delivery failed melding van spam - Privacy en beveiliging

maandag 1 december 2014 10:37

Acties:

Prutser 1e klasse

Topicstarter

Ik krijg opeens op onze algemene infobox een serie e-mails waarvan de delivery gefailed. Als ik kijk, gaat het om spam. De header ziet er zo uit:

Return-path: <info@bedrijf.nl>
Received: from [77.231.100.247] (helo=din-247-100-231-77.ipcom.comunitel.net)
by smtp.koddos.com with smtp (Exim 4.72)
(envelope-from <info@bedrijf.nl>)
id 1XvMii-0006I4-0Q
for shivam_mehra123@rediffmail.com; Mon, 01 Dec 2014 11:52:36 +0300
Message-ID: <04FEFC0D33E7C95A8683CA766226FCE8@din-247-100-231-77.ipcom.comunitel.net>
From: "Alexandry" <info@bedrijf.nl>
To: "shivam_mehra123" <shivam_mehra123@rediffmail.com>
Subject: Like love and romance wanted
Date: Mon, 1 Dec 2014 09:53:23 +0100
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="windows-1251";
reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331

Ik zit nu even te denken wat de kans is dat ik spam aan het versturen ben? Het from adres is natuurlijk makkelijk te spoofen, maar is dat wat hier aan de hand is?

[ Voor 3% gewijzigd door Standeman op 01-12-2014 15:38 ]

The ships hung in the sky in much the same way that bricks don’t.

maandag 1 december 2014 15:30

Acties:

Brahiewahiewa

boelkloedig

Iemand heeft inderdaad één van jouw mail-adressen gebruikt als afzender-adres.
Dit stuurt-ie naar een server waarvan hij weet dat die'm zal bouncen, zodat de non-delivery bij jouw terecht komt. Zo hoopt-ie dat jij geïnteresseerd zult raken in zijn "love and romance".

Ik zou't negeren

QnJhaGlld2FoaWV3YQ==

maandag 1 december 2014 15:46

Acties:

Standeman

Prutser 1e klasse

Topicstarter

Ah.. Ik was even bang dat mijn servertje aan het spammen was.. maar

Received: from [77.231.100.247] (helo=din-247-100-231-77.ipcom.comunitel.net)

vertelt dus inderdaad iets anders.

The ships hung in the sky in much the same way that bricks don’t.

maandag 1 december 2014 16:05

Acties:

The Realone

Ik weet niet of je een SPF record aangemaakt hebt voor het specifieke domein, anders zou ik dat in ieder geval doen. Dan geef je ontvangers in ieder geval de mogelijkheid beter te filteren.

woensdag 3 december 2014 10:59

Acties:

Verwijderd

Hi Standeman,

I found your thread here because I was looking for the owner of that IP, you’ve posted. I have the same problem since a few days. The same sender (Alex G.), the same content - with my e-mail address (from Germany). My account is not affected, the spam is sent from another server. And I found, that the IP has already been reported several times. But I could find a second header in one of that e-mails.

1 Dec 2014 19:52:28 +0800
Received: from localhost by spooler (Mercury / 32 v4.62); 1 Dec 2014 12:34:34 +0800
Received: from LRouen-152-83-11-241.w80-13.abo.wanadoo.fr (80.13.74.241) by localhost (Mercury / 32 v4.62) ID MG0F4D24;
1 Dec 2014 09:58:01 +0800
Message-ID: <B14B25B478AC8211CDC8813D29C2EB81@LRouen-152-83-11-241.w80-13.abo.wanadoo.fr>
[...]

Also, I have checked the link contained in the e-mail. It refers to an italien host, but I'm not sure, whether this is true or part of the game. But I wonder if there isn't any way to report such a page and to stop it? Maybe someone here knows?

Kind Regards

Sab

woensdag 3 december 2014 18:19

Acties:

begintmeta

Moderator General Chat

Ik heb zelf nooit last van backscatter gehad, volgens mij os dat vooral iets wat aan de sendkant (de server die bouced dus) even goed moet worden afgesteld, maar goed, het is hun probleem als ze op een probleemlijst verschijnen.

[ Voor 6% gewijzigd door begintmeta op 03-12-2014 18:19 ]

woensdag 3 december 2014 18:33

Acties:

SinergyX

____(>^^(>0o)>____

Brahiewahiewa schreef op maandag 01 december 2014 @ 15:30:
Iemand heeft inderdaad één van jouw mail-adressen gebruikt als afzender-adres.
Dit stuurt-ie naar een server waarvan hij weet dat die'm zal bouncen, zodat de non-delivery bij jouw terecht komt. Zo hoopt-ie dat jij geïnteresseerd zult raken in zijn "love and romance".

Ik zou't negeren

Ik vind het nog steeds een big fail van de ontvangende servers dat zij blind een reply adres gebruiken voor de bounch. Wij hebben het nu 2x gehad, 1x was iemand zijn outlook compleet onbruikbaar voor een aardige tijd (top van 15000 bounces in een uur), uiteindelijk haar account maar dag of wat stop gezet en het hield vanzelf weer op.

Die 'reverse spam' mailtjes (dat je doet denken dat er een fail delivery is) zijn gewoon variant op de originele versies, maar die hoort beetje server alsnog als spam te herkennen.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

donderdag 4 december 2014 03:56

Acties:

Brahiewahiewa

boelkloedig

SinergyX schreef op woensdag 03 december 2014 @ 18:33:
Ik vind het nog steeds een big fail van de ontvangende servers dat zij blind een reply adres gebruiken voor de bounch...

Is een kwestie van een open-relay vinden die SPF niet kent, en daar zijn er nogal wat van.
En dan komt-ie in negen van de tien gevallen uit bij de volgende server die SPF wèl respecteert en 'm dus weigert. En ja, dan weet de oorspronkelijke server niets beters te verzinnen dan terugsturen naar wie er als afzender vermeld staat, want "SPF check failed" komt niet in z'n drop-list voor

QnJhaGlld2FoaWV3YQ==