Domein wordt gebruikt als reply-to adres in spam

* Rigi klikt bookmark

Geen idee, ik heb gewoon de vreemde lettercombo's gefilterd in m'n client. Verder is het gewoon een kwestie van die andere handmatig weggooien voorlopig.

Catch-all uit, en veel meer kun je niet doen vrees ik

Bizar, ik heb namelijk hetzelfde vanaf ongeveer afgelopen week, ik heb dan wel geen .nl domein, maar een .tk adres (heins.tk), maar ik krijg dus ook ineens allemaal bounces van spamfilters all over the world.
Het enige wat je kunt doen is de bounces ook weer als spam markeren, zodat ze niet in je inbox komen. Ik vind de catch-all ideaal, dus die ga ik zeker niet uitzetten.

Wat je verder nog kunt doen is een SPF record aan je domein toevoegen bij je DNS-instellingen, zie ook www.openspf.org. SPF is 1 van de technieken die gebruikt wordt om SPAM te bestrijden (net als bijv. Domain Keys van Yahoo en SenderID van Microsoft), alleen die laatste twee kan je niet zelf implementeren, tenzij je een eigen mailserver draait.

Heb je toevallig een site onder dat domein met een mailform?
Zo ja, beveilig die. Het is vrij makkelijk om in het sender veld een andere header te plaatsen als er geen validatie is.

Ik had verleden jaar hetzelfde probleem. Enige echte oplossing volgens mij is catch-all uitzetten

Ik heb het ook gemerkt, er is echt niets aan te doen.

Een SPF helpt niet, dat helpt alleen om de mail aan de ontvangende kant als spam te markeren, de bounce e-mail is verder wel helemaal in orde en komt dus ook met gemak door de spamfilter heen.

Ik krijg er redelijk veel, niet alleen via de catch-all maar ook op mijn eigen adres. Blijkbaar als je voorkomt in een spamdatabase dan gebruiken ze je ook als afzender.

Voor de duidelijkheid: Het is alleen een forward domein, ik gebruik het alleen om mail te ontvangen, niet om te versturen en er staat ook niets op gehost. De mail komt dus 1000% zeker niet van mij af (wat ook blijkt uit de resultaten die ik terug krijg bij de bounces).

Als iemand iets weet hoe dit te bestrijden?

flipjevandejam schreef op donderdag 04 januari 2007 @ 18:14:
Bizar, ik heb namelijk hetzelfde vanaf ongeveer afgelopen week, ik heb dan wel geen .nl domein, maar een .tk adres (heins.tk), maar ik krijg dus ook ineens allemaal bounces van spamfilters all over the world.

Toevallig heb ik het ook sinds afgelopen week op mijn nl domein.. GRR ik heb in het verleden al meermaals gehad dat mijn persoonlijke mailadres gebruikt werd als reply-to.. resulteerde ook in honderden undeliverable mails in mn inbox En nu op mijn nl domein. Ze hebben allemaal random letterreeksen@mijndomein gebruikt als from en reply to ..bijv:

Date: Tue, 2 Jan 2007 21:05:50 -0500
From: Crowe D. Nance <mvoaa@mijndomein.nl>
To: ceykelbosh@theweathernetwrk.com
Subject: Build your movie list for iPod now!

Erg irritant.. en waarschijnlijk weinig tegen te beginnen...

Er is op zich wel wat tegen te beginnen, ik heb namelijk mijn mail van dit domein in Gmail, waar ik een filter kan instellen dat alle mails met "delivery report undelivered returned" gewoon naar trash gaan, behalve als ze daadwerkelijk aan mijn emailadres gericht zijn.

Schweino schreef op donderdag 04 januari 2007 @ 16:44:
Van de week kwam ik er tot mijn schrik achter dat mijn .nl domein wordt gebruikt als "reply to" adres in diverse spam mails. Dit resulteert in het ontvangen van vele foutmeldingen van niet bestaande e-mailadressen en spamfilters die linea recta naar mij doorgestuurd worden. Ik ontvang er z'n 50 per dag op dit moment.

Dan wordt het nauwelijks als afzender gebruikt.Laatst werd er een spamrum gedaan met een afzender (1 adres!) die mij meer dan 2000 bounces en non-delivery reports per dag opleverde.Het stopte gelukkig na een paar dagen, toen de stand inmiddels tegen de 10.000 was opgelopen. Nu gaan alle bounces en dergelijke voor mailadressen die ik niet actief gebruik al bij voorbaat in een aparte spambox. En dus had ik het pas door toen het al een dagje bezig was...

"gelukkig" ik ben dus niet de enige. Ik heb mijn PC al compleet over de kop gehaald met virusscans omdat ik bang was dat er een bot op mijn PC geinstalleerd zou zijn.

Blijkbaar gebruiken die klootzakken willekeurige .nl domeinen als afzender. De ellende is wel dat je domein nu in blacklists wordt opgenomen en je dus niet meer naar sommige mensen kunt mailen omdat hun spamfilter die blacklist gebruikt voor het blokkeren van spam. Zijn hier nu geen juridische stappen tegen te ondernemen?

Ik krijg 10.000 van die failure op een dag op een domeinnaam binnen. Ik word er echt gek van. Er is helemaal niets aan te doen. Ik heb al een standaard regel zoals boven wordt beschreven: failure naar de prullenbak behalve als het een bestaand adres is.

Vraagje wie gebruiken jullie als provider?

Modbreak:

ajb niet spammen!

[ Voor 39% gewijzigd door Xandrios op 10-01-2007 15:23 ]

Anoniem: 53025 schreef op vrijdag 05 januari 2007 @ 09:43:
Vraagje wie gebruiken jullie als provider?

Ik gebruik www.first-find.nl oftewel yourhosting.

1. Dit is offtopic
2. Dit is spam
3. Voor die bedragen per maand kun je het zelfde krijgen per jaar.

ontopic:

Ik heb hier ook last van gehad, het hield gelukkig na 2 weken op, maar er is weinig aan te doen, ik heb uiteindelijk een nieuw domein moeten nemen omdat mijne geblacklist was.

Zelf ook al een maand of 2 last van. SPF records erop zodat je niet (al te snel) op de blacklists komt te staan en uitzingen maar. Je doet er verder toch niks tegen.

Vincenz0 schreef op vrijdag 05 januari 2007 @ 10:25:
[...]

1. Dit is offtopic
2. Dit is spam
3. Voor die bedragen per maand kun je het zelfde krijgen per jaar.

ontopic:

Ik heb hier ook last van gehad, het hield gelukkig na 2 weken op, maar er is weinig aan te doen, ik heb uiteindelijk een nieuw domein moeten nemen omdat mijne geblacklist was.

Dit vind ik niet offtopic.
Blijkt nou dat alle problemen bij dezelfde provider zitten, dan geeft dat misschien wel iets aan.

Vincenz0 schreef op vrijdag 05 januari 2007 @ 10:25:
[...]


Ik heb hier ook last van gehad, het hield gelukkig na 2 weken op, maar er is weinig aan te doen, ik heb uiteindelijk een nieuw domein moeten nemen omdat mijne geblacklist was.

Lekker verhaal is dat Ik heb er ook last van sinds een paar dagen op mijn .nl -domein.

Hoe kan je zien of je domein geblacklist is?

nijn-01 schreef op vrijdag 05 januari 2007 @ 10:28:
Zelf ook al een maand of 2 last van. SPF records erop zodat je niet (al te snel) op de blacklists komt te staan en uitzingen maar. Je doet er verder toch niks tegen.

ik heb dit geintje ook sinds 1 maand ongeveer op een .nl domein.
kreeg zo'n 10.000 "niet afleverbaar"-rapporten mailtjes per dag (naast de gebruikelijke 1000 spam mailtjes). Ik heb maar mijn catch-all uitgezet en merk het (daardoor) niet meer. Maar wat bedoel je met SPF-records erop? Want ik vrees inderdaad nog wel voor blacklists.

Ik zag trouwens dat als ik de ip-adressen opzocht van de oorspronkelijke mailtjes dat bijna alle spam uit Polen, Tjechie en Portugal kwam..

dit heb ik al sinds afgelopen zomer op mijn eigendomein.

alle pop3 adressen anders dan me hoofd account maar verwijderd en catch all uitgezet incl autoresponder en forwarder.

Nu eens kijken of ik een dagje een schone inbox houd ipv 95 te moeten deleten

N!co schreef op vrijdag 05 januari 2007 @ 10:33:
[...]


Lekker verhaal is dat Ik heb er ook last van sinds een paar dagen op mijn .nl -domein.

Hoe kan je zien of je domein geblacklist is?

dat merk je snel genoeg als al je eigen mailtjes automatic terug komen als zijnde spam.

dit lijkt opeens toe te nemen als ik dit topic doorkijkt..
heeft iemand ook ip-adressen,echte e-mail adressen van deze boosdoeners?

Ik heb op mijn (.nl) domein sinds vorige week ook dit probleem en heb mijn catch-all ook uitgeschakeld. Ik kreeg bijna 500 mails per dag binnen met berichten dat mijn mails niet aangekomen zijn. Je ontkomt er gewoon niet aan.

Als iemand weet hoe ik de echte afzender daarvan kan achterhalen, dan wil ik daar best wel tijd in steken om die het leven zuur te maken.

Vincenz0 schreef op vrijdag 05 januari 2007 @ 10:25:
[...]

1. Dit is offtopic
2. Dit is spam
3. Voor die bedragen per maand kun je het zelfde krijgen per jaar.

ontopic:

Ik heb hier ook last van gehad, het hield gelukkig na 2 weken op, maar er is weinig aan te doen, ik heb uiteindelijk een nieuw domein moeten nemen omdat mijne geblacklist was.

Hij vraagt dit natuurlijk om te kijken of niet toevallig de mailserver van één bepaalde hoster hiervoor wordt gebruikt, en is waarschijnlijk niet als spam bedoeld..

Ik heb er overigens met mijn beide domeinen (nog) geen last van..
Gelukkig..

Anoniem: 53025 schreef op vrijdag 05 januari 2007 @ 09:35:
Blijkbaar gebruiken die klootzakken willekeurige .nl domeinen als afzender. De ellende is wel dat je domein nu in blacklists wordt opgenomen en je dus niet meer naar sommige mensen kunt mailen omdat hun spamfilter die blacklist gebruikt voor het blokkeren van spam.

Er is geen serieuze blacklist, die een domein opneemt op basis van fake afzenderadressen. Over welke blacklist heb je het? Ik ken er zelfs maar een paar die op basis van domeinnamen (en niet IP-nummers) werken.

Overigens gaat SPF ook niet werken. Dat er een SPF-record bestaat is tegenwoordig eerder een teken dat het juist om spam gaat dan andersom.

Hier ook eentje hoor, sinds een paar maanden nu. Het valt bij mij wel mee (2000 in totaal ofzo) , maar de 10.000 mails gevallen ken ik ook. Ik kan ook weinig bedenken om het te voorkomen, zelfs een regel mbt 'delevivery failure' werkt niet altijd, ik krijg ze in alle talen

Ik had catch-all naar een Gmail. Gmail vangt prima alle spam op, maar niet deze delivery status notifications. Ik heb nu een hele lijst door mij gebruikte mailadressen naar Gmail geforward en de catch-all naar een live-mail account. Maar live-mail ziet die delivery status notifications nu wel als spam.

Heb dit probleem sinds 2 weken ook. Heb een domein zonder hosting met alleen catch-all en redirect van domein en bepaalde mail adressen. Zelfs Gmail filtert deze spam er niet meer uit.

---

Van: Malamis Brodnax <speynibori@waterfrontresort.com>
Antwoordadres: Malamis Brodnax <speynibori@waterfrontresort.com>
Aan: Ema Hudock <mail@mijneigendomein.nl>
Datum: 5 jan 2007 07:26
Onderwerp: Re: my webbe

---

Zulk soort onzin ontvang ik de laatste tijd, ik ken geen eens ene Erma Hudock.

SPF zou toch wel effectief moeten zijn als de admin's van de betreffende mailservers waar je de automatische bouncemailtjes van terug krijgt ook op SPF zouden checken?!

Overigens krijg ik sinds deze week ook gewoon veel spam die eruit ziet alsof hij gebounced is (waar ik dus in the reply-to leek te staan) maar in feite gewoon spam was die eeruitziet als een undeliverable message, todat je erin kijkt.

Maar dan heb ik het ook over gewone spam volumes (tientallen per dag)

Lijkt mij dus ook gewoon een nieuwe spam taktiek. Affijn --> gewoon spamfilteren dan maar weer.

m'n pa heeft dit bij uniserver. uiteindelijk heeft ie catchall uitgezet, scheelt heel stuk.

Ik heb dit probleem dus ook maar met een .com site.

Kunnen jullie mij vertellen wat "catch all" is? Zit dat bij je email account instellingen of is dat een optie bij je hosting pakket?

flipjevandejam schreef op vrijdag 05 januari 2007 @ 11:22:
SPF zou toch wel effectief moeten zijn als de admin's van de betreffende mailservers waar je de automatische bouncemailtjes van terug krijgt ook op SPF zouden checken?!

SPF is broken by design, aldus de abuse-afdeling van XS4ALL. Uitspraak van Vincent Schonau in news:nl.internet.misbruik d.d. 18-12-2006:

XS4ALL is zo'n provider die precies last gaat hebben van ten onrechte rejected mail, door de problemen die SPF heeft (forwarders, e.d.). Bovendien *willen* we geen policy zetten die 't gebruik van XS4ALL diensten zodanig beperkt.

We hebben er lang en hard over nagedacht, maar SPF is gewoon te stuk om in te zetten. Omdat 't bovendien verder geen bijdrage levert aan 't afgeleverd krijgen van legitieme mail is 't gewoon de moeite niet waard.

We moeten nu al mensen uitleggen waarom hun SPF hun mail heeft stukgemaakt. Daar heb ik er liever niet meer van, danku.

Ik geloof die jongens op hun blauwe ogen.

Anoniem: 155508 schreef op vrijdag 05 januari 2007 @ 11:42:
Ik heb dit probleem dus ook maar met een .com site.

Kunnen jullie mij vertellen wat "catch all" is? Zit dat bij je email account instellingen of is dat een optie bij je hosting pakket?

bij catch all worden ook de mailtjes met een typefout voor de @ binnengehaald. dus als er @jouwdomein.nl staat en voor het @ klopt wat niet komt het mailtje toch aan

bartgrefte schreef op vrijdag 05 januari 2007 @ 11:45:
[...]

bij catch all worden ook de mailtjes met een typefout voor de @ binnengehaald. dus als er @jouwdomein.nl staat en voor het @ klopt wat niet komt het mailtje toch aan

ah bedankt voor de uitleg, ik zal het eens uit zetten en kijken of dat helpt.

Jan-E schreef op vrijdag 05 januari 2007 @ 11:44:
[...]
SPF is broken by design, aldus de abuse-afdeling van XS4ALL. Uitspraak van Vincent Schonau in news:nl.intenet.misbruik d.d. 18-12-2006:
[...]
Ik geloof die jongens op hun blauwe ogen.

Maar wij zijn toch niet de eersten op het hele net die tegen dit gigantisch irritante fenomeen aanlopen? Bij de ontwerpers van SPF zullen ze hier toch ook wel bekend mee zijn en achter hun oren krabben om het te fixen?!

De andere anti-spamtechnieken, SenderID en Domain Keys kan je alleen implementeren als je een eigen mailserver hebt en daar kun je als domeineigenaar dus niets mee..

Het begint er overigens op te lijken dat vanaf 2007 ineens iedereen met een eigen domein hier last van heeft, zoveel replies in korte tijd en notabene anderen die gelijkwaardige topics starten:Mailtjes van MAILER-DAEMON en mail delivery subsystem

[ Voor 15% gewijzigd door flipjevandejam op 05-01-2007 11:59 ]

Het lijkt een beetje een opsomtopic te worden, maar ik heb er ook sinds kort last van.
Ik ontvang zo'n 30-60 mailtjes per dag op mijn .nl domein.

Ik heb inmiddels 3 filters in Gmail gemaakt, welke redelijk effectief zijn:
- Matches: from:(Mail Delivery) to:(heins.tk -privemailadres@heins.tk)
- Matches: to:(heins.tk -privemailadres@heins.tk) delivery failure
- Matches: to:(heins.tk -privemailadres@heins.tk subject:(SPAM OR junk OR bulk OR blocked)

Iemand suggesties?

Buiten alle problemen met SPF is SPF ook niet bedoelt om dit specifieke probleem aan te pakken, sterker nog, het wordt er alleen maar erger op.

Server X krijgt een mail van server Y met als afzender ik@mijndomein.nl, dan gaat server X dus volgens SPF de DNS gegevens van mijndomein.nl opzoeken, daarin staat in de SPF dat e-mail van mijndomein.nl van server Z af moet komen.

Server X weet nu dus dat de e-mail spam is omdat de e-mail niet van server Z af komt en gaat daarom de e-mail niet afleveren. Nu hoort deze mail normaal gesproken gewoon in de prullenbak terecht te komen zodat niemand er ooit meer last van heeft.
Dit is helaas vaak niet het geval, vaak wordt de e-mail gewoon ge-reject waardoor er een notice naar ik@mijndomein.nl wordt verzonden (vaak nog met de spam als attachment). De notice is wel helemaal in orde en zal dus vrijwel nooit als spam worden aangemerkt, waardoor ik@mijndomein.nl de notice dus binnenkrijgt.

Hoewel SPF dus in dat geval geholpen heeft in het niet afleveren van de spam wordt het probleem beschreven in dit topic alleen maar erger.

Dat icm alle andere problemen rond SPF maakt het eigenlijk een beetje een nutteloos systeem...

Echt jammer dat iedereen hier last van heeft, maar niemand weet wat eraan te doen.

Catch-all uitzetten en regeltjes aanmaken helpt maar gedeeltelijk, en je beperkt jezelf ermee.
Dat is in mijn ogen gelijk aan toegeven aan terrorisme, dus uit principe alleen al is dat geen goede oplossing.

@flipje:

In het verleden had ik er ook wel eens last van, maar het is inderdaad wel erger geworden.

Ik heb er begin 2006 ook al eens een document over gelezen, maar dat ging meer over een specifieke aanval op iemand dmv de techniek zoals hier beschreven. Dit lijken me geen specifieke aanvallen maar gewoon een vervelende bijkomstigheid.

[ Voor 10% gewijzigd door Anoniem: 178962 op 05-01-2007 13:54 ]

Hiero nog een .NL met een hoop bounce spam sinds vorige week.

Ik ben ook een van de 'slachtoffers'. Ik zit ook bij Firstfind/Yourhosting, net als Bonjour. De stormvloed aan undeliverable-berichten lijkt nu wat te gaan liggen, maar ook ik wil de catch-all niet uitzetten. Het is wel erg vervelend. In mijn geval gaat het trouwens om een .net domein.

Jan-E schreef op vrijdag 05 januari 2007 @ 11:44:
SPF is broken by design, aldus de abuse-afdeling van XS4ALL. Uitspraak van Vincent Schonau in news:nl.internet.misbruik d.d. 18-12-2006:
[...]
Ik geloof die jongens op hun blauwe ogen.

Hij heeft gelijk over de situatie van XS4All, maar als je alle techniek in eigen hand hebt en zelf geen rare constructies (zoals forwarders) gebruikt dan ondervindt je die nadelen die hij noemt niet. In dat geval kan het dus een prima extratje zijn. Zeker niet the holy grail, maar als ik iets kan doen om spammers dwars te zitten (maw, zorgen dat een spamrun meer geld kost/minder opleverd) terwijl het voor mij geen nadelen heeft, waarom niet?

Mogelijke oplossing tegen Spoofen van e-mail adressen.
De afgelopen week werd ik verast door een nieuw fenomeen voor mij op spam gebied.E-mail spoofing.

E-mail spoofing is een soort Hijacken van e-mail adressen. In het verleden werd dit gedaan door het “harvesten” van adressen als je een bepaalde website bezocht of ergens een adres achter laat.

De nieuwe vorm “kaapt” de domain naam en gaat daarna users genereren met behulp van een programma. Dit zonder dat je op een “gevaarlijke” website bent geweest.

Stel de domain naam is www.spamishorrible.com. De mail adressen die daarbij horen worden dan:

aaa@spamishorrible.com
aab@spamishorrible.com
aac@spamishorrible.com
ada@spamishorrible.com
ghl@spamishorrible.com
rsy@spamishorrible.com
Etcetera.

Het effect is dat ik opeens messages kreeg van postmasters die mij vertelden dat ik spam rondstuurde.

Wie de echte “sender” was, was niet te achterhalen.

Mijn lange zoeken is de reden van dit antwoord. Ik heb veel mensen met hetzelfde probleem gevonden maar niemand met een oplossing.

Daarom vertel ik hem op deze manier maar door.

Uiteindelijk heb ik een programma gevonden dat mij helpt:

Em@ilCRX van hendrickson software components. http://www.hendricom.com

Dit programma werkt als een Proxy tussen de E-mail client en de ISP.

De E-mail wordt opgehaald door Em@ilCRX. Deze beoordeelt de mail en stuurt het door als het afkomstig van een “vriend” . Of houdt het vast, totdat ik het beoordeelt heb.

Als er Spam in zit kan je door middel van een abuse optie een mail sturen naar de “originele” verzenders ISP. Meestal nemen die maatregelen en stopt de toezending. Natuurlijk “hoppen” spammers van provider naar provider, maar het maakt het moeilijker en neemt de lol weg.

Ik ben erg tevreden en het programmaatje kost maar $29.95.

Het werkt en het is een bijdrage aan het gevecht tegen spam.

Groetjes Johan

waarom willen de meeste van jullie catch all niet uitzetten? welke reden hebben jullie daarvoor?

Anoniem: 155508 schreef op zaterdag 06 januari 2007 @ 14:19:
waarom willen de meeste van jullie catch all niet uitzetten? welke reden hebben jullie daarvoor?

Als je al een flinke tijd gebruik maakt van mailadressen zoals
got@domein.nl
belastingdienst@domein.nl
amazon@domein.nl
ebay@domein.nl

En je zet dan je catchall uit, dan ontvang je die mail dus niet meer. Tenzij je al die adressen op gaat zoeken en apart in gaat lopen voeren natuurlijk. Bij mij zijn dat er al tegen de 100 denk ik, dus daar begin ik niet aan. Gelukkig werkt onze spamfilter hier dusdanig goed dat ik eigenlijk helemaal geen last heb van die spam, ookal staat mijn catchall wel aan.

Booster schreef op zaterdag 06 januari 2007 @ 15:08:
[...]

Als je al een flinke tijd gebruik maakt van mailadressen zoals
got@domein.nl
belastingdienst@domein.nl
amazon@domein.nl
ebay@domein.nl

En je zet dan je catchall uit, dan ontvang je die mail dus niet meer. Tenzij je al die adressen op gaat zoeken en apart in gaat lopen voeren natuurlijk. Bij mij zijn dat er al tegen de 100 denk ik, dus daar begin ik niet aan. Gelukkig werkt onze spamfilter hier dusdanig goed dat ik eigenlijk helemaal geen last heb van die spam, ookal staat mijn catchall wel aan.

Ik snap het niet helemaal. Als je catch all uit zet en mensen emailen je op het juiste bestaande adres dan komt het toch gewoon aan? Ik heb zelf voor een aantal websites die ik host ook heel veel email adressen. Catch all heeft nooit aangestaan.
Of bedoel je dat alle bestaande adressen niet meer kunnen werken?

Enlighten me please, ik snap het niet

Anoniem: 155508 schreef op zaterdag 06 januari 2007 @ 16:24:
[...]


Ik snap het niet helemaal. Als je catch all uit zet en mensen emailen je op het juiste bestaande adres dan komt het toch gewoon aan? Ik heb zelf voor een aantal websites die ik host ook heel veel email adressen. Catch all heeft nooit aangestaan.
Of bedoel je dat alle bestaande adressen niet meer kunnen werken?

Enlighten me please, ik snap het niet

Het probleem zit hem er juist in dat voor al die verschillende emailadressen geen emailboxen of forwards aangemaakt zijn, dit gebruik ik ook al een tijdje om bij spam op een bepaald adres te kunnen achterhalen welk bedrijf mijn emailadres gelekt/verkocht heeft. Als er een catch all op het domein staat worden deze mailtje netjes ontvangen, echter zonder catch all worden ze terug gestuurd naar de afzender omdat het emailadres op de server niet bestaat.

Ik heb dit ook al een hele tijd in gebruik, werkt prima, maar nu ik ook steeds meer bounce mailtjes krijg van random emailadressen die eindigen om mijn domein heb ik de meest gebruikte 'aliassen' maar toegevoegd aan de forwards, zodat voorlopig de catch all uit kan.

Ik ben het met TTRoads eens dat dit niet de goede oplossing is, maar ik vind het voorlop wel even de handigste om de grote hoeveelheid spam in mijn mailbox even te beperken, binnenkort zal ik de catch all weer een aanzetten om te zien hoe het dan loopt.

Anoniem: 155508 schreef op zaterdag 06 januari 2007 @ 16:24:
Ik snap het niet helemaal. Als je catch all uit zet en mensen emailen je op het juiste bestaande adres dan komt het toch gewoon aan? Ik heb zelf voor een aantal websites die ik host ook heel veel email adressen. Catch all heeft nooit aangestaan.
Of bedoel je dat alle bestaande adressen niet meer kunnen werken?

Enlighten me please, ik snap het niet

Het voordeel van catchall is dat je bij elke actie waar je een mailadres moet opgeven een nieuw adres kunt kiezen. Zo heb ik ooit (moet al meer dan 5 jaar geleden zijn) bij de TINE-beurs in de RAI tine@example.com gebruikt. Dat bestand is kennelijk doorverkocht want ik krijg er nog steeds sporadisch 'relevante' info op. Zonder catchall zou je telkens een nieuw adres bij de ISP moeten invoeren.

Anoniem: 53025 schreef op vrijdag 05 januari 2007 @ 09:43:
Vraagje wie gebruiken jullie als provider?

Ik gebruik www.first-find.nl oftewel yourhosting.

Het is provider onafhankelijk. Ik heb eigen dns, mail etc. en maak alleen gebruik van mijn adsl internet lijntjes en ook ik heb hier sinds afgelopen week last van.

Anoniem: 155508 schreef op zaterdag 06 januari 2007 @ 16:24:
Ik snap het niet helemaal. Als je catch all uit zet en mensen emailen je op het juiste bestaande adres dan komt het toch gewoon aan? Ik heb zelf voor een aantal websites die ik host ook heel veel email adressen. Catch all heeft nooit aangestaan.
Of bedoel je dat alle bestaande adressen niet meer kunnen werken?

Enlighten me please, ik snap het niet

Bij een catch-all heb je maar 1 'echt bestaand' mailadres, bv: booster@domein.nl .
Vervolgens stel ik de catch-all in op: "alle mail op adressen die niet bestaan, doorsturen naar booster@domein.nl".

Stel dat iemand nu een mailtje stuurt naar eikel@domein.nl , dan kijkt de ontvangende mailserver naar het adres. eikel@domein.nl bestaat niet, dus stuur ik het door naar booster@domein.nl

Hiermee kun je dus, zonder dat je telkens een extra mailbox apart aan moet maken, nieuwe mailadressen verzinnen. got@domein.nl voor GoT, ebay@domein.nl voor eBay, etc Dat is het principe van een catch-all.

Het is wat lastig uit te leggen maar ik denk dat je het hiermee wel snapt

Hey allemaal bedankt voor de uitleg ik snap het nu wel duidelijk.:)
Hier kan ik iets mee. ik ga even overwegen wat hiermee te doen

hmmz dit lijkt wel een lotgenoten topic. Ik heb er al ruim een jaar last van, SPF hielp niks, catchall uit maakte het in elk geval een stuk rustiger. Ik heb al maanden niet meer gechecked of het nog gaande is overigens.
Maar goed, wat doen jullie nu met de mails die op een onbekend adres binnenkomen? Zonder bericht weggooien, of weer een non deliverable bouncen?

Ik heb nu das Catch all aangezet en binnen 5 minuten kreeg ik al een failure email.

kopietje hieronder:


Is dit nou precies wat jullie ook hebben, of is dit iets anders? Wel toevallig dat ik catch all aanzer en dan meteen zon email krijg. Ik zet hem dan ook fijn weer uit.

Is het 'mijn' uit 'mijn@email.com' een random string van karakters? Zoja, dan is het precies wat wij allemaal tegen komen. Ik moet erbij zeggen dat het lang niet altijd even erg is bij mij. Afgelopen 4 dagen had ik maar een paar spammailtjes/returns.

Ik heb uit pure wanhoop ook maar de catchall op mn domeintjes uitgezet, evenals de info@, postmaster@ en hostmaster@ adressen. Ik ontvang nog wel wat spam, gelukkig is het al aardig minder.

BInnenkort even kijken of ik er mooi spamfilter op kan knallen (serverside).

Booster schreef op zondag 07 januari 2007 @ 01:54:
Is het 'mijn' uit 'mijn@email.com' een random string van karakters? Zoja, dan is het precies wat wij allemaal tegen komen. Ik moet erbij zeggen dat het lang niet altijd even erg is bij mij. Afgelopen 4 dagen had ik maar een paar spammailtjes/returns.

Nee hoor, ik kom ook tegen dat het adres gewoon een bestaand e-mail adres is dus bijvoorbeeld trroads@domein.nl

Spammers gebruiken dus ook bestaande adressen om te gebruiken als afzender.

Sterker nog, ik denk dat als ze een lijst met e-mail adressen hebben waarna te zenden dat ze gewoon zowel de afzender als de ontvanger uit die lijst halen. Op die manier hebben ze iedereen 2x...

Een spamfilter helpt overigens niets tegen dit probleem aangezien de ontvangen bounces gewoon 100% correcte e-mail zijn (vaak zelfs met een negatieve spamrating).

Ook de oplossing aangedragen door Twojays lijkt me niet echt te helpen en daarnaast prijzig en omslachtig.

[ Voor 15% gewijzigd door Anoniem: 178962 op 07-01-2007 15:28 ]

Anoniem: 178962 schreef op zondag 07 januari 2007 @ 15:26:
Nee hoor, ik kom ook tegen dat het adres gewoon een bestaand e-mail adres is dus bijvoorbeeld trroads@domein.nl
Spammers gebruiken dus ook bestaande adressen om te gebruiken als afzender.

Klopt, maar dat deden spammers al jaren, weinig nieuws aan dus.

Een spamfilter helpt overigens niets tegen dit probleem aangezien de ontvangen bounces gewoon 100% correcte e-mail zijn (vaak zelfs met een negatieve spamrating).

Klopt, maar ik ontvang ook vaak direct spam (zonder bounce) op catch-all adressen en die filtert ie zonder problemen. Bounces heb ik de afgelopen week echt maar 2 of 3 gehad ofzo. Het gaat echt in golven.

Anoniem: 178962 schreef op zondag 07 januari 2007 @ 15:26:
Sterker nog, ik denk dat als ze een lijst met e-mail adressen hebben waarna te zenden dat ze gewoon zowel de afzender als de ontvanger uit die lijst halen. Op die manier hebben ze iedereen 2x...

Ze zijn een tijdje geleden wel op zoek geweest naar domeinen waar catchall aan stond. Namelijk door mail te sturen naar iamjustsendingthisleter@example.com (inclusief die spelvaud). Verder stond er vrijwel niets in die mailtjes. Kennelijk een poging om te achterhalen of mail voor dat adres geaccepteerd werd.

Hier ook. Vooral randomstring@domein.nl als afzender die dus naar mij, catch all@domein.nl, wordt gebounced. Doodvervelend en natuurlijk niets aan te doen zolang je de catch all aanhoudt (en net als anderen hier heb ik die functionaliteit tot groot genoegen ingezet om elke site/dienst zijn eigen mailadres te kunnen geven).

De spammers vervalsen het afzenderadres gewoon @random zonder ook maar iets van jou/je server/je hosting provider/je computer nodig te hebben.

Mijn Gmail bouncefilter werkt vooralsnog trouwens in 90% van de gevallen perfect (behalve bij Franse of Italiaanse mailservers , want die gebruiken natuuurlijk weer hun eigen taal voor de bouncemessages ), dus dat is als gulden middenweg goed als een oplossing aan te dragen. Op die manier hoef je ze niet te lezen, maar kan je ze eens in de zoveel tijd scannen om te checken of er legitieme mail tussen zit waarbij er een typfout in het emailadres is gemaakt.

Anoniem: 155508 schreef op zaterdag 06 januari 2007 @ 17:59:
Ik heb nu das Catch all aangezet en binnen 5 minuten kreeg ik al een failure email.

kopietje hieronder:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

Hi. This is the qmail-send program at qmail-cgi-norm-0.netfirms.com. I'm afraid I wasn't able to deliver your message to the following addresses. This is a permanent error; I've given up. Sorry it didn't work out. <loginptist@cashette.com>: 216.218.158.109 does not like recipient. Remote host said: 550 <loginptist@cashette.com>: User unknown in local recipient table Giving up on 216.218.158.109. --- Below this line is a copy of the message. Return-Path: <mijn@email.com> Received: (qmail 32001 invoked from network); 6 Jan 2007 11:10:41 -0000 Received: from unknown (10.8.8.9) by 0 with QMQP; 6 Jan 2007 11:10:41 -0000 X-IP: 87.248.165.13 X-URI: /profile.php X-ID: 2382140 To: loginptist@cashette.com Subject: Welcome Reply-to: mijn@email.com From mijn@email.com Message-ID: <5bde3e9e2601d495400b91624e978ee7@www.mijnwebsite.com> MIME-Version: 1.0 Content-type: text/plain; charset=iso-8859-1 Content-transfer-encoding: 8bit Date: Sat, 6 Jan 2007 06:10:40 -0500 X-Priority: 3 X-MSMail-Priority: Normal X-Mailer: PHP

Is dit nou precies wat jullie ook hebben, of is dit iets anders? Wel toevallig dat ik catch all aanzer en dan meteen zon email krijg. Ik zet hem dan ook fijn weer uit.

toon volledige bericht

haha jij krijgt dat met Catch-all inschakelen

ik heb catch all uitgeschakeld en kan nu alleen nog maar versturen met het adres, maar als ik er een email aan wil sturen krijg ik:
Hi. This is the qmail-send program at yahoo.com.
I'm afraid I wasn't able to deliver your message to the following
addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<bults@bults.org>:
212.203.14.92 does not like recipient.
Remote host said: 550 5.1.1 <bults@bults.org>... User unknown
Giving up on 212.203.14.92.

user bestaat gewoon want is me hoofd user en heb hierbij ook de info nog maar beide werken niet en bijkomend probleem is dus dat de helpdesk van mijn provider (deheeg) mij dus ook niets kan toesturen want die krijgen bovenstaande


dan had ik momenteel nog liever al die spam erin dan helemaal niets meer erop kunnen krijgen

en ik maar denken dat ik de enigste was. Alles laten controleren op mijn, geen virussen of spyware gevonden, mijn hosting al gemaild maar blijkbaar lag het dus niet aan mij.

Ik bookmark dit topic even, als iemand er een oplossing voor vind zou dat prettig zijn...

Ik heb ook al aardig wat jaren ervaring met hosten, domeinen en spam. Hieronder mijn bevindingen:

Een SPF-record helpt. Soms veel, soms weinig, maar het is de moeite waard.
De ontvangende server gaat de SPF-record(s) controleren op de versturende server (als in opgegeven afzender) om te kijken of het ook echt klopt. Nu is het de bedoeling dat als het NIET klopt, de mail gewoon genegeerd wordt. Helaas heeft lang niet iedereen (correcte) SPF-records en wordt er dan nog steeds voor de zekerheid een bounce-mailtje gestuurd. En zie daar, weer zo'n vervelend ding in je mailbox. De effectivitiet van een SPF record hangt af van zaken waar je geen invloed op hebt, maar kwaad kan het ook niet (mits juist geconfigureerd).

Zoals hierboven vermeld werkt een Outlook-rule om die bounces te "pakken" vrij aardig. Zo'n mail bevat altijd een aantal woorden waar je op kan filteren ("qmail-program", etc). Stel nu als exception in dat zo'n bounce gestuurd naar je ECHTE mailadres wel doorgelaten moet worden (mocht je zelf een keer een echte legitieme bounce krijgen op wat je zelf echt hebt verstuurd) en je bent klaar.
In het begin zal je de regel vaak moeten uitbreiden om meerdere woorden te herkennen, maar op een gegeven moment ben je er voor een groot deel vanaf.

Voor 'gewone' spam gebruik ik een programmatje van Cloudmark (www.cloudmark.com/desktop). Welke eigenlijk alle spam er wel uithaalt (mbv BCC/Razor databases). Standaard filters die gebruik maken van algoritmes om spam te herkennen op basis van keywords (die je ook nog 's moet trainen) zijn naar mijn mening al niet afdoende. De laatste tijd komt het echter steeds vaker voor dat iedere ontvanger een uniek bericht krijgt (die plaatjes spam waarbij het plaatje ook nog 's (vrijwel) onleesbaar is voor OCR)... Helaas heb ik hier nog niks op kunnen vinden.

Al met al ontvang ik ook redelijk wat spam, maar 98% verdwijnt toch netjes in m'n spam-box (ook de bounces). Na maanden nog nooit een false-positive tegengekomen, dus binnenkort ga ik het maar 's automatisch laten deleten.

Als je perse catchall wilt gebruiken (just like me), waarom blokkeer je dan niet de mails met als onderwerp: "failure", "not delivered" of "undeliverable".
Okok, je zult geen emails meer krijgen als je dan een keer ECHT moet mailen en het komt echt niet aan, maar ja hoe vaak komt dat nou voor?
Dan maar liever de filter en 20 spammails minder per dag. (heb nu al een paar weken weinig last meer van spam gelukkig)

jah ik heb hier sinds een tijdje ook last van, ik heb hier intern een Exchange 2000 server draaien en sinds een 2 weken krijg ik ongeveer 10-20 van deze bounce mailtjes binnen.... Ons spam filter(server side dus) ving het wel direct op dus deze bounce mailtjes worden netjes naar de spam folder verplaats ("echte" undeliver mailtjes worden wel doorgelaten), maar het blijft irritant: onnodig data verkeer, server belasting, en extra werk voor mij (moet die spam toch altijd nog controleren en handmatig verwijderen).

BramT schreef op woensdag 10 januari 2007 @ 01:37:
Voor 'gewone' spam gebruik ik een programmatje van Cloudmark (www.cloudmark.com/desktop). Welke eigenlijk alle spam er wel uithaalt (mbv BCC/Razor databases). Standaard filters die gebruik maken van algoritmes om spam te herkennen op basis van keywords (die je ook nog 's moet trainen) zijn naar mijn mening al niet afdoende. De laatste tijd komt het echter steeds vaker voor dat iedere ontvanger een uniek bericht krijgt (die plaatjes spam waarbij het plaatje ook nog 's (vrijwel) onleesbaar is voor OCR)... Helaas heb ik hier nog niks op kunnen vinden.

Ik heb op de Exchange server een spamfilter draaien (als gateway) en die maakt gebruik van 8 verschilende methodes om spam te herkennen. waaronder keyword checking, DNS blacklists en Bayesian analyse... samen met de andere filter methodes werkt dit bijna perfect. Er wordt nauwelijks spam doorgelaten naar de mailboxen van user (ook die mailtjes bestaande uit plaatjes en dus de bounce mailtjes). Het enige nadeel is dat er soms mailtjes als spam gezien worden die het niet zijn... maargoed ook dit is een kwestie van tijd (whitelist) nu gebeurd het neit veel meer.

[ Voor 61% gewijzigd door Chaoss op 10-01-2007 08:30 ]

Ik heb het ook

Maar gelukkig niet zo grootschalig als sommigen hier vertellen, sinds 3 januari heb ik er 184 binnen gekregen. Ook ik wil mijn catch-all niet uit, om dezelfde reden als anderen hier, elk bedrijf heeft zijn eigen e-mail adres van mij gekregen. Deze zie ik echter niet terug, er zitten alleen maar random-strings.

Ik heb nu in Thunderbird wel filters gemaakt, als in het onderwerp Reject, Return, SPAM, Delivery etc staat, of als de mail afkomstig is van MAILER-DAEMON of postmaster, en het is niet gerecht aan een van de 3 e-mail adressen die ik als afzender gebruik, dan wordt het gelijk weggegooid. Werkt op zich vrij aardig, af en toe moet ik de regels iets bijstellen maar het meeste wordt eruit gefilterd.

Alleen jammer is dat ik dit alles op een IMAP-server heb, en ik dus eigenlijk deze regels op elke mailclient moet instellen. Omdat dit me teveel werk was heb ik het nu alleen op mijn eigen computer gedaan.

Tja, het is een bekend probleem, internet provider Demon heeft er ook heel veel last van (hebben ook een catchall voor alle gebruikers).

Enige werkende optie is inderdaad de catchall uitschakelen of een rule aanmaken voor mailer-deamon ofzo.

Mensen: Het compleet negeren van alle bounces is natuurlijk een debiele oplossing
(ik zou het niet eens een oplossing willen noemen)

Bounces zijn een belangrijk onderdeel van het e-mail systeem en worden toch vaker gebruikt dan je zou denken.

Natuurlijk zijn wij uber-tweakers dusdanig handig met de PC dat we niet zomaar naar een foutief e-mail adres mailen, maar er zijn veel meer mensen die regelmatig foutjes maken in het e-mail adres. Of mensen die hun mailbox vergeten te legen en daardoor tegen hun quota aanlopen.

Het is in zo'n geval erg belangrijk dat de bounce functionaliteiten gewoon goed werken, ze bestaan immers niet voor niets.

Het uitfilteren van bounces niet gericht aan je eigen mail adres helpt op korte termijn misschien een beetje, alleen dit zal ervoor zorgen dat spammers de afzenders beter voor elkaar hebben (dus echte e-mail adressen zoals nu ook al regelmatig gedaan wordt).

Ook is zo'n filter lastig in te stellen als je een server hebt met een stuk of 100 e-mail accounts en alles bij elkaar een 1000 forwarders.

Dus:

- Uitzetten van catch-all
- Negeren van bounces

Dit zijn voor een enkele gebruiker op korte termijn goede oplossingen, maar voor de langere termijn en voor mensen met een hoop accounts echt geen goede oplossing. Daarnaast is toegeven aan terrorisme (wat spam toch wel is) uit principe al geen goede oplossing.

Het instellen van een SPF met een hard fail werkt in sommige gevallen, maar betekent ook dat e-mail misschien niet aankomt. Dit doordat de tegenpartij de SPF niet goed uitleest (of jij zelf de SPF niet helemaal 100% correct hebt) en door de hard fail merk je daar dus niets van. Daarnaast zijn veel e-mail servers dusdanig ingesteld at ook bij een hard fail er een bounce bericht wordt verzonden (wat dus niet het geval is).

Dat samen met de andere problemen met SPF lijkt me dat ook geen echt goede oplossing. Ook wordt SPF nog niet heel veel gebruikt, dus het zou ook maar maximaal 25% tegenhouden. (Of je nou 1000 of 750 bounces op een dag krijgt, maakt eigenlijk niets uit)

Anoniem: 178962 schreef op woensdag 10 januari 2007 @ 10:21:

Natuurlijk zijn wij uber-tweakers dusdanig handig

Blijkbaar niet, want anders hadden die handige ubertweakers nooit hier hoeven posten


Catch-all is een blackhole, ga je die uitzetten dan creer je in feite extra meuk doordat niet bestaande adressen nu ook nog eens voor een reverse-bounce spamrum misbruikt kunnen worden....

[ Voor 27% gewijzigd door alt-92 op 10-01-2007 13:12 ]

Helaas kan ik melden dat dit probleem zich niet alleen met .nl domeinen voordoet maar eigenlijk met alle domeinen.

Ik heb een .com domein waarvan ik de mail zelf host en ik heb het probleem ook. Echter de hoeveelheid bounces die ik binnen krijg valt redelijk mee. Ik kan m'n catch-all helaas niet uitzetten maar ik krijg ze niet in m'n gewone inbox.

Wel is het handig om af en toe eens door de lijst met bounces heen te gaan want er zijn mailservers die het sender ip-address laten zien.

Verder is er helaas weining aan te doen ben ik bang

Staat het IP van de origineel zendende mailserver niet in zo'n bounce mail (in de headers).

bv. mijn mailserver heeft IP: 123.123.123.123
Ieder bouncemailtje wat geen betrekking heeft op mail van dat IP zou ik dan weg kunnen gooien.

Tuurlijk zijn headers eventueel te faken, maar meestal gaat het hier alleen om gespoofde mail adressen toch?

Anoniem: 50683 schreef op woensdag 10 januari 2007 @ 13:39:
Staat het IP van de origineel zendende mailserver niet in zo'n bounce mail (in de headers).

Lang niet altijd. Helaas. Bovendien helpt dat alleen maar als je een eigen mailserver draait. Ik verstuur al mijn mail via smtp.xs4all.nl en dan is de kans al veel groter dat 1 van de vele XS4ALL mailservers wel genoemd wordt in de bounce.

[ Voor 18% gewijzigd door Jan-E op 10-01-2007 13:49 ]

Ik heb ook een domein met een catch-all die zomaar gebackholed kan worden (omdat ik aan verschillende mensen in het verleden voor de gein allerlei maffe adressen heb gegeven) en toch wil ik een delivery report krijgen als een echte mail die ik verzonden heb niet aankomt.

Wat ik daarom heb gedaan:

• Google For Your Domain geinstalleerd: heb nu 50 "Gmail" accounts met 2Gb opslag, die wel gewoon @mijndomein.be zijn. Hierdoor gaat de Gmail spamfilter dus over al mijn mails.
• In mijn hoofdaccount (waar alle mail naartoe komt, behalve die van de andere gebruikers van het domein) enkele filters aangemaakt, waaronder deze om die delivery reports te deleten:
  subject:(Delivery notification) OR subject:(could not be delivered) OR subject:(delivery failure) OR subject:(Returned mail) OR subject:(Delivery status notification) OR subject:(failure notice) OR from:(mailer-daemon) OR from:(Mail delivery system)) AND -to:(legitiem-adres-waaruit-ik-verstuur@mijndomein.be) AND -to:(ander-echt-adres@domein.be))

Hij is waarschijnlijk wel wat redundant, maar houdt wel al die bogus tegen. En door een uitzondering in te bouwen voor mails die naar mijn echte hoofdadres komen, krijg ik wel nog de echte bounce mails aan. Lijkt me een prima oplossing dus. Suggesties?

ik heb het ook, al een hele tijd

weet iemand of het mogelijk is om met wildcards te werken? mijn ervaring is dat het random gedeelte voor het apestaartje vaak uit vier tekens bestaat, die gewoon helemaal random zijn.

dan kan ik daar mooi een regeltje voor maen en ben ik daar in iedergeval al vanaf.

Die -legitieme adres(sen) is zeer belangrijk, maar dan mis je misschien nog een paar steekworden:
SPAM OR junk OR bulk OR blocked OR undeliverable OR unable OR process OR notification OR delivery OR failure OR rejected OR error.

Of de documenten trainen als zijnde zware spam,
en al je catchall adressen (dus alles wat je gebruik voor je @domein.nl) in de whitelist

zou zoiets werken?

Draadje op /. van vandaag over dit onderwerp

http://ask.slashdot.org/article.pl?sid=07/01/10/2349241

Ik kan me niet voorstellen dat hier niet wat nuttigs uit gaat komen (oei een dubble ontkenning)

Ja, ook ik heb er last van, wat erger is, voor mij is het niet eens spam!
als ik 40 van die mailtjes krijg betekent dat er 500+ mensen echte spam van 'mij' hebben gekregen

Ook ik heb hier last van, en idd ook bij mij is het zo dat mijn account zon 9/10 x zelf spam verstuurt

Ik heb dus ook een .NL domein, heb inmiddels alle virus scanners erover laten gaan, geen resultaat, en ook het gekke is dat begin dit jaar het probleem kwam

Overigens zijn er de afgelopen dagen weer twee 'phishing' runs geweest om te kijken of catch-all aanstaat. Geadresseerden: thisisjusttestmessageatall@example.com en de laatste paar uur protomakaga@example.com

Vooral van die eerste is de bedoeling overduidelijk. Wat ik me wel afvraag is hoe de verzamelde info van de versturende zombies bij de opdrachtgever terecht komt. Dat moet te herleiden zijn als je zo'n zombie in handen krijgt.

Jan-E schreef op donderdag 18 januari 2007 @ 19:50:
Overigens zijn er de afgelopen dagen weer twee 'phishing' runs geweest om te kijken of catch-all aanstaat. Geadresseerden: thisisjusttestmessageatall@example.com en de laatste paar uur protomakaga@example.com

Vooral van die eerste is de bedoeling overduidelijk. Wat ik me wel afvraag is hoe de verzamelde info van de versturende zombies bij de opdrachtgever terecht komt. Dat moet te herleiden zijn als je zo'n zombie in handen krijgt.

Hier ook de testmessage voorbij zien komen, maar hoe wil je daarmee testen eigenlijk? Als ik catchall uitzet, én op ignore zet, ipv bounce, dan kan de verzender toch niet zien of ie ignored is (dropped) of aangekomen in een mailbox?
Ik had toevallig net weer even de catchall aanstaan om te zien hoe het ermee stond, en een hele dag niks voorbij zien komen, nadat hij 2 maanden op bouncing stond. En toen dus testmessage in de spambox, en daarna, je raadt het al, een heleboel undeliverables, ik vermoed dus wel dat het samenhangt, maar ik kan het niet herleiden. Dit keer was de spam allemaal van dezelfde fake@mydomain.com verstuurd, eerst was het namelijk random@mydomain.com.

Ik heb het idee dat het soms gecontroleerd wordt aan de hand van spamfilter/report-resources. Als je spam rapporteerd aan (bv) spamcop, misschien dat de spammers dan die database doorzoeken op de unieke code die in je mailtje stond. Zo kunnen ze zien; een mailtje is gerapporteerd, dus het adres bestaat.

Ik weet niet zeker of het zo werkt als ik zeg, maar spammers kunnen na het versturen van mail zelf een 'test' doen bij spamcop om te zien of een bepaald mailtje is opgenomen in hun database. Het gaat me dus niet om de abuse-mailtjes die verstuurd worden, maar om de test die aangeeft of een mailtje 'listed in spamcop' is. Of de test reageert op 'unieke' mailtjes of alleen kijkt of een mailtje voldoet aan een paar standaard patronen weet ik niet.

Het is een theorie die naar voren kwam nadat ik merkte dat er soms een golf van spam kwam de halve dag nadat ik een aantal mailtjes gereport had.

[ Voor 12% gewijzigd door Booster op 19-01-2007 13:19 ]

Jan-E schreef op vrijdag 19 januari 2007 @ 12:48:
[...]
Het gaat die spammers er kennelijk om om adressen te vinden die geen bounce genereren. Wellicht om de spam geaccepteerd te laten worden door mailservers die eerst testen of het wel een geldige afzender is.

Duz...bounce dan toch maar aan laten staan dus. Zou kunnen verklaren waarom ik na een tijd "drop & ignore" aan had staan, dat het steeds erger werd, en toen bounce aanstond dat het toen over was.
Rare gasten hoor die spammers.

Ik doe sinds kort alleen nog maar zaken via de telefoon. Ouderwetse media zijn misschien minder snel, maar wel een stuk betrouwbaarder (en spam-vrij)

Zelfs de simpelse mail formulieren worden om de zoveel tijd gevuld door robots.
Dus een mail formulier op je site is ook al geen oplossing.

[ Voor 32% gewijzigd door Jimbolino op 19-01-2007 15:19 ]

Zucht ik heb vandaag weer een vlaag ontvangen...

Zo erg zelfs dat ik in de blacklist van gmail terecht kwam, alle mail die ik stuurde naar mensen met een gmail adres kwam gewoon in de spam folder terecht

Ik kon nergens vinden hoe je iemand bij Google wijs kunt maken dat je van die blacklist af moet omdat je helemaal geen spam doet versturen.

Ik heb op het domein een SPF zitten dus Google zou toch moeten weten dat die mail helemaal niet van mij afkomt (dat kan ik duidelijk zien in de headers van de bounces die ik krijg, het komt overal vandaan behalve bij mij).

Voor de zekerheid heb ik al mijn PC's nog eens extra door 2 virus scanners laten scannen en allerlei anti-spyware spul erop losgelaten, maar de PC's zijn gewoon clean.

Ik heb nu ook even een relay servertje op mijn linux server/router/firewall gezet en in de firewall de SMTP poort geblocked. Ik kan dus alleen nog vanuit mijn netwerk mail versturen door mijn eigen relay servertje te gebruiken en die heb ik zo ingesteld dat ie een mooi logje maakt van alle uitgaande mail.

Ik maak echt zoveel gebruik van de catch-all dat ik die echt niet wil uitzetten.

Ik heb ook al een SPF, dus wat kan ik nog meer doen om van dit rotprobleem af te komen?

Overigens lees ik in de wikipedia pagina van SPF dat wanneer een SPF niet klopt er een melding naar het return-path wordt verzonden... Das toch debiel, dus als het return-path niet klopt gaan ze alsnog die persoon lastig vallen om te laten weten dat iemand e-mail met onzin heeft verzonden

Ik hoop dat dat een foutje is...

[ Voor 12% gewijzigd door Anoniem: 178962 op 20-01-2007 04:45 ]

Zucht ook hier. Ik dacht zoals mede tweakers dat ik weer eens vrolijk een virusje had opgelopen, maar ook hier sinds midden januari last van deze "undeliverables", om gek van te worden. Misschien grappig, maar ook ik zit bij YourHosting.

Toeval (?) is dat ik niet van dit soort mailtjes krijg op mijn Xs4all account. Eens verder onderzoeken naar dat SPF etc.

InsjaHH schreef op maandag 22 januari 2007 @ 13:24:
Toeval (?) is dat ik niet van dit soort mailtjes krijg op mijn Xs4all account. Eens verder onderzoeken naar dat SPF etc.

Dat zul je bij Xs4all niet vinden. Want die doen niet aan SPF.

Jan-E schreef op maandag 22 januari 2007 @ 13:34:
[...]
Dat zul je bij Xs4all niet vinden. Want die doen niet aan SPF.

Bedoel je dus dat deze undeliverables en consorten dus enigszins veroorzaakt worden door het SPF? Ik ga zometeen zelf wat meer onderzoek doen naar SPF en wat het precies inhoudt, dus excuses voor deze vraag.

Of bedoel je indirect doordat ik op mijn eigen domeinnaam natuurlijk een catch-all aan heb staan en zulke berichten dus vrolijk in mijn mailbox binnenkomen.

InsjaHH schreef op maandag 22 januari 2007 @ 13:43:
Bedoel je dus dat deze undeliverables en consorten dus enigszins veroorzaakt worden door het SPF? Ik ga zometeen zelf wat meer onderzoek doen naar SPF en wat het precies inhoudt, dus excuses voor deze vraag.

In ieder geval is SPF niet de verklaring dat je dergelijke berichten niet op je Xs4all account krijgt. Ik heb zelf ook een paar domeinen bij Xs4all draaien, maar dan zonder catch-all. Dat maakt de kans getroffen te worden door een lading undeliverables een heel stuk kleiner.

Of bedoel je indirect doordat ik op mijn eigen domeinnaam natuurlijk een catch-all aan heb staan en zulke berichten dus vrolijk in mijn mailbox binnenkomen.

Het uitzetten van catch-all is veel effectiever dan het aanmaken van een SPF-record. De vraag is zelfs of een SPF-record helpt. Het bestaan van een SPF-record schijnt meer voor te komen bij spam dan bij normale mail.

Een SPF helpt hier niet tegen en is voor een deel zelfs de oorzaak.

Een SPF is een veld in de DNS waarin gezet wordt welke servers mail voor een bepaald domein mogen verzenden en wat er gedaan moet worden wanneer een andere server alsnog mail stuurt.

De meest gebruikte optie is de ~all optie wat ervoor zorgt dat een e-mail een hogere spamrating meekrijgt maar verder wel wordt doorgelaten. Dit is op zich een redelijk goede oplossing.

Er is echter ook de -all optie, deze zorgt ervoor dat een ontvangende server de e-mail niet moet accepteren. Eigenlijk zou de server het hele mailtje weg moeten gooien, alleen in de meeste implementaties wordt er een bounce verzonden naar het return-path. Dit heeft dus als gevolg dat je meer bounces krijgt met een SPF.

Aan de andere kant worden steeds meer implementaties aangepast om het mailtje echt helemaal weg te gooien en SPF helpt in principe voor een deel om spam te voorkomen.

Heel veel mensen (waaronder de grote jongens) hebben een SPF record aan hun domeinen toegevoegd, echter heeft nog bijna niemand het zo ingesteld dat de SPF daadwerkelijk wordt uitgelezen bij het ontvangen van e-mail.

De redenen daarvoor zijn duidelijk: huidige implementaties zijn nog niet van hoge kwaliteit, ze veroorzaken veel server load en netwerk load, de DNS servers worden zwaarder belast en zijn vaak onstabiel.
Ook gaat het altijd relatief traag gezien de SPF moet worden opgehaald van de DNS, uitgelezen, verwerkt en dan nog eens moet het mailtje gechecked worden of dit inderdaad overeenkomt met de SPF. Dit kan voor servers die veel e-mail moeten verwerken een flinke vertraging betekenen.

Het is ook erg omstreden of SPF wel echt werkt, en er zijn natuurlijk ook alternatieven voor deze techniek.

Al met al genoeg redenen dus waarom veel servers nog niets doen met het SPF.
De acceptatie van het systeem door de grote jongens (zoals gmail) helpt hier wel iets bij, maar voor veel providers zullen de kosten niet opwegen tegen de voordelen.

En ook hier meer dan 25 mail delivery failures per dag. Voor sommigen hier blijkbaar niet veel, maar voor mij wel. Inmiddels wel dmv een 'regel' in Outlook kunnen zorgen dat alles naar de ongewenste mail map gaat, maar toch...

Even een vraagje. Het lijkt er dus op dat mijn domeinnaam wordt gebruikt voor het verzenden van mail. Is het een oplossing om gewoon mijn SMTP server uit te zetten of maken ze geen gebruik van mijn SMTP server? Ik verzend mijn mail toch gewoon via mijn provider...

Ik ben benieuwd hoelang het duurt voordat hier echt een oplossing voor is.

Ik mag hopen voor je dat het niet verzonden wordt via je eigen SMTP server, dan ben je namelijk een zogenaamde open relay en dat zou echt heel kwalijk zijn.

Je kan hier testen of je inderdaad een open relay bent: http://www.abuse.net/relay.html

Ook kan het zijn of dat je zelf een virus hebt (of iemand anders met een mailaccount op jouw server) of dat er een virus op je server staat.

Hier kom je vrij snel achter door de bounce reports te bekijken, daar staat vaak precies in waar de mail vandaan kwam. Is dat niet jouw server dan heb je hetzelfde probleem als wij hier hebben en ligt het dus niet aan jou.

Na testen blijk ik inderdaad geen open relay te zijn. Viruscheck heb ik overal uitgevoerd, zonder problemen. Received from is in alle mails verschillend, allemaal onbekende buitenlandse domeinen.

Kortom ook ik ben de lul...

Anoniem: 178962 schreef op zaterdag 27 januari 2007 @ 14:29:
Hier kom je vrij snel achter door de bounce reports te bekijken, daar staat vaak precies in waar de mail vandaan kwam. Is dat niet jouw server dan heb je hetzelfde probleem als wij hier hebben en ligt het dus niet aan jou.

Tegenwoordig worden er ook spamruns gedaan waarbij de eerste 'recieved from' geforged was.

Dit was bij ons te zien aan de vreemde esmtp en ID, én aan de vreemde tijdzone. -0060 zou natuurlijk -0100 moeten zijn. Er zaten er ook tussen met een tijdzone -0080.
Voor de zekerheid nog even de SMTP-logs gecontroleerd maar geen spoor van deze mailtjes natuurlijk.

Een voorbeeldje:

Received: from IP mailserver (HELO MX-record domein)
by ltpmail.gsfc.nasa.gov with esmtp (/'HDRLSWI0 Z(-2)
id B2S7.4-),,RZ+--/
for addra@ltpmail.gsfc.nasa.gov; Sun, 14 Jan 2007 15:40:45 -0060

[ Voor 5% gewijzigd door Booster op 28-01-2007 15:31 ]

Doen ze dat ook al ja?

Tis toch te ziek voor woorden, die spammers worden met de dag beter...

Dan moet je het inderdaad hebben van uitgebreide logging (uitgaande mail id's checken met reports) en gewoon goed scannen op virus etc.

Meer valt er gewoon niet te doen

Tja, het blijft een oorlog tussen spammers en spamfighters natuurlijk.

Maar ik denk dat dit type mailtjes relatief makkelijk te filteren is zolang het IP-adres wat geforged wordt hetzelfde is als dat van de ontvanger. Dingen die binnenkomen op je SMTP gaan normaal gesproken niet eerst naar 'buiten' om vervolgens met een omweg terug te keren op je eigen server en dan delivered te worden (vreemde constructies met forwarders daargelaten).

Ik gebruik op mijn kerio mailserver nu een delay optie. De meeste spammers willen zo snel mogelijk mail versturen en wachten niet op antwoord van de mailserver. Normaal reageerd mijn mailserver direct en ontvang ik te veel mail die eerst gescant moet worden enzo.

Ik gebruik op dit moment spam assain verschillende blacklist en een 30sec wait before reply op mail verzoeken. Echte mailservers die willen gerust 30sec wachten voordat je verbinding kunnen krijgen met mijn mailserver. De standaard mail spammers doen dat niet. Ik moet zeggen nu 1 week die 30sec delay erin scheelt aanzienlijk het spam verkeer.

Voor de bounces van de "reply-to spam" zou dat niet uit mogen maken, want die worden wel afgeleverd door 'echte' mailservers afaik.

Hier nog een slachtoffer; een meer dan tien jaar oude domeinnaam, die altijd behoorlijk vrij van spam is gebleven, wordt nu opeens gebruikt als spamadres.

Kwalijk is dat ze ook bestaande en belangrijke emailadressen van dit domein als afzender gebruiken, zoals info@domein, mijvoornaam@domein en domein@domein.

Gistermiddag begonnen en na het ontvangen van bijna 7000 (!) bounces in minder dan 24 uur, m'n catch-all uitgezet. Ik kan hem een uurtje naar een gmail adres laten verwijzen, maar daar werd ik toch ook niet gelukkig van.

Nu begin ik, gezien de berichten, nog maar niet aan het instellen van SPF (wat ik overigens ook niet exact snap, ik gebruik de domeinnaam-servers niet om mail te sturen, alleen de smtp server van xs4all, moet ik die dan ingeven?).

Wat een ellende zeg, een blacklist vermelding is niet iets waar ik op zit te wachten.