maar het gaat natuurlijk niet alleen om het filteren, ook om het feit dat mijn domein niet als grote boze spammert gezien gaat worden

Om dat te bereiken zul je idd moeten achterhalen waar de spam vandaan komt om er zo actie op te ondernemen. En dat kan nog vrij lastig zijn denk ik.

“Build a man a fire, and he'll be warm for a day. Set a man on fire, and he'll be warm for the rest of his life.”