[Exch2003] Open Relay? nee toch......

Check je server ff tegen open relay blacklists en je komt er zo achter of er iets verkeerd geconfigd is. Had 't wel willen checken maar ik heb geen mailserver IP van je

Check even of je een open relay bent met http://abuse.net/relay.html

Het zijn wel allemaal valide links. Dat eerste adres is niet uitgaande gebruikt? Want op het eerste gezicht zou ik zeggen dat die ontvangende server je IP/host niet accepteerd.

@onder...
Zal wel...vooral die storemedsyou. De mail waar het van komt dan gewoon blokkeren.

[ Voor 21% gewijzigd door Ascathon op 14-04-2008 09:21 ]

Hier kan je zelf je relay test uitvoeren:
How to block open SMTP relaying and clean up Exchange Server SMTP queues in Windows Small Business Server
Vind ik wat beter dan die online tools. Nu kan je precies zien wat je smtp server zegt.

Ik denk dat ze jouw domein gebruiken als afzender.
Dit heb ik al meer gezien. Dit kunnen ze doen om uw server op een blacklist te krijgen.

Je krijgt non delivery replies. Ik denk echter dat jou email server niet deze ndr genereert (gebruik je nog een forwarder/mailrelay?).

Dit houdt in de een spammer als afzender een valide adres van jou gebruikt. Deze stuurt naar een willekeurige mailserver. Deze server relayed alleen voor een domain en accepteerd de message. Vervolgens wordt het doorgestuurd naar een 2de server/antivirus product en wordt het bericht tegengehouden. De mailrelay server kan hem dus niet afleveren en stuurt een ndr naar de afzender. In dit geval dus ten onrechte naar jou of je collega's.

Wat kan je er aan doen? Niets... Je zou ndr's kunnen uitzetten, maar de vraag is of je wilt dat je ook valide ndr's niet krijgt.

Dit gebruiken van ee vals afzenderadres heet ook wel spoofing, inderdaad erg vervelend en vrijwel niets aan te doen.

Jazzy schreef op maandag 14 april 2008 @ 17:29:
Dit gebruiken van ee vals afzenderadres heet ook wel spoofing, inderdaad erg vervelend en vrijwel niets aan te doen.

Vrijwel?!? Brand los ik wordt gek van dit probleem... veel email adressen hier staan noodgedwongen op internet funest natuurlijk voor spam maar helaas noodzakelijk.

Allleen filteren, dat is alles wat je kunt doen. Maar er is niets om het te voorkomen, zolang het mogelijk is om het afzenderadres te forgen.

Ook wij hebben er op het moment erg veel last van, het is iets van de laatste weken. We gebruiken overigens Kerio Mailserver, helaas is er weinig aan te doen.

een oplossing voor..

NDR uitschakelen..

verwacht binnenkort trouwens ook een mail van je provider dat je aan het spammen bent...

brengt alleen maar gedoe met zich mee en mensen krijgen geen ndr meer als ze een type fout maken heel irritant maar wel ''de'' nieuwe manier van spam...

je kan tevens ook nog een catch all mail adress maken waar niet bestaande mails worden gevangen en jou server dus geen ndr meer uitstuurt en jij behoud je mailtjes die verkeerd binnenkomen/

angel00008 schreef op dinsdag 15 april 2008 @ 00:07:
een oplossing voor..

NDR uitschakelen..

Er vanuitgaande dat het hier om forging van het afzenderadres gaat, heeft dit niets te maken met het verzenden van NDR's maar met het ontvangen van NDR's.

De TS zegt ten onrechte:

De laatste paar dagen krijgen een aantal collega's opeens erg veel spam in de zin van

En dan volgt een NDR.

Pedr0 schreef op dinsdag 15 april 2008 @ 08:25:
Ga de optie om de NDRs (voorlopig) uit te zetten even voorleggen.

Wat wil je daar mee bereiken dan? Jouw server zend die NDR's niet, dat doet de server van de ontvanger.

In mDaemon 9.6x zit zogenaamde backscatter protectie. Ook veel Linux mailservers hebben daar opties voor (BATV).
http://www.altn.com/Suppo...Results/?Number=KBA-01797
Je kan kijken of er iets vergelijkbaars is voor Exchange.

wij krijgen net van onze spamfilter software leverancier het volgende binnen.

http://kbase.gfi.com/showarticle.asp?id=KBID003322

zou dat even doornemen als ik jou was.

Let op: RFC 2821 schrijft voor dat de server een NDR moet uitsturen voor mail welke geaccepteerd wordt, maar vervolgens niet kan worden bezorgd.

In Exchange kan je wel een filter aanzetten dat de server geen mail accepteert voor adressen welke niet opgenomen zijn in je AD. Dit is naar mijn weten de enige legitieme oplossing.


Edit: Dit was als reactie op enkele replies hierboven en geen oplossing op het feit dat je veel NDR's ontvangt.

[ Voor 15% gewijzigd door SirDarkAngel op 15-04-2008 11:04 ]

Verwijderd schreef op maandag 14 april 2008 @ 20:09:
[...]


Vrijwel?!? Brand los ik wordt gek van dit probleem... veel email adressen hier staan noodgedwongen op internet funest natuurlijk voor spam maar helaas noodzakelijk.

Een mailadres staat nooit noodgedwongen op internet. Gewoon een mailer script met een form gebruiken, dan ben je al van een hoop gedonder af.

Heb hier op werk ook ontzettend last van.
Komt allemaal binnen op ons algemene adres wat tevens een (helaas noodzakelijk) catch all is.

Komen er echt tussen de 50 en 100 per dag binnen.. :


btw, gebruiken exchange 2003..

[ Voor 6% gewijzigd door ÜberWicked op 15-04-2008 11:35 ]

SkiFan schreef op dinsdag 15 april 2008 @ 11:17:
[...]


Een mailadres staat nooit noodgedwongen op internet. Gewoon een mailer script met een form gebruiken, dan ben je al van een hoop gedonder af.

Niet echt een discussie om hier te gaan voeren maar geloof mij er zijn situaties waar je er niet onderuit komt. En in veel situaties is die optie van jou idd een goede oplossing.

Pedr0 schreef op dinsdag 15 april 2008 @ 08:35:
Ik bedoel dus ndr's ontvangen

Het is nog vroeg.......

Kwam dit gisterenavond ook nog tegen, http://www.cryer.co.uk/br...nge/exch_disable_ndrs.htm - Zoiets heet dus "Reverse NDR attack" blijkbaar.

Thanks for the reminder; die was ik nog vergeten aan te zetten op mijn eigen exchange server.
Heb maar gelijk de GFI instelling aangezet.

SirDarkAngel schreef op dinsdag 15 april 2008 @ 11:03:
Let op: RFC 2821 schrijft voor dat de server een NDR moet uitsturen voor mail welke geaccepteerd wordt, maar vervolgens niet kan worden bezorgd.

In Exchange kan je wel een filter aanzetten dat de server geen mail accepteert voor adressen welke niet opgenomen zijn in je AD. Dit is naar mijn weten de enige legitieme oplossing.


Edit: Dit was als reactie op enkele replies hierboven en geen oplossing op het feit dat je veel NDR's ontvangt.

Je mist het probleem.

Deze spam mails zijn afkomstig van bedrijven die een relay hebben voor een werkelijke mail omgeving (zie relay ruim, veel antivirus programma's zijn ook een relay, aangezien ze eerst mail accepteren en dan pas doorsturen naar je mailserver). En het probleem zit erin dat je relay alleen op domain name checked. bogus@validedomain.nl wordt dus geaccepteerd. Vervolgens wordt er doorgestuurd naar je mailserver en deze kent bogus niet... Hierdoor maakt je relay een ndr aan (niet je mailserver).

Als je al een volledige naam check doet bij je relay, dan zal de versturende mailserver de ndr maken en bestaat die probleem in het geheel niet. Aangezien spam niet van een mail server wordt verstuurd, maar gewoon als bulk wordt aangestuurd.

Helaas ben je dus afhankelijk van een goede implementatie bij anderen (de meeste antivirus en mailgateways kunnen tegenwoordig wel directory lookups oid doen).
Dit is de reden dat je er niets tegen kunt doen. Backscatter lijkt idd een goede oplossing te zijn... nooit eerder gezien, maar ja ik hoe me tegenwoordig niet echt meer bezig met mail

Overigens is dit helemaal niet nieuw, dit principe ben ik sinds 2000 al tegen gekomen. Misschien dat het tegenwoordig wat massaler gebruikt wordt.

Ik ben overigens geen voorstander om ndr's ontvangen uit te zetten. Als je dit voorlegt, leg dat goed uit dat dan ook niet zeker weet of het contract dat je via de mail verstuurd wel aangekomen is of niet... het blijft natuurlijk een afweging.

[ Voor 6% gewijzigd door Verwijderd op 15-04-2008 15:21 ]

IIs, zoals ik in mijn edit al duidelijk probeerde te maken is dit geen oplossing voor het probleem. Ik zag echter dat er werd geadviseerd NDR's uit te schakelen en wilde hier op doorgaan. Na het verzenden van mijn post besefte ik dat ik nogal off-topic ging en vandaar me edit dat dit geen oplossing voor het probleem was.

Is het mogelijk om NDR's ontvangen uit te zetten? Zit de posts terug te lezen, zie dit voorgesteld, maar zie nergens staan hoe dit evt zou kunnen. Ik ben er ook geen voorstander van, maar elke server kan een anders soort NDR versturen (al zal dit bij de grotere software zoals Exchange wel gelijk zijn). Zal vast wel een 3th party software zijn die dit kan, maar heb het in ieder geval nog nooit gezien.

SirDarkAngel schreef op woensdag 16 april 2008 @ 00:45:
Is het mogelijk om NDR's ontvangen uit te zetten?

Hoe wil jij op andermans servers NDRs uitzetten dan?

Afgezien van een filter ervoor dat de Undeliverables naar een aparte bittenbak stuurt kun je er niet echt veel anders mee.

filteren van de melding idd. NDR's zijn makkelijk te filteren vanaf alle mailsystemen (zeer vaak worden ze niet vanaf exchange verstuurd, maar een relay of antivirus product).

Verwijderd schreef op maandag 14 april 2008 @ 20:09:
[...]
Vrijwel?!? Brand los ik wordt gek van dit probleem... veel email adressen hier staan noodgedwongen op internet funest natuurlijk voor spam maar helaas noodzakelijk.

SPF record voor je domein aanmaken, dan is dat spoofen gelijk al een stuk moeilijker. En spamDBs kunnen dan controleren of die crap van jouw bakken afkomt of niet...

Aetje schreef op woensdag 16 april 2008 @ 15:20:
[...]

SPF record voor je domein aanmaken, dan is dat spoofen gelijk al een stuk moeilijker. En spamDBs kunnen dan controleren of die crap van jouw bakken afkomt of niet...

Ik dacht dat er nog bar weinig servers naar het SPF record keken. Of is dat ondertussen wat beter geworden?

De bakken die ik destijds op mn vorige baan geinstalleerd heb kijken er wel degelijk naar. De meeste grote(re) bedrijven met dedicated anti-spam oplossingen kunnen iig SPF gebruiken voor een betere scoring: Correcte SPF - Waarschijnlijk geen spam. Gefaalde SPF - Waarschijnlijk wel spam. Neutrale (of afwezige) SPF: Geen extra scorebepaling. Werkt geweldig voor spam onder gespoofde grote mailaanbieders als Hotmail enzo. Ook geweldig voor spam te blocken wat gespoofd wordt alsof het van je eigen domein komt.

[Edit] En zo'n extra TXT recordje bij je domeinhoster indienen kost ook net niks, mits je teminste een redelijke hoster hebt.

[ Voor 11% gewijzigd door Aetje op 21-04-2008 18:02 ]