Spam: leeg bericht van mailnull? - Privacy en beveiliging

donderdag 16 oktober 2008 12:11

Acties:

Topicstarter

Twee PC's in ons netwerk kregen (schijnbaar van elkaar) een lege mail. De ene was (namen gefingeerd):

Received: from mailnull by mx.bedrijf.nl with local (Exim 4.67 (FreeBSD))
id 1KqOdv-000GYF-A0; Thu, 16 Oct 2008 10:55:42 +0200
From: i.vandegraaf@bedrijf.nl
Reply-To: i.vandegraafd@bedrijf.nl
To: m.snel@bedrijf.nl
Subject:
In-Reply-To: <005001c92f6c$9f587e00$6e63a8c0@pc10>
References: <8DC9C71D1A0B4A1B91C9E7CED3095DEB@PC101> <005001c92f6c$9f587e00$6e63a8c0@pc10>
Auto-Submitted: auto-replied
Message-Id: <E1KqOdv-000GYF-A0@mx.bedrijf.nl>
Date: Thu, 16 Oct 2008 10:55:39 +0200

Wat zou dit kunnen zijn? Beiden zeggen geen mail naar elkaar verstuurd te hebben.

Daarnaast schijnen ook klanten nu mails van één van de gebruikers te krijgen. Lijkt me iets als sender spoofing maar is er iemand die dit herkent? Dat het mailtje verder leeg is betekent dat het als spam niet erg effectief is...

Ik heb eens gezocht op mailnull en dat is een soort anonieme e-mailservice, maar ik denk niet dat dit het geval is.

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

donderdag 16 oktober 2008 12:19

Acties:

xtra

Exim ken ik niet maar IIS SMTP-server zet in de headers standaard het ip-adres:

code:

1
2
3

Received: from mxsender.domein.nl ([1.2.3.4] RDNS failed) by
    mxontvanger.domein.nl with Microsoft SMTPSVC(6.0.3790.3959);
    Tue, 14 Oct 2008 13:37:00 +0200

In dit geval doet hij ook nog een DNS-lookup om te kijken of domeinnaam en ip-adres bij elkaar passen. Als je je mailserver zelf beheert kun je dat wellicht instellen. (Of in je logfiles kijken of daar een ip-adres bij staat.)

donderdag 16 oktober 2008 19:03

Acties:

pinockio

Topicstarter

Ja, het gekke is dat dit echt de volledige headers zijn. Normaal gesproken staat er een ip-adres van de originele afzender in, zelfs al is dat een private ip-adres. Wat denk je, heeft de afzender iets gevonden om het IP-adres te verdoezelen of zo?

Helaas beheer ik de mailserver niet zelf. (De e-mail wordt nog ouderwets met pop3 opgehaald, evt. met imap, bij de provider die ook de website host.)

Disclaimer: P. aanvaardt geen aansprakelijkheid op grond van dit bericht.

donderdag 16 oktober 2008 20:12

Acties:

xtra

pinockio schreef op donderdag 16 oktober 2008 @ 19:03:
Ja, het gekke is dat dit echt de volledige headers zijn. Normaal gesproken staat er een ip-adres van de originele afzender in, zelfs al is dat een private ip-adres. Wat denk je, heeft de afzender iets gevonden om het IP-adres te verdoezelen of zo?

Helaas beheer ik de mailserver niet zelf. (De e-mail wordt nog ouderwets met pop3 opgehaald, evt. met imap, bij de provider die ook de website host.)

Nu ga ik helemaal buiten mijn kennis kletsen maar kan het op een andere manier zijn binnengekomen? Een applicatie die zonder tcp/ip de mail aflevert? 'mailnull' lijkt me daar wel een leuke naam voor.

Om weer even in de Windows-hoek te blijven als voorbeeld: Als je een mailtje (rfc tekstdocument) in de 'pickup' directory zet wordt hij ook verstuurd en zie je geen ip-adres in de headers.

Betekent wel dat er nog iets op die mailserver moet draaien en dat kan alleen je provider je vertellen.

/edit
Ik zie nu ook nog de volgende header in je bericht staan: "Auto-Submitted: auto-replied"

Kan het een oude/verkeerd geconfigureerde out of office reply zijn?

[ Voor 7% gewijzigd door xtra op 16-10-2008 20:20 ]