Toon posts:

Spam via mijn SBS 2003 server

Pagina: 1
Acties:

zondag 13 juli 2008 16:04

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
Ondanks dat ik mijn server goed dichtgetimmerd heb tegen relaying, twee antiviruspakketten draai, GFI mailsecurity en GFI Mailessentials draai zijn er vorige week zaterdag en vandaag toch een hoop spambercten verstuur.

De queue gestopt en vervolgen de map queue leeggemaakt.
Hierin stonden enkele honderden eml files.

Deze zouden van de sec@i-r-s.org zijn.

hieronder de message source van dit bericht.

Received: from User ([216.153.68.26]) by domeinnaam.nl with Microsoft

SMTPSVC(6.0.3790.3959); Sun, 13 Jul 2008 11:10:57 +0200
Reply-To: <sec@i-r-s.org>
From: "Internal Revenue Service"<sec@i-r-s.org>
Subject: Your Tax Refund Notification (Message ID NH-83521)
Date: Sun, 13 Jul 2008 04:11:42 -0500
MIME-Version: 1.0
Content-Type: text/html;charset="Windows-1251"
Content-Transfer-Encoding: 7bit
X-Priority: 1
X-MSMail-Priority: High
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Bcc:
Return-Path: sec@i-r-s.org
Message-ID: <S01-DZHc9ny7BXx4XFK000000a7@domeinnaam.nl>
X-OriginalArrivalTime: 13 Jul 2008 09:10:57.0250 (UTC)

FILETIME=[5C424C20:01C8E4C8]
X-EC0D2A8E-5CB7-4969-9C36-46D859D137BE-PartID:

001E0B95-5E16-416C-B3F4-6906A663E6BE

<img

src="http://upload.wikimedia.org/wikipedia/commons/thumb/8/8b/US-InternalRevenu

eService-Seal.svg/140px-US-InternalRevenueService-Seal.svg.png" width="160"

height="140"><br><br>
<font face="Courier New" size="2">After the last
annual calculations of your fiscal activity we have determined

that<br>
you are eligible to receive a tax refund of

<b>$620.50</b>.<br>Please
submit the tax refund request and allow us 3-6 days in order to<br>
process it.</font><br><br>
<font face="Courier New" size="2">A refund can be delayed for a variety of

reasons.<br>
For example submitting invalid records or applying after the deadline.<br><br>
<font size="2" face="Courier New">To access the form

for your tax refund,
please <b><a

href="http://0xd8a1cf0a/secure/service/taxrefund/gov/e-file.html">click

here</a></b></font><br><br><br>
<font size="2" face="Courier New" color="red"><b>Note:</b> For security

reasons, we will record your ip-address, the date and time.<br>Deliberate wrong

inputs are criminally pursued and indicated. </b></font><br><br><br>
<font face="Courier New" size="2">Regards, <br>
Internal Revenue Service</font></p><br><br>
<font face="Courier New" color="#C0C0C0" size="2">Copyright 2008, Internal

Revenue Service U.S.A. All rights reserved.


Ik heb de domeinnaam vervangen door domeinnaam.nl

Het logo in het mailtje komt waarschijnlijk bij wikipedia vandaan.

Ik heb NDR spamming volgens mij goed afgevangen door de server te beveiligen volgens.

ESM>domein>Global Settings>Message Delivery>properties
Recipient filtering > Filter Recipients who are not in the Directory

Vervolgens deze filter enabled op de SMTP connector.

Hoe kom ik van deze vorm van spam af?

zondag 13 juli 2008 16:45

Acties:
  • _js_
  • Registratie: Oktober 2002
  • Laatst online: 13-01 07:19

_js_

Als relaying niet mogelijk is en ook NDR spam niet, dan zijn er nog maar een paar mogelijkheden, voornamelijk webpagina's met een mailscript erop of de spammer logt in via de guest account of een account met een te makkelijk wachtwoord.

zondag 13 juli 2008 17:00

Acties:
  • Kabouterplop01
  • Registratie: Maart 2002
  • Laatst online: 08:00

Kabouterplop01

chown -R me base:all

OF je hebt een besmette PC in je netwerk hangen

zondag 13 juli 2008 23:59

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
De guest account is disables, alle accounts hebben een loginnaam die niet in het email adres staat en allemaal hebben ze een "moeilijk" alfanummeriek wachtwoord van minimaal 8 karakters.

PC's ga ik opnieuw scannen. De servers zijn volledig schoon.

maandag 14 juli 2008 00:08

Acties:

Verwijderd

Hi,

Waar heb je nu precies last van? Van NDR's omdat er met jouw domein gespamd wordt, of van spam? Als ik het bericht wat je plakt zo eens bekijk lijkt mij dat het laatste het geval is (waar is trouwens de To: gebleven? :)), en lijkt mij dat je dit het beste kunt tegengaan door je antispam-maatregelen eens wat te finetunen.

Als het dat eerste is kom je met recipient filtering een stukje verder, maar valide gebruikers zullen alsnog een NDR krijgen als hun adres gebruikt wordt in een spamrun.

maandag 14 juli 2008 00:54

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
Ik heb zelf eens een mailtje gestuurd naar een niet bestaande gebruiker en dit krijg ik terug.


Van: <MAILER-DAEMON@smtp.mijnprovider.nl (Mail Delivery System)> Toevoegen aan adresboek
Onderwerp: Undelivered Mail Returned to Sender
Datum: Sun, 13 Jul 2008 13:30:54 +0200 (CEST) Headers
Naar: <patrick@mijndomeinnaam.nl>
Bijlagen: 2 Printvriendelijke Versie


This is the mail system at host smtp.mijnprovider.nl.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<sadhlfkjahsidue@domijnnaam.nl>: host mail.domeinnaam.nl[123.123.123.123] said: 550
5.1.1 User unknown (in reply to RCPT TO command)


De mail die nu terugkomt is een bouncer van mijn provider toch?

maandag 14 juli 2008 00:59

Acties:
  • pinockio
  • Registratie: Juli 2001
  • Laatst online: 29-01 15:40

pinockio

Scan je PC's eens online met F-secure. Deze vond bij een klant van mij een rootkit in een dergelijk geval.

[ Voor 12% gewijzigd door pinockio op 14-07-2008 00:59 ]

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

maandag 14 juli 2008 07:43

Acties:
  • Equator
  • Registratie: April 2001
  • Laatst online: 07:08

Equator

Crew Council

#whisky #barista

jantje.vlaam schreef op maandag 14 juli 2008 @ 00:54:
Ik heb zelf eens een mailtje gestuurd naar een niet bestaande gebruiker en dit krijg ik terug.


Van: <MAILER-DAEMON@smtp.mijnprovider.nl (Mail Delivery System)> Toevoegen aan adresboek
Onderwerp: Undelivered Mail Returned to Sender
Datum: Sun, 13 Jul 2008 13:30:54 +0200 (CEST) Headers
Naar: <patrick@mijndomeinnaam.nl>
Bijlagen: 2 Printvriendelijke Versie


This is the mail system at host smtp.mijnprovider.nl.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to postmaster.

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

The mail system

<sadhlfkjahsidue@domijnnaam.nl>: host mail.domeinnaam.nl[123.123.123.123] said: 550
5.1.1 User unknown (in reply to RCPT TO command)


De mail die nu terugkomt is een bouncer van mijn provider toch?
Nee, dat is de mail van je eigen server. Die geeft de melding terug dat de gebruiker niet bekend is.
Maar nog maals: Heb je last van inkomende spam, of krijg je NDR (Non Delivery Reports) terug op bestaande adressen of wordt er via je server spam verstuurd.
Indien het eerste: Live with it..
Indien het tweede: Vervelend, maar daar doe je weinig tegen. Tenzij er paketten zijn die NDR's kunnen filteren op het feit dat ze niet bij die server vandaan komen..
Indien jet derde: Check je PC's en je logs. Dan kan je er achter komen van welk IP de mails verzonden zijn.

Verder heeft dit weinig met PNS te maken. Move naar Windows Servers en Server-software :)

maandag 14 juli 2008 11:33

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
Inkomende spam wordt afgevangen door GFI mailessentials en dat werkt prima.

Het probleem is alleen dat er spam verzonden wordt. Die komen allemaal vanaf de postmaster@domeinnaam.nl

Ik heb nu een externe specialist ingehuurd voor a.s. woensdag om er naar te kijken.

maandag 14 juli 2008 11:36

Acties:
  • lier
  • Registratie: Januari 2004
  • Nu online

lier

MikroTik nerd

jantje.vlaam schreef op maandag 14 juli 2008 @ 11:33:
Inkomende spam wordt afgevangen door GFI mailessentials en dat werkt prima.

Het probleem is alleen dat er spam verzonden wordt. Die komen allemaal vanaf de postmaster@domeinnaam.nl

Ik heb nu een externe specialist ingehuurd voor a.s. woensdag om er naar te kijken.
Scan de server eens met behulp van http://www.abuse.net/relay.html, dan weet je in ieder geval of je server aan de buitenkant open staat of niet.

Verder is het natuurlijk wel aardig om eens te posten wie mail mogen sturen... ;)

Eerst het probleem, dan de oplossing

maandag 14 juli 2008 12:00

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

www.spamexperts.com

nooit meer spam, nooit meer gezeik, en een stuk goedkoper als GFI

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

maandag 14 juli 2008 12:13

Acties:
  • lier
  • Registratie: Januari 2004
  • Nu online

lier

MikroTik nerd

pennenlikker schreef op maandag 14 juli 2008 @ 12:00:
www.spamexperts.com

nooit meer spam, nooit meer gezeik, en een stuk goedkoper als GFI
Het probleem dat hier ervaren wordt is dat de server relayed...dat kan prima opgelost worden binnen Exchange. Voor zover ik weet doet spamexperts niets met versturen van mail (alleen ontvangen).

Eerst het probleem, dan de oplossing

maandag 14 juli 2008 12:29

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

lier schreef op maandag 14 juli 2008 @ 12:13:
[...]

Het probleem dat hier ervaren wordt is dat de server relayed...dat kan prima opgelost worden binnen Exchange. Voor zover ik weet doet spamexperts niets met versturen van mail (alleen ontvangen).
Niet helemaal waar je kan met spamexperts afspreken dat je echt alles dicht kan zetten behalve mail van hun, kan zelfs over een aparte poort als je dit wilt kun je je firewall helemaal dichtzetten.
Dan kunnen ze helemaal niets meer via je server versturen, en ik zeg dit ook gewoon om hem een tip te geven.

Wij hebben zelf sophos en GFI gehad, en dit was vele malen duurder.

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

maandag 14 juli 2008 12:34

Acties:
  • lier
  • Registratie: Januari 2004
  • Nu online

lier

MikroTik nerd

pennenlikker schreef op maandag 14 juli 2008 @ 12:29:
Niet helemaal waar je kan met spamexperts afspreken dat je echt alles dicht kan zetten behalve mail van hun, kan zelfs over een aparte poort als je dit wilt kun je je firewall helemaal dichtzetten.
Dan kunnen ze helemaal niets meer via je server versturen, en ik zeg dit ook gewoon om hem een tip te geven.

Wij hebben zelf sophos en GFI gehad, en dit was vele malen duurder.
En waar zet je dan alles dicht...tja, toch echt op je Exchange doos...en daar moest hij toch al zijn.

Verder moet de TS nog aan geven of het gevaar van buiten of van binnen komt en tegen het laatste kan spamexperts ook niet zo veel beginnen...

Verder weten "we" inmiddels wel dat je erg enthousiast bent over deze partij, dus... ;)

Eerst het probleem, dan de oplossing

maandag 14 juli 2008 16:08

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

lier schreef op maandag 14 juli 2008 @ 12:34:
[...]

En waar zet je dan alles dicht...tja, toch echt op je Exchange doos...en daar moest hij toch al zijn.

Verder moet de TS nog aan geven of het gevaar van buiten of van binnen komt en tegen het laatste kan spamexperts ook niet zo veel beginnen...

Verder weten "we" inmiddels wel dat je erg enthousiast bent over deze partij, dus... ;)
Jup ben erg enthousiast over hun ja.. je kan zelfs je uitgaande mail laten filteren en checken door ze :o

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

maandag 14 juli 2008 17:31

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
Ik heb via www.mxtoolbox.com een test gedaan tegen relaying en dit staat gewoon dicht.

Maar met een gespoofd afzenderadres is onze mailserver dus nog steeds te gebruiken voor NDR spam?

maandag 14 juli 2008 20:01

Acties:
  • lier
  • Registratie: Januari 2004
  • Nu online

lier

MikroTik nerd

jantje.vlaam schreef op maandag 14 juli 2008 @ 17:31:
Maar met een gespoofd afzenderadres is onze mailserver dus nog steeds te gebruiken voor NDR spam?
Daar is gewoon heel weinig tegen te doen. Je kan in ieder geval een SPF record aanmaken (waarin oa vermeld staat welke servers uit jullie naam mogen sturen), maar als de ontvangende partij daar niet op controleert houdt het op.

Of gewoon wachten tot het SMTP protocol wat verbeterd wordt... :9

Eerst het probleem, dan de oplossing

maandag 14 juli 2008 21:36

Acties:

Verwijderd

jantje.vlaam schreef op maandag 14 juli 2008 @ 17:31:
Maar met een gespoofd afzenderadres is onze mailserver dus nog steeds te gebruiken voor NDR spam?
Echte spam kun je dat niet noemen, het zijn immers perfect legitieme statusnotificaties. En even voor de goede orde: Daar wordt jouw mailserver niet voor gebruikt, jij plukt alleen de (zure) vruchten van het feit dat er met een domein word gespamd waar jouw mailserver post voor afhandelt. Spammers zal het een zorg zijn of er een paar foute of inactieve e-mailadressen tussen zitten, en eventuele NDR's die daarop terugkomen worden op jouw e-mailserver afgeleverd. Zoals lier al aangeeft is SPF is nuttig, maar de ontvanger moet er wel wat mee doen...

Als je die NDR's krijgt op adressen die helemaal niet in gebruik zijn kom je met die recipient filtering een eind. Als de NDR's binnenkomen op een adres wat wel in gebruik is heb je ook nog best wat mogelijkheden. Als het "aanbod" ;) marginaal is kun je er voor kiezen om dit te negeren en te wachten tot het ophoudt. Als het volume ergerlijk is kun je met een regel NDR's blokkeren, waarbij natuurlijk rekening gehouden moet worden met het feit dat ook "echte" NDR's gestopt zullen worden. Een goed compromis is in zo'n geval om deze NDR's in een apart mapje te plempen, dan vervuilen ze niet meteen je inbox, maar heb je wel een backlog mocht het nodig zijn.

dinsdag 15 juli 2008 09:25

Acties:
  • tc982
  • Registratie: Oktober 2003
  • Laatst online: 11:48

tc982

Om te beginnen installeer je de laatste versie van GFI , deze doet nu ook aan NDR spamming :

http://kbase.gfi.com/showarticle.asp?id=KBID003322

dan ga je naar je Exchange System Manager --> Servers --> SERVERNAME --> Protocols --> SMTP --> properties van je Default SMTP --> Tabblad Access --> Button Relay --> Vink nu de volgende optie af : "Allow all computers which successfully authenticate to relay, regardless of the list above".

Hiermee zorg je ervoor dat de gebruikersnaam jan met het paswoord jan niet meer kan gebruikt worden om te relayen! Dit heeft bij mij altijd gewerkt

Ps: Zet in Exchange NDR maar af, en configureer dit in GFI om te verzenden om bepaalde modules. Meestal doen wij het enkel op de Baeysian analasys, deze is de enigste met regelmatig false positives, de andere modules hebben meestal geen false positive, en hoeven dus ook geen NDR.

[ Voor 19% gewijzigd door tc982 op 15-07-2008 09:26 ]

Computers make very fast, very accurate mistakes.

dinsdag 15 juli 2008 11:13

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

tc982 schreef op dinsdag 15 juli 2008 @ 09:25:
Om te beginnen installeer je de laatste versie van GFI , deze doet nu ook aan NDR spamming :

http://kbase.gfi.com/showarticle.asp?id=KBID003322

dan ga je naar je Exchange System Manager --> Servers --> SERVERNAME --> Protocols --> SMTP --> properties van je Default SMTP --> Tabblad Access --> Button Relay --> Vink nu de volgende optie af : "Allow all computers which successfully authenticate to relay, regardless of the list above".

Hiermee zorg je ervoor dat de gebruikersnaam jan met het paswoord jan niet meer kan gebruikt worden om te relayen! Dit heeft bij mij altijd gewerkt

Ps: Zet in Exchange NDR maar af, en configureer dit in GFI om te verzenden om bepaalde modules. Meestal doen wij het enkel op de Baeysian analasys, deze is de enigste met regelmatig false positives, de andere modules hebben meestal geen false positive, en hoeven dus ook geen NDR.
Ik mag hopen dat hij dit allang gedaan heeft, wel een beetje basic (hij verteld dat hij hem goed dicht getimmerd heeft dus). Het hoeft niet per se maar het is een eenvoudige manier om relayers buiten de deur te houden.

En probeer de relayscan eens.

Afbeeldingslocatie: http://www.csscomputers.nl/images/relayt.JPG

Afbeeldingslocatie: http://www.csscomputers.nl/images/relay.JPG

[ Voor 5% gewijzigd door pennenlikker op 15-07-2008 11:27 ]

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

dinsdag 15 juli 2008 11:47

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
TC982 en pennelikker bedankt voor jullie opties.

Relaying is niet mogelijk. Alleen de server zelf mag mailen. De gebruikers werken allemaal via Exchange met Outlook 2007.

De laatste GFI zal ik er vanavond op zetten (IIS moet twee keer herstart worden).

dinsdag 15 juli 2008 12:16

Acties:
  • lier
  • Registratie: Januari 2004
  • Nu online

lier

MikroTik nerd

jantje.vlaam schreef op dinsdag 15 juli 2008 @ 11:47:
TC982 en pennelikker bedankt voor jullie opties.

Relaying is niet mogelijk. Alleen de server zelf mag mailen.
Dan ben ik toch wel heel erg benieuwd waarmee (en door wie en hoe) de queues gevuld waren...

[ Voor 3% gewijzigd door lier op 15-07-2008 12:16 ]

Eerst het probleem, dan de oplossing

dinsdag 15 juli 2008 12:28

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
lier schreef op dinsdag 15 juli 2008 @ 12:16:
[...]

Dan ben ik toch wel heel erg benieuwd waarmee (en door wie en hoe) de queues gevuld waren...
Ik ook, pc's en servers zijn virusvrij.

Kaspersky op de werktstations
McAffee op de server aangevuld met GFI mail security en mailessentials.

Zelfs Clamwin op de servers geinstalleerd voor een tweede opinie.

Maar ik heb net wat rapporten uit GFI gedraaid en het is al langer aan de gang.

Composite - Daily Usage Statistics Report
Date range : 16-6-2008 to 15-7-2008
Day (IN) Size (IN) No. of Emails (OUT) Size (OUT) No. of Emails

16-6-2008 14,23 MBytes 242 40,41 MBytes 142
17-6-2008 39,91 MBytes 244 27,95 MBytes 2114
18-6-2008 57,91 MBytes 304 31,84 MBytes 4364
19-6-2008 227,01 MBytes 254 66,32 MBytes 4231
20-6-2008 24,44 MBytes 230 70,97 MBytes 552
21-6-2008 539,11 KBytes 88 76,18 KBytes 7
22-6-2008 1,02 MBytes 110 23,09 MBytes 7586
23-6-2008 64,64 MBytes 242 32,53 MBytes 755
24-6-2008 55,26 MBytes 269 79,27 MBytes 168
25-6-2008 23,38 MBytes 233 50,06 MBytes 137
26-6-2008 47,41 MBytes 278 60,84 MBytes 4911
27-6-2008 17,77 MBytes 234 128,94 MBytes 19629
28-6-2008 459,74 KBytes 186 4,53 MBytes 834
29-6-2008 513,97 KBytes 160 2,42 MBytes 385
30-6-2008 18,94 MBytes 324 44,14 MBytes 7551
1-7-2008 63,31 MBytes 375 84,82 MBytes 8367
2-7-2008 73,77 MBytes 310 89,19 MBytes 395
3-7-2008 45,77 MBytes 322 51,41 MBytes 10714
4-7-2008 44,88 MBytes 278 70,45 MBytes 9621
5-7-2008 778,56 KBytes 192 38,01 MBytes 18149
6-7-2008 589,05 KBytes 153 511,92 KBytes 15
7-7-2008 29,61 MBytes 287 123,68 MBytes 46302
8-7-2008 50,09 MBytes 262 65,06 MBytes 408
9-7-2008 44,93 MBytes 191 68,26 MBytes 91
10-7-2008 26,05 MBytes 182 20,53 MBytes 134
11-7-2008 35,00 MBytes 179 157,24 MBytes 199
12-7-2008 595,98 KBytes 42 25,46 MBytes 19
13-7-2008 198,69 KBytes 35 15,87 MBytes 7459
14-7-2008 13,48 MBytes 149 39,50 MBytes 113
15-7-2008 4,73 MBytes 53 2,29 MBytes 33

Total (IN) Size Total (IN) Emails Total (OUT) Size Total (OUT) Emails
1,00 GBytes 6408 1,48 GBytes 155385


Zoals je ziet ben ik al vanaf de 7e bezig. Toen heb ik vele updates gedraaid en dacht ik dat ik er was totdat ik de 13e zag dat er toch weer bijna 7500 mailtjes de deur uit gingen.

[ Voor 69% gewijzigd door TheSiemNL op 15-07-2008 12:32 ]

dinsdag 15 juli 2008 13:28

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

jantje.vlaam schreef op dinsdag 15 juli 2008 @ 12:28:
[...]


Ik ook, pc's en servers zijn virusvrij.

Kaspersky op de werktstations
McAffee op de server aangevuld met GFI mail security en mailessentials.

Zelfs Clamwin op de servers geinstalleerd voor een tweede opinie.

Maar ik heb net wat rapporten uit GFI gedraaid en het is al langer aan de gang.

Composite - Daily Usage Statistics Report
Date range : 16-6-2008 to 15-7-2008
Day (IN) Size (IN) No. of Emails (OUT) Size (OUT) No. of Emails

16-6-2008 14,23 MBytes 242 40,41 MBytes 142
17-6-2008 39,91 MBytes 244 27,95 MBytes 2114
18-6-2008 57,91 MBytes 304 31,84 MBytes 4364
19-6-2008 227,01 MBytes 254 66,32 MBytes 4231
20-6-2008 24,44 MBytes 230 70,97 MBytes 552
21-6-2008 539,11 KBytes 88 76,18 KBytes 7
22-6-2008 1,02 MBytes 110 23,09 MBytes 7586
23-6-2008 64,64 MBytes 242 32,53 MBytes 755
24-6-2008 55,26 MBytes 269 79,27 MBytes 168
25-6-2008 23,38 MBytes 233 50,06 MBytes 137
26-6-2008 47,41 MBytes 278 60,84 MBytes 4911
27-6-2008 17,77 MBytes 234 128,94 MBytes 19629
28-6-2008 459,74 KBytes 186 4,53 MBytes 834
29-6-2008 513,97 KBytes 160 2,42 MBytes 385
30-6-2008 18,94 MBytes 324 44,14 MBytes 7551
1-7-2008 63,31 MBytes 375 84,82 MBytes 8367
2-7-2008 73,77 MBytes 310 89,19 MBytes 395
3-7-2008 45,77 MBytes 322 51,41 MBytes 10714
4-7-2008 44,88 MBytes 278 70,45 MBytes 9621
5-7-2008 778,56 KBytes 192 38,01 MBytes 18149
6-7-2008 589,05 KBytes 153 511,92 KBytes 15
7-7-2008 29,61 MBytes 287 123,68 MBytes 46302
8-7-2008 50,09 MBytes 262 65,06 MBytes 408
9-7-2008 44,93 MBytes 191 68,26 MBytes 91
10-7-2008 26,05 MBytes 182 20,53 MBytes 134
11-7-2008 35,00 MBytes 179 157,24 MBytes 199
12-7-2008 595,98 KBytes 42 25,46 MBytes 19
13-7-2008 198,69 KBytes 35 15,87 MBytes 7459
14-7-2008 13,48 MBytes 149 39,50 MBytes 113
15-7-2008 4,73 MBytes 53 2,29 MBytes 33

Total (IN) Size Total (IN) Emails Total (OUT) Size Total (OUT) Emails
1,00 GBytes 6408 1,48 GBytes 155385


Zoals je ziet ben ik al vanaf de 7e bezig. Toen heb ik vele updates gedraaid en dacht ik dat ik er was totdat ik de 13e zag dat er toch weer bijna 7500 mailtjes de deur uit gingen.
anonymous access al uitgevinkt bij je smtp connector?

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

dinsdag 15 juli 2008 16:59

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
anonymous access staat nu uit.

[edit]

De update naar de laatste versie van GFI mailessentials gedraaid en gecontroleerd of de NDR spam optie in het register aan staat en dat staat hij.

[ Voor 72% gewijzigd door TheSiemNL op 15-07-2008 21:10 ]

dinsdag 15 juli 2008 22:33

Acties:
  • pennenlikker
  • Registratie: Oktober 2007
  • Laatst online: 20-01 15:13

pennenlikker

Je zou ook even hitman pro kunnen draaien op je server.
En gebeurt het s nachts of overdag, hieruit kun je misschien afleiden op de spam van binnen uit wordt gestuurd en van welke plek.. server of een workstation.

Tact is the ability to tell someone to go to hell in such a way that they look forward to the trip

dinsdag 15 juli 2008 23:35

Acties:
  • pinockio
  • Registratie: Juli 2001
  • Laatst online: 29-01 15:40

pinockio

jantje.vlaam schreef op dinsdag 15 juli 2008 @ 12:28:
[...]


Ik ook, pc's en servers zijn virusvrij.

Kaspersky op de werktstations
McAffee op de server aangevuld met GFI mail security en mailessentials.(...)
Kaspersky is geen garantie. Probeer eens - zoals ik al gezegd heb - alle workstations te scannen met de online scanner van F-Secure.

http://support.f-secure.com/enu/home/ols.shtml

Op die manier vond ik laatst een rootkit die verantwoordelijk was voor de spam, en die door Kaspersky niet gedetecteerd werd. Het had zelfs een network driver geïnstalleerd die de in Kaspersky meegeleverde firewall omzeilde. Dit is mogelijk!

Een goede mogelijkheid is ook het gebruik van een firewall met logging. Kijk eens of er onbestemde verbindingen zijn met de workstations van buiten uit.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

woensdag 23 juli 2008 17:42

Acties:
  • pinockio
  • Registratie: Juli 2001
  • Laatst online: 29-01 15:40

pinockio

jantje.vlaam schreef op dinsdag 15 juli 2008 @ 16:59:
anonymous access staat nu uit.

[edit]

De update naar de laatste versie van GFI mailessentials gedraaid en gecontroleerd of de NDR spam optie in het register aan staat en dat staat hij.
Heb je intussen nog spam zien versturen? Kijk eens in dit topic (let maar niet op de opmerkingen hier en daar die offtopic zijn): Hoe bepalen welke client mail heeft verstuurd via Exchange?

Ik heb namelijk hetzelfde moeten doen. De default instellingen waren m.i. niet veilig genoeg, en ik vermoed dat ik en jij te maken hebben gehad met een nieuwe manier om spam te versturen via een (standaard) ingestelde SBS 2003 server.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

vrijdag 25 juli 2008 23:13

Acties:
  • TheSiemNL
  • Registratie: Juni 2005
  • Laatst online: 18-01 17:22

TheSiemNL

Topicstarter
Update,

Er zijn nergens virussen gevonden. Het was inderdaad een nieuwe manier van NDR spam. Zowel MS als GFI hebben een update. Na de update geen problemen meer gehad.

vrijdag 1 augustus 2008 14:14

Acties:
  • pinockio
  • Registratie: Juli 2001
  • Laatst online: 29-01 15:40

pinockio

Welke update van MS bedoel je?

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq