Iemand verstuurt tonnen spam vanaf mijn site

Ik stel voor dat je je catch-all afzet of alle spam automagisch laat trashen.. Het is niet noodzakelijk dat de spammer toegang heeft tot jouw SMTP om mails te sturen vanaf jouw domein, dit is namelijk zeer makkelijk te spoofen. En het ergste van al is: je kan er niets tegen doen..

Heb je ook de headers ingekeken. Kan goed zijn dat niet jouw systeem/ site spamt, maar dat je sitenaam wel als afzendersadres gebruikt wordt. Zodoende krijg jij de bounced mailtjes terug.

Om te beginnen: catch all uitzetten en alleen de emailadressen die je gebruikt email laten ontvangen. Dan ben je 99.99% van het gedonder kwijt. Je bent volgens mij gewoon het slachtoffer van misbruik van je domeinnaam, en niet van een spammer via je site. Als je catch all uitzet zal de email (van niet bestaande adressen) door de mailserver geweigerd worden, en heb jij er geen last meer van.

Zo komt het probleem nu ook bij jou terug: andere mailservers weigeren de email, en helaas staat jou domeinnaam in het afzendadres. Dus krijg je de meest grote onzin. En als je catch all niet uit wilt zetten... dan wens ik je veel succes met verwijderen

[ Voor 7% gewijzigd door Bastien op 19-08-2007 21:30 ]

Captain Pervert schreef op zondag 19 augustus 2007 @ 21:33:
Catch-all uitzetten is een oplossing, maar eigenlijk meer een workaround. Ik wil dat het stopt, dit soort grapjes zijn vast niet gunstig voor blacklists en google zoekresultaten enzo.

Dus het is waarschijnlijk gespoofed, en volstrekt willekeurig bovendien? Ik ken geen beroepsspammers die mij niet mogen ofzo

De oplossing is dat er geen oplossing is.
Elke malloot kan jouw emailadres invoeren als afzender, daar hoef je helemaal geen rechten of wachtwoorden of toegang of wat dan ook voor te hebben.

Je moet gewoon catch-all uitzetten, en verder kan je niks beginnen, such is life.

Gewoon al die bounces rapporteren bij Spamcop.

Dit zijn zogenaamde delayed bounces en dat zou niet mogen. (Eerst een mail accepteren en daarna aan de valse afzender meedelen dat het adres toch niet bestaat / cq de mail niet geaccepteerd wordt). Crap hoor je voor de data-fase af te vangen.

Voor de rest is er eigenlijk geen oplossing, behalve Catch-all uitzetten of bidden tot <vul hier je favoriete meerdere in> dat de beheerders van mailservers eens ga nadenken of delayed bounces wel zo handig zijn.

Ik was gister aan de beurt, trouwens. Zag ineens akelig veel bounces. Een uurtje of wat de catchall uitgezet tot het weer rustig werd en de er wel doorgeglipte bounces bij Spamcop aangemeld.

Captain Pervert schreef op zondag 19 augustus 2007 @ 21:33:
Dus het is waarschijnlijk gespoofed, en volstrekt willekeurig bovendien? Ik ken geen beroepsspammers die mij niet mogen ofzo

Het zal vast niet persoonlijk bedoeld zijn hoor Mijn domeinnaam wordt ook gebruikt als From adres in spam.

Je catch-all uitzetten helpt alleen om de vloed aan bounces in je inbox te stoppen. Het maakt voor de spammers natuurlijk niet uit of de bounces aankomen, en je loopt nog steeds evenveel gevaar om geblacklist te worden door instanties die niet snappen hoe SMTP werkt.

Dit komt me akelig bekend voor. Helaas zit ik via mijn ISP met een subdomein waarvan ik de catchall niet uit kan zetten. Gelukkig heb ik een e-mail client die er wel raad mee weet (als die even de tijd krijgt).

GraveR schreef op zondag 19 augustus 2007 @ 21:39:
Dit zijn zogenaamde delayed bounces en dat zou niet mogen. (Eerst een mail accepteren en daarna aan de valse afzender meedelen dat het adres toch niet bestaat / cq de mail niet geaccepteerd wordt). Crap hoor je voor de data-fase af te vangen.

Wilde je zeggen dat als ik een mailtje stuur via mijn server, die 't weer via Demon/XS4ALL's SMTP-server verstuurt (smarthost), dat die laatstgenoemde nog vóór mijn DATA-commando naar míjn server ondertussen al contact gezocht heeft met de server uit de MX-resultaten van het recipient-domein?

Wat, naar mijn weten, mijn Postfix doet, is eerst het mailtje accepteren (aangenomen dat ik authenticated ben of vanaf 't interne netwerk mail), in de queue smijten, vervolgens doorstuurt naar de Smarthost (Demon/XS4ALL), die vervolgens hetzelfde geintje doet (mail accpeteren, want ik kom uit een toegestane IP-range) en in zijn queue gooit en pas dáárna op zoek gaat naar de correcte mailserver.
Voordat de mail dus aankomt bij de eigenlijke server van de ontvanger heb ik (relatief) alláng de DATA-fase afgesloten.
Mocht ik dus eventueel naar janmetdekorteachternaam@blabla.invalid hebben gestuurd, die toevallig niet meer bestaat, dan zal ik zo'n "delayed" bounce krijgen van Demon/XS4ALL's MTA, iets wat volgens jouw beredenering niet zou mogen?

Of zit ik er nu gruwelijk naast?

Was SPF niet voor dit soort zaken bedoeld? (Natuurlijk implementeert niet elke SMTP server het, maar degenen die dat wel doen zouden de mail toch direct moeten rejecten?)

Thralas schreef op zondag 19 augustus 2007 @ 22:14:
Was SPF

Het is inderdaad voor (of tegen, eigenlijk ) dit soort zaken bedoeld, alleen jammer genoeg helpt het niet (by design).

Thralas schreef op zondag 19 augustus 2007 @ 22:14:
Was SPF niet voor dit soort zaken bedoeld? (Natuurlijk implementeert niet elke SMTP server het, maar degenen die dat wel doen zouden de mail toch direct moeten rejecten?)

Volgens mij komt 't niet vaak voor dat een MTA direct iets reject als 't niet overeenkomt met 't SPF-record. Da's nogal lullig voor (tijdelijk) fout geconfigureerde DNS-zones cq. servers.

GraveR schreef op zondag 19 augustus 2007 @ 22:36:
[...]

In DAT geval is het gewoon toegestaan, aangezien dit een 'vertrouwde' keten is. Waar het in dit geval om gaat is dat de MTA van de recipient de originele afzender gaat lopen MAILEN dat het niet gelukt is.

Ik snap dat een MTA idd niet eerst een mailtje aan moet nemen om vervolgens toch maar een bounce te versturen.
Maar de bouncende MTA is flpvm02.prodigy.net en nergens lees ik in die headers dat de uiteindelijke recipient ook van het prodigy.net-domein was. Misschien was dat wel een heel ander domein en stuurt díe MTA netjes vóór de DATA-fase een 530 (ofzo).

Wel een vage route die de bounce afgelegd heeft.

Captain Pervert schreef op maandag 20 augustus 2007 @ 10:40:
Ik snap nog steeds niet waarom uist onze domeinnaam gekozen werd.

Een spybot heeft je domeinnaam op internet kunnen vinden en heeft daarmee gespammed. Er zit waarschijnlijk niet iemand direct achter het misbruik van je domeinnaam, maar een stukje code.

klopt; domeinnamen kunnen gemakkelijk gevonden worden.
Opvallend uit de header was het IP adres 71.106.236.157.
Ik mag aannemen dat Captain Pervert niet in Reston (USA) woont?

wat je ev. ook kunt doen, maar veel tijd en wrs veel geld kan kosten.
is een tijdje lang voor alle dergelijke mails - en dan vooral diegene waarvan je de oorspronkelijk verstuurde header mee krijgt. (dus niet de headers van de bouncer, maar van diegene die ze verstuurde in jouw naam) - klacht tegen onbekenden neer te dienen bij lokale diensten.
en het te laten onderzoeken door een CERT-team.
Je kan ev. ook de provider of het hostingsbedrijf waarvan zulke mail vertrekt (en dus wederom niet de bouncer) ervan op de hoogte brengen en actie tot stoppen vragen.
een mailtje vanaf een admin@... of root@... met genoeg headers en info heeft meestal wel goed gevolg heb ik al gemerkt. (sommigen hebben hierdoor al een goede uitbrander gehad van hun provider/hostingsfirma).
voor elke mail die je niet merkt zijn er tig die wel doorkomen en waarvoor jij door mensen die niet zo pc-minded zijn gezien wordt als spammer....

klacht indienen tegen onbekenden beschermt jou tegen mogelijk schade-claims van mensen die geen headers kunnen lezen, mogelijk kan er weer een botnet opgerold worden, en als je dan toch de misbruiker vind kan je mogelijk eens schadevergoeding gaan eisen....

(dat doe ik met alle domeinen die ik heb, ze zijn minder bekend, maar soms ook slachtoffer van spam-run's zowel ontvangend als in fake 'from:'-fields.)

een tip die ik ook gebruik en mogelijk kan helpen:
ik gerbuik voor quasi elke site waar ze mijn mail-adres willen hebben, en waar ik het wil geven volgende opmaak: domein van site@mijn domein . tld (buiten sommigen die ik echt vertrouw). krijg ik er spam op hebben ze prijs en wordt het een alias van de enigste mailbox die ik buiten de catch-all aanmaak per domein, en dat is een mailbox van 0kB groot ....
Oke niet iedereen heeft een domein, en neen dit helpt niet tegen fake-from-fields, maar het helpt mij wel tegen spam. (1 a 2 in een week, maar met 5 domeinen, waarvan eentje in de top 10 van google, is dat niet zo slecht vermoed ik)

@hieronder: ja 't is dweilen met de kraan open, maar iemand moet het doen eh.
en je hoeft het ook niet voor elke mail te doen, als je er 250 binnen krijgt en dat al doet voor bv de eerste 10 is het al voldoende. Als iedereen dat zou doen die zulke spammails krijgt 5% ofzo ervan aangeven, dan was het nog sneller voorbij. Als je dan uiteindelijk bv weet wie het was kan je hem de rekening sturen voor alle mails ...

[ Voor 28% gewijzigd door soulrider op 20-08-2007 20:04 ]