Check alle échte Black Friday-deals Ook zo moe van nepaanbiedingen? Wij laten alleen échte deals zien
Toon posts:

Spam over hele netwerk

Pagina: 1
Acties:
  • 351 views sinds 30-01-2008
  • Reageer

maandag 1 mei 2006 09:42

Acties:

Verwijderd

Topicstarter
Goeiendag,

Ik ben werkzaam op ICT afdeling van 1500 werknemers en zon 1000 computers.

Sinds een week krijgen we op de helpdesk continu emails van gebruikers dat ze worden spammed met .gif emails. Het gaat totaal nergens over, en neem een grootte in per email van 30 kb. Het kom iedere keer van een ander email adres af wat dus niet echt valt te blokkeren.


Afbeeldingslocatie: http://members.home.nl/cristal/spam.JPG


Wij snappen niet hoe we dit moeten oplossen, onze spamkiller houd nu 10 000 van dat soort mailtjes tegen maar wij blijven berichten krijgen van gebruikers dat je vreemde emails krijgen.

Kennen jullie dit soort mailtjes/spam?


Meer info weet ik erover:

Van: Salome Mcfadden [mailto:hlv@democars.co.za]
Verzonden: zaterdag 29 april 2006 14:43

Blood vessel.gif heet vrijwel iedere bijlage/afbeelding.


Hopelijk een snelle reactie, ;)

maandag 1 mei 2006 09:46

Acties:

Verwijderd

Het eerst wat bij me opkomt is dat het gebeurt door een pc binnen de organisatie. Vaak worden mails van deze pc's niet gechecked door spamfilters. Kijk eens in de header van zo'n mail waar deze vandaan komt.

maandag 1 mei 2006 09:47

Acties:
  • moto-moi
  • Registratie: Juli 2001
  • Laatst online: 09-06-2011

moto-moi

Ja, ik haat jou ook :w

Een bayes filter maakt dit van bij een soortgelijk emailtje , het is dus best tegen te houden: ;)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Content analysis details:   (7.3 points, 4.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 1.4 SPF_SOFTFAIL           SPF: sender does not match SPF record (softfail)
[SPF failed: Please see http://www.openspf.org/why.html?sender=attendantsn%40adnc.net&ip=213.239.154.11&receiver=cara.xs4all.nl]
 0.0 HTML_MESSAGE           BODY: HTML included in message
 3.1 HTML_IMAGE_ONLY_08     BODY: HTML: images with 400-800 bytes of words
 0.0 BAYES_50               BODY: Bayesian spam probability is 40 to 60%
                            [score: 0.5126]
 0.0 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
 1.6 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
                [Blocked - see <http://www.spamcop.net/bl.shtml?72.252.13.75>]
 0.9 HTML_SHORT_LINK_IMG_1  HTML is very short with a linked image
 0.3 MIME_BOUND_NEXTPART    Spam tool pattern in MIME boundary

God, root, what is difference? | Talga Vassternich | IBM zuigt

maandag 1 mei 2006 10:34

Acties:
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 24-11 07:50

TD-er

moto-moi schreef op maandag 01 mei 2006 @ 09:47:
Een bayes filter maakt dit van bij een soortgelijk emailtje , het is dus best tegen te houden: ;)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

Content analysis details:   (7.3 points, 4.0 required)

 pts rule name              description
---- ---------------------- --------------------------------------------------
 1.4 SPF_SOFTFAIL           SPF: sender does not match SPF record (softfail)
[SPF failed: Please see http://www.openspf.org/why.html?sender=attendantsn%40adnc.net&ip=213.239.154.11&receiver=cara.xs4all.nl]
 0.0 HTML_MESSAGE           BODY: HTML included in message
 3.1 HTML_IMAGE_ONLY_08     BODY: HTML: images with 400-800 bytes of words
 0.0 BAYES_50               BODY: Bayesian spam probability is 40 to 60%
                            [score: 0.5126]
 0.0 MIME_HTML_ONLY         BODY: Message only has text/html MIME parts
 1.6 RCVD_IN_BL_SPAMCOP_NET RBL: Received via a relay in bl.spamcop.net
                [Blocked - see <http://www.spamcop.net/bl.shtml?72.252.13.75>]
 0.9 HTML_SHORT_LINK_IMG_1  HTML is very short with a linked image
 0.3 MIME_BOUND_NEXTPART    Spam tool pattern in MIME boundary
Ik heb zojuist even een grep gedaan over alle spam-mailtjes op mijn werk (we filteren ook met Spamassassin, versie 3.0.3) en de punten die je krijgt voor alleen plaatjes in de mail wisselen nogal:
code:
1
2
3
4
5
6

0.8 HTML_IMAGE_ONLY_20     BODY: HTML: images with 1600-2000 bytes of words
1.0 HTML_IMAGE_ONLY_24     BODY: HTML: images with 2000-2400 bytes of words
1.3 HTML_IMAGE_ONLY_16     BODY: HTML: images with 1200-1600 bytes of words
1.5 HTML_IMAGE_ONLY_12     BODY: HTML: images with 800-1200 bytes of words
2.0 HTML_IMAGE_ONLY_08     BODY: HTML: images with 400-800 bytes of words
3.1 HTML_IMAGE_ONLY_04     BODY: HTML: images with 0-400 bytes of words

Dus het kan best zijn dat de TS veel mailtjes binnen krijgt waarbij de spammerts nog wat losse text bij schrijven.
Je kunt de bayes-regels wel wat finetunen, door sa-learn los te laten op een lijst gefilterde spam en een lijst zonder spam (ham). Dan kun je het aanpassen op de specifieke spam die je binnen krijgt.
Wij krijgen hier op mijn werk (een scheepsontwerpbureau met een .com domein) bijvoorbeeld veel meer spam voor stocktrading en andere buitenlandse spam (veel spaanstalig) dan wat ik thuis ontvang.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

maandag 1 mei 2006 10:40

Acties:
  • John2B
  • Registratie: Mei 2000
  • Laatst online: 22-11 18:46

John2B

I Love RAID5..!!

Ook wij hebben hier last van, wij hebben dit gemeld aan onze SPAM tool fabrikant en krijgen de volgende melding retour:

Currently Symantec are working on a solution for these spams. Here's the information we have from them:

Symantec has been tracking anti spam effectiveness issues that have been identified to spam messages containing embedded images. Although many of these images look like they are the same images, there are underlying differences to the images that render their signatures to be quite different in many cases. Symantec is addressing this in several ways.
The first area in which this will be addressed is through continued daily updates utilizing predictive filters (heuristics). All IronPort customers running Brightmail will benefit from the development of these filters by the default settings of Symantec Brightmail AntiSpam.

Symantec has also identified that numerous image based spam attacks are being produced by zombie systems, so Symantec is investigating revising its Open Proxy List (OPL) and/or Zombie IP lists to also address a large number of these attacks that originate from compromised machines.
Symantec will be assessing the possible integration of these new IP's into the existing OPL and Zombie IP lists over the next two weeks.

A friendship founded on business is better than a business founded on friendship

maandag 1 mei 2006 12:14

Acties:

Verwijderd

Topicstarter
hm we gaan eens even wat proberen, eerst kijken of we nog wat kunnen updaten daarna eens met die scripts aan de gang

maandag 1 mei 2006 12:18

Acties:
  • DarthPlastic
  • Registratie: Augustus 2005
  • Laatst online: 16-10 14:32

DarthPlastic

Ik heb geen ervaring met grootschalige mailservers, maar kun je niet gewoon een regel aanmaken die alle mailtjes met 'blood vessel.gif' erin blokkeert?

Owner SuitIT, https://www.suitit.nl

maandag 1 mei 2006 12:28

Acties:
  • Mei
  • Registratie: Juni 2005
  • Laatst online: 17-10-2024

Mei

Ik heb gisterenochtend vroeg precies zoiets ontvangen. De tekst was hetzelfde, alleen was de achtergrond roze en de afbeelding was wat smaller en langer dan die van jou.

Zit alleen ff te kijken hoe ik alle headers kan copypasten vanuit Thunderbird :S

Plaatje heet hier trouwens regimented.gif

//edit: Hier de headers:
From - Sun Apr 30 18:51:13 2006
X-Account-Key: account2
X-UIDL: <002301c66c10$21aed3f9$db941242@eigixd.my>
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
Return-Path: <eiixqo@kcrscca.org>
Received: from mx6.groni1.gr.home.nl ([213.51.130.144])
by mta1.groni1.gr.home.nl
(InterMail vM.6.01.04.03 201-2131-118-103-20050206) with ESMTP
id <20060430043959.DQYP8437.mta1.groni1.gr.home.nl@mx6.groni1.gr.home.nl>
for <EIGEN ADRES>; Sun, 30 Apr 2006 06:39:59 +0200
Received: from dial-crgvill-66-18-182-78.adamswells.com ([66.18.182.78]:3039)
by mx6.groni1.gr.home.nl with smtp (Exim 4.30)
id 1Fa3iv-0004DK-3s
for EIGEN ADRES; Sun, 30 Apr 2006 06:39:57 +0200
Received: from [66.18.148.219] (helo=eigixd.my)
by dial-crgvill-66-18-182-78.adamswells.com with smtp (Exim 4.43)
id 1Fa3lQ-0005XR-N6; Sun, 30 Apr 2006 00:42:32 -0400
Message-ID: <002301c66c10$21aed3f9$db941242@eigixd.my>
From: "Bernard Wilson" <eiixqo@kcrscca.org>
To: <EIGEN ADRES>
Subject: severely multicultural
Date: Sun, 30 Apr 2006 00:34:14 -0400
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001F_01C66BEE.9A9D33E5"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1409
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1409
X-AtHome-MailScanner-Information: Neem contact op met support@home.nl voor meer informatie
X-AtHome-MailScanner: Found to be clean

[ Voor 73% gewijzigd door Mei op 01-05-2006 12:31 ]

maandag 1 mei 2006 13:15

Acties:

Verwijderd

Topicstarter
DarthPlastic schreef op maandag 01 mei 2006 @ 12:18:
Ik heb geen ervaring met grootschalige mailservers, maar kun je niet gewoon een regel aanmaken die alle mailtjes met 'blood vessel.gif' erin blokkeert?
ja dat schijnt wel te kunnen maar het probleem is, dan is het weer een attachement, dan weer een bijgevoegte foto dan weer van ander mail adres, misschien op image size blokken ofzo

dinsdag 2 mei 2006 09:18

Acties:
  • Mei
  • Registratie: Juni 2005
  • Laatst online: 17-10-2024

Mei

Misschien interessant om te weten: 21 van de 23 laatste spammailtjes in mijn mailbox hebben een dergelijk plaatje met deze opbouw. De tekst is soms iets anders, evenals de kleur, maar de opzet iz hetzelfde. Het is bij mij rond 26 april begonnen.

dinsdag 2 mei 2006 11:53

Acties:
  • Cablekevin
  • Registratie: Maart 2004
  • Laatst online: 10:56

Cablekevin

CCCP Baby!

Goh... waarom zou mijn post gedelete zijn :(
Ik krijg nu ook mailjes van, Ja we zeiden toch dat het ging exploderen enzo, nu moet je in CYHD investeren op het begin was het nog PGCN.
Ik weet wel als het daadwerkelijk echt stijgt dat er gewoon domme mensen bij zitten die het opkopen.
Maarja ik heb nu al 32 mailjes :D

donderdag 4 mei 2006 14:33

Acties:

Verwijderd

Als de opbouw van de mail iedere keer hetzelfde is, kun je dan die opmaak niet laten blokkeren?

donderdag 4 mei 2006 22:05

Acties:
  • Frontysco
  • Registratie: September 2005
  • Laatst online: 07:30

Frontysco

Verwijderd schreef op maandag 01 mei 2006 @ 09:42:
Goeiendag,

Ik ben werkzaam op ICT afdeling van 1500 werknemers en zon 1000 computers.

Sinds een week krijgen we op de helpdesk continu emails van gebruikers dat ze worden spammed met .gif emails. Het gaat totaal nergens over, en neem een grootte in per email van 30 kb. Het kom iedere keer van een ander email adres af wat dus niet echt valt te blokkeren.


[afbeelding]


Wij snappen niet hoe we dit moeten oplossen, onze spamkiller houd nu 10 000 van dat soort mailtjes tegen maar wij blijven berichten krijgen van gebruikers dat je vreemde emails krijgen.

Kennen jullie dit soort mailtjes/spam?


Meer info weet ik erover:

Van: Salome Mcfadden [mailto:hlv@democars.co.za]
Verzonden: zaterdag 29 april 2006 14:43

Blood vessel.gif heet vrijwel iedere bijlage/afbeelding.


Hopelijk een snelle reactie, ;)
Ik ben maar een simpele consument, maar ik krijg PRECIES dezelfde spam mail die jij nu weeergeeft. Ik krijg deze cira 25x per dag en blokkeer hem ook direct. maar zoals de je zegt. Steeds andere afzender. Tot op heden heb ik ook nog geen oplossing helaas

donderdag 4 mei 2006 23:41

Acties:
  • Cablekevin
  • Registratie: Maart 2004
  • Laatst online: 10:56

Cablekevin

CCCP Baby!

Verwijderd schreef op donderdag 04 mei 2006 @ 14:33:
Als de opbouw van de mail iedere keer hetzelfde is, kun je dan die opmaak niet laten blokkeren?
Kan niet veranderen ze met de dag ieder een ander aandeel. :(

maandag 22 mei 2006 16:51

Acties:
  • SinergyX
  • Registratie: November 2001
  • Laatst online: 11:30

SinergyX

____(>^^(>0o)>____

Sorry voor de bumb, vandaag is ook ons bedrijfs-netwerk 'aangevallen' door soortgelijk spam-mail. Iser inmiddels (we zijn een 2 weken verder) al meer mogelijk deze mails te blokkeren?

Nog 1 keertje.. het is SinergyX, niet SynergyX
Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.

maandag 22 mei 2006 17:00

Acties:
  • Dersan
  • Registratie: Augustus 2004
  • Nu online

Dersan

Mijn gmail account wordt ook gebombardeerd met dit soort mailtjes. Het is dus waarschijnlijk niet een pc dat het verstuurt vanaf het eigen netwerk.

maandag 22 mei 2006 17:13

Acties:

Verwijderd

Volgens mij zit er inderdaad niets anders op dan sa-learn gebruiken om je spam-filter slimmer te maken. Ik heb alleen de score voor het bayesian filter wat aangescherpt, hier vang ik ze nagenoeg allemaal af.

pts rule name description
---- ---------------------- --------------------------------------------------
1.1 EXTRA_MPART_TYPE Header has extraneous Content-type:...type= entry
4.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
[score: 0.9976]
1.1 MIME_HTML_MOSTLY BODY: Multipart message mostly text/html MIME
3.1 HTML_IMAGE_ONLY_08 BODY: HTML: images with 400-800 bytes of words
0.0 HTML_MESSAGE BODY: HTML included in message
0.1 HTML_90_100 BODY: Message is 90% to 100% HTML
0.2 DNS_FROM_RFC_ABUSE RBL: Envelope sender in abuse.rfc-ignorant.org
1.9 RCVD_IN_NJABL_DUL RBL: NJABL: dialup sender did non-local SMTP
[80.133.165.128 listed in combined.njabl.org]

dinsdag 23 mei 2006 22:28

Acties:
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

K heb sinds afgelopen zaterdag ook last van deze spam op mn planet-mail. De zelfde soort gifjes en steeds een andere kleur, titel en afzender. De spamfilter van planet had ik nooit aan staan, heb m vandaag uitgezet en ben benieuwd of het werkt.

dinsdag 23 mei 2006 23:50

Acties:
  • ParaNoiMia
  • Registratie: Mei 2000
  • Laatst online: 27-11 12:15

ParaNoiMia

DopdeDouwer schreef op dinsdag 23 mei 2006 @ 22:28:
K heb sinds afgelopen zaterdag ook last van deze spam op mn planet-mail. De zelfde soort gifjes en steeds een andere kleur, titel en afzender. De spamfilter van planet had ik nooit aan staan, heb m vandaag uitgezet en ben benieuwd of het werkt.
Ik kan je de uitslag al vertellen :+

woensdag 24 mei 2006 17:50

Acties:
  • DopdeDouwer
  • Registratie: Januari 2004
  • Niet online

DopdeDouwer

Roffel

oeps haha
nou ik had m dus aangezet. Maar ze komen er dus gewoon doorheen, blijkt vandaag. Heeft het zin om een mail door te sturen naar abuse@planet.nl ? Geloof dat zij alleen wat kunnen doen aan misbruik door hun eigen users.

woensdag 24 mei 2006 17:55

Acties:
  • TD-er
  • Registratie: Januari 2000
  • Laatst online: 24-11 07:50

TD-er

DopdeDouwer schreef op woensdag 24 mei 2006 @ 17:50:
oeps haha
nou ik had m dus aangezet. Maar ze komen er dus gewoon doorheen, blijkt vandaag. Heeft het zin om een mail door te sturen naar abuse@planet.nl ? Geloof dat zij alleen wat kunnen doen aan misbruik door hun eigen users.
Het enige wat ze zouden kunnen doen is gaan tweaken aan hun spamfilter, maar ik vermoed dat ze daarmee ook een hoop niet-spam als spam classificeren.
Op dit moment hebben de spammers gewoon een slag gewonnen en is het nu de beurt aan de spam-filter-makers.

Een goedkope voeding is als een lot in de loterij, je maakt kans op een paar tientjes korting, maar meestal betaal je de hoofdprijs. mijn posts (nodig wegens nieuwe layout)

dinsdag 22 augustus 2006 10:02

Acties:
  • Gaoske
  • Registratie: Augustus 2004
  • Laatst online: 23-11 20:09

Gaoske

Moddicted...

Heeft iemand hier een oplossing voor? Ik krijg de mails ooko al maanden binnen, en kom nu dit topic tegen....

M'n hobby PC'tje

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq