emailadres misbruikt door spammer(s)

Je hebt niet toevallig een trojan / malware / spyware infectie
Die dus vanaf je pc lekker stata te spammen?

m'n pa heeft hetzelfde probleem, krijgt telkes mail delivery failure mailtjes van mailtjes die vanaf zijn domijn verstuurd zou zijn. niet dus!
Enig idee of hier wat aan te doen valt?

[ Voor 3% gewijzigd door Raven op 03-10-2006 09:36 ]

Ik krijg de laatste 2 dagen ook tientallen van dat soort mailtjes op mijn catch-all.
Enigste oplossing is een filter in te stellen.

Helaas, helemaal niets aan te doen. Anders dan zorgen dat je eigen systeem geen malware heeft dan (als je wel bent besmet is de kans overigens niet zo groot dat de mails ook vanaf jouw PC komen, maar je bent dan in ieder geval geen deel van het probleem).
Je kunt natuurlijk met berichtregels de meldingen wegknikkeren, pas dan wel op dat je geen serieuze delivery failures mist. Verder is het helaas de storm uitzitten...

(Of de catchall uitschakelen).

[ Voor 3% gewijzigd door F_J_K op 03-10-2006 09:39 ]

Als uitbreiding op deze post het volgende:

Wat ik regelmatig ben tegengekomen is dat er misbruik gemaakt wordt van het NDR principe.

Er wordt een mail gestuurd naar een niet bestaand mail adres (bv.: ikbestaniet@tweakers.net) vanaf een gefaked mail adres. De mail server stuurt "netjes" een NDR, maar stuurt deze naar het gefaked mail adres. Inhoud is allerhande spam die vanuit een "net" domein verstuurd wordt.

Om dit tegen te gaan is (een niet zo nette oplossing) het uitzetten van de NDR functionaliteit.

"Normale" servers gaan uit van het IP van de verzendende mail-server, wat jij niet zult zijn. Enkel als "domme" administrators besluiten om puur op basis van domein te filteren zul je idd geblockt worden, echter gezien het grote aantal domeinen wat hier met regelmaat voor misbruikt wordt werken dergelijke systeembeheerders zichzelf snel genoeg uit een bedrijf als de helft van de mails nooit meer aankomt.

Hier nog zoiets:

Microsoft Mail Internet Headers Version 2.0
Received: from bedrijf-exchange-server.BEDRIJF.net ([10.0.0.150]) by bedrijf-exchange-server.BEDRIJF.net with Microsoft SMTPSVC(5.0.2195.6713);
Mon, 2 Oct 2006 13:15:57 +0200
Received: by bedrijf-exchange-server.BEDRIJF.net (Microsoft Connector for POP3 Mailboxes 5.00.2195) with SMTP (Global POP3 Download)
id MSG10022006-131557-172.MMD@BEDRIJF.net; Mon, 2 Oct 2006 13:15:57 +0200
Return-Path: <>
X-Original-To: info@mijnbedrijf.nl
Delivered-To: bedrijf-mail@web011.hosting.widexs.nl
Received: from vmx1.mail.widexs.nl (vmx1.mail.widexs.nl [213.206.122.200])
by web011.hosting.widexs.nl (Postfix) with ESMTP id C7EF4120002
for <info@mijnbedrijf.nl>; Mon, 2 Oct 2006 13:11:47 +0200 (MEST)
Received: from [213.206.122.196] (helo=mx2.mail.widexs.nl)
by vmx1.mail.widexs.nl with esmtps (TLSv1:AES256-SHA:256)
(Exim 4.61)
id 1GULhx-00052e-1w
for emtni@mijnbedrijf.nl; Mon, 02 Oct 2006 13:11:37 +0200
Received: from [64.242.148.198] (helo=amsvpmx03.merc-int.com)
by mx2.mail.widexs.nl with esmtp (Exim 4.60)
id 1GULhy-0000Ej-TE
for emtni@mijnbedrijf.nl; Mon, 02 Oct 2006 13:11:39 +0200
Received: from localhost (localhost)
by amsvpmx03.merc-int.com (8.12.11/8.12.11) id k92BQwZ1018050;
Mon, 2 Oct 2006 04:26:58 -0700
(envelope-from MAILER-DAEMON)
Date: Mon, 2 Oct 2006 04:26:58 -0700
From: Mail Delivery Subsystem <MAILER-DAEMON@amsvpmx03.merc-int.com>
Message-Id: <200610021126.k92BQwZ1018050@amsvpmx03.merc-int.com>
To: <emtni@mijnbedrijf.nl>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="k92BQwZ1018050.1159788418/amsvpmx03.merc-int.com"
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)
X-IONIP-MailScanner-Information:
X-IONIP-MailScanner: Not scanned: please contact your Internet E-Mail Service Provider for details
X-IONIP-MailScanner-SpamCheck: not spam
X-IONIP-MailScanner-From:
X-OriginalArrivalTime: 02 Oct 2006 11:15:57.0724 (UTC) FILETIME=[22624DC0:01C6E614]

--k92BQwZ1018050.1159788418/amsvpmx03.merc-int.com

--k92BQwZ1018050.1159788418/amsvpmx03.merc-int.com
Content-Type: message/delivery-status

--k92BQwZ1018050.1159788418/amsvpmx03.merc-int.com
Content-Type: message/rfc822

Return-Path: <emtni@mijnbedrijf.nl>
Received: from mailhub.merc-int.com (mailhub.merc-int.com [12.151.42.10])
by amsvpmx03.merc-int.com (8.12.11/8.12.11) with ESMTP id k92BQfZ1018020
for <lhale84805@merc-int.com>; Mon, 2 Oct 2006 04:26:46 -0700
(envelope-from emtni@bedrijf-mail.nl)
Received: from mail138.messagelabs.com (localhost.localdomain [127.0.0.1])
by mailhub.merc-int.com (8.11.3/8.11.0) with SMTP id k92BB8615209
for <lhale84805@merc-int.com>; Mon, 2 Oct 2006 04:11:08 -0700
X-VirusChecked: Checked
X-Env-Sender: emtni@mijnbedrijf-mail.nl
X-Msg-Ref: server-14.tower-138.messagelabs.com!1159787464!14234027!1
X-StarScan-Version: 5.5.10.7; banners=-,-,-
X-Originating-IP: [203.234.153.154]
X-SpamInfo: blackholed by DUL
X-Spam-Flag: YES
Subject: **Suspected SPAM(Mercury)**: southerly mope
Received: (qmail 20404 invoked from network); 2 Oct 2006 11:11:06 -0000
Received: from unknown (HELO xbwth) (203.234.153.154)
by server-14.tower-138.messagelabs.com with SMTP; 2 Oct 2006 11:11:06 -0000
Received: (qmail 16411 invoked from network); Mon, 2 Oct 2006 20:15:58 +0900
Received: from unknown (HELO 203.234.109.216) (203.234.109.216)
by xbwth with SMTP; Mon, 2 Oct 2006 20:15:58 +0900
Message-ID: <4520F3C7.2040009@mijnbedrijf-mail.nl>
Date: Mon, 2 Oct 2006 20:11:03 +0900
From: Joseph Combs <emtni@mijnbedrijf-mail.nl>
User-Agent: Thunderbird 1.5.0.7 (Windows/20060909)
MIME-Version: 1.0
To: lhale84805@merc-int.com
Content-Type: multipart/related;
boundary="------------010906090601080700080706"
X-PMX-Version: 4.7.1.128075, Antispam-Engine: 2.2.0.0, Antispam-Data: 2006.10.2.31443
X-PerlMx-Spam: Gauge=IIIIIII, Probability=7%, Report='__BAT_BOUNDARY 0, __CP_MEDIA_BODY 0, __CT 0, __CTYPE_HAS_BOUNDARY 0, __CTYPE_MULTIPART 0, __EMBEDDED_IMG 0, __EXTRA_MPART_TYPE_N1 0, __FRAUD_419_BADTHINGS 0, __HAS_MSGID 0, __MIME_HTML 0, __MIME_VERSION 0, __SANE_MSGID 0, __TAG_EXISTS_HTML 0, __USER_AGENT 0'

--------------010906090601080700080706
Content-Type: text/html; charset=ISO-8859-1
Content-Transfer-Encoding: 7bit

--------------010906090601080700080706
Content-Type: image/gif;
name="organism.gif"
Content-Transfer-Encoding: base64
Content-ID: <part1.06020204.06000808@mijnbedrijf-mail.nl>
Content-Disposition: inline;
filename="organism.gif"


--------------010906090601080700080706--

--k92BQwZ1018050.1159788418/amsvpmx03.merc-int.com--

Ik heb er al zeker een jaar last van. Ik heb zelfs SPF (SPF: principe waarbij de ontvangende mailserver eerst aan het betreffende sendende domein gaat vragen welke mailservers legitiem zijn voor het domein. Bij mij staat daar alleen de mailserver van xs4all) records aangemaakt, helaas zijn er maar weinig mailservers die een SPF controle doen.

Zodoende heb ik alle voorkomende mailadressen netjes aangemaakt, en de catchall staat nu uit. En nu heb ik er geen last meer van. Maar het is inderdaad wel zo dat mijn naam bevuild wordt. Daarom heb ik op de frontpage van mijn domeinnaam een tekst gezet dat iemand mijn adres spooft. Meer kan je niet doen, ja, hopen tot de storm gaat liggen, of de spammert opzoeken, wat zo goed als onmogelijk is voor mij.

[ Voor 17% gewijzigd door Mistraller op 03-10-2006 11:17 ]

Hier ook, spam mails op m'n domein gaan over de 100 per dag,
worden wel apart gefilterd maar toch.
En idd veel postmaster@domein.tld berichten.

Erg verwarrend inderdaad, dit komt bij mij ook sinds kort voor. Ik denk dat ik mijn catch all mogelijkheid maar uitschakel.

Gaat het hier om jullie eigen mailservers, of staan ze opgesteld bij bijv. LYCOS of hostingproviders.
Voor je eigen server is het inderdaad zaak om een SPF record in te bouwen (en relay uit te zetten).
Verder kun je voor linux servers bijv het programma chkrootkit installeren, die kijkt of er niet malware ed. stiekum op je server geplaatst is.
Weet niet of er een windows tegenhanger is, maar wellicht handig!

John.

Verwijderd schreef op dinsdag 03 oktober 2006 @ 23:41:
Gaat het hier om jullie eigen mailservers, of staan ze opgesteld bij bijv. LYCOS of hostingproviders.
Voor je eigen server is het inderdaad zaak om een SPF record in te bouwen (en relay uit te zetten).
Verder kun je voor linux servers bijv het programma chkrootkit installeren, die kijkt of er niet malware ed. stiekum op je server geplaatst is.
Weet niet of er een windows tegenhanger is, maar wellicht handig!

John.

Eigen mailserver (althans bij mij), het probleem ligt niet zozeer aan SPF of RELAY, die from's zijn verzinsels en kreeg je vroeger nog mail van je eigen prive systeembeheer of op info,postmaster @ domein, tegenwoordig zie je gewoon combinaties van letters staan. Is dus voornamelijk probleem als je een catchall adres gebruikt.

Het zal wel een hippe nieuwe rage zijn, want ik heb al een paar dagen precies hetzelfde probleem. Ik word er helemaal gek van. Ik heb mijn catch-all altijd aangehad (Spam Assassin filtert de meeste troep er toch wel uit), maar ik denk dat hier maar eens verandering in gaat komen.

Pacjack schreef op dinsdag 03 oktober 2006 @ 11:29:
Erg verwarrend inderdaad, dit komt bij mij ook sinds kort voor. Ik denk dat ik mijn catch all mogelijkheid maar uitschakel.

ik heb het (zoals zovele) ook op de diverse domeinen die ik host, echter de catch all uitschakelen is een mogelijkheid om de ergernis bij de gebruiker te beperken maar het neemt wel een stukje functionaliteit af, nu moet je voor iedere alias ook daadwerkelijk een alias maken.

Overigens blijven voor de mailserver de e-mails binnenkomen die netjes gereject worden, maar de datastroom blijft