Email account gehackt

zondag 10 april 2016 12:19

Intentionally Left Blank

Benader je je mail toevallig ook vanop een smartphone en draait daar misschien iets op wat jouw mail account misbruikt?

Boldly going forward, 'cause we can't find reverse

Acties:

Barrycade

Through the...

Welke telefoon app gebruik je voor je mail? De roundcube app? Is die wel te vertrouwen?

En /of heb je je wachtwoord voor het controlpanel wel gewijzigd?

zondag 10 april 2016 12:36

Acties:

Bor

Coördinator Frontpage Admins / FP Powermod

01000010 01101111 01110010

Benader je de webmail via http of https? Gebruik je het wachtwoord wellicht op andere sites?
Surf je via gratis hotspots wellicht?

Over Bor | Vraag & Aanbod feedback | Frontpagemoderatie Forum

zondag 10 april 2016 13:33

Acties:

zondag 10 april 2016 13:36

Topicstarter

Barrycade schreef op zondag 10 april 2016 @ 12:19:
Welke telefoon app gebruik je voor je mail? De roundcube app? Is die wel te vertrouwen?

En /of heb je je wachtwoord voor het controlpanel wel gewijzigd?

Ja, ik heb het wachtwoord voor het control panel al diverse malen sindsdien gewijzigd.

wimmel_1 schreef op zondag 10 april 2016 @ 12:13:
Benader je je mail toevallig ook vanop een smartphone en draait daar misschien iets op wat jouw mail account misbruikt?

Ik heb android 5.0.2.
Ik gebruik daar de standaard email app (versie 5.0.0.0200).

Ik heb altijd gedacht dat er op telefoons geen virussen / hacks bestaan maar zo te horen kan dat ook goed mogelijk zijn.
Welke scanner(s) kan ik hier het beste voor gebruiken om dit na te gaan?

Bor schreef op zondag 10 april 2016 @ 12:36:
Benader je de webmail via http of https? Gebruik je het wachtwoord wellicht op andere sites?
Surf je via gratis hotspots wellicht?

Webmail gaat (standaard) via http.
Ik zou de host kunnen vragen om dit te veranderen maar ik weet niet of ze dat voor 1 klant doen.
Als ik https ervoor zet zegt hij:
"De eigenaar van *** (even weggelaten ivm privacy) heeft zijn of haar website niet juist geconfigureerd. Om uw gegevens tegen diefstal te beschermen, heeft Firefox geen verbinding met deze website gemaakt."

Dit wachtwoord gebruik ik alleen voor de mail en verder nergens.
Ik gebruik overigens geen (gratis) hotspots.

[ Voor 4% gewijzigd door knorde op 10-04-2016 13:36 ]

Even gezellig kletsen? Check Alltalk.nl

Acties:

Jazzy

Moderator SSC/PB

Moooooh!

knorde schreef op zondag 10 april 2016 @ 12:10:
Bij navragen bij mijn host blijkt dat mijn wachtwoord voor mijn emailaccount gehackt is.

Wat bedoel je hier precies mee?

Exchange en Office 365 specialist. Mijn blog.

zondag 10 april 2016 13:38

Acties:

zondag 10 april 2016 13:46

Topicstarter

Jazzy schreef op zondag 10 april 2016 @ 13:36:
[...]

Wat bedoel je hier precies mee?

Ze zien dat het "aan de client kant" misbruikt wordt dmv dovecot auth.
Dat zou dus betekenen als ik niet moedwillig spam dat het gehackt zou zijn.

Even gezellig kletsen? Check Alltalk.nl

Acties:

contrast

Tip: start eerst met het archiveren/back-uppen van je e-mail. Ik zou persoonlijk nooit e-mail van zover terug op een webserver laten staan (hoe vaak moet je e-mail uit 2005 direct benaderen?).

Kijk vervolgens goed naar de machines waarmee je je mail benaderd. Zijn deze virus en/of malware vrij? Dus je mobiele telefoon, pc, etc. Daarnaast is het ook goed om naar je browser te kijken. Is deze up to date? gebruik je rare add-ons etc.

Bestaat er ook een mogelijkheid om twee-staps authenticatie aan te zetten? Maak hier dan gebruik van.

Het allerbelangrijkst op dit moment, maak een back-up van je e-mail!

edit 1: Laat door je hoster je FTP scannen. Schiet me nu te binnen dat ik in het verleden gezien heb dat er malafide code werd gedraaid door een lek. Wijzig dus ook je FTP wachtwoord!

[ Voor 13% gewijzigd door contrast op 10-04-2016 13:48 ]

zondag 10 april 2016 17:55

Acties:

zondag 10 april 2016 22:42

Topicstarter

Ik weet dat email uit 2005 bijna nooit meer gelezen wordt maar ik vind het handig om altijd alle mail bij de hand te hebben.
Als voorbeeld, soms heb je dingen gekocht via internet en dan is het handig dat je dat allemaal zo terug kan vinden.
En zo zijn er nog meer redenen waarom ik alle mail bij elkaar wil houden.

Verder wordt de (web)mail alleen via 1 pc bekeken en 1 telefoon.
Wat betreft twee-staps authenticatie had ik nog nooit van gehoord, ik ga dat even uitzoeken.
Een backup (meerdere) zijn overigens aanwezig, dus dat is geen probleem.

Overigens heeft mijn hoster mij verzekerd dat het niet aan de webinhoud ligt, hun kunnen zien dat het een dovecot auth is dus het zou dus niet aan een lek op een site kunnen liggen.
Omdat ik toch op zeker wou spelen heb ik ongeveer 2 weken lang al mijn sites eraf gehad en letterlijk de complete ftp helemaal leeg gehad (geen enkel bestand).

Ook toen gebeurde het weer (opnieuw) terwijl ook tegelijkertijd een wachtwoord change had plaatsgevonden.
Uiteraard zijn ook alle wachtwoorden wat betreft ftp / database / controlpanel etc. diverse malen gewijzigd.

Ik weet ook niet of er een extra controle is in te bouwen zodat alleen vanaf mijn thuis ip mail verstuurd mag worden.

[ Voor 5% gewijzigd door knorde op 10-04-2016 17:57 ]

Even gezellig kletsen? Check Alltalk.nl

Acties:

Barrycade

Through the...

Uh heeft dat Roundcube geen master password functie en heb je die wellicht wel of niet aan staan?
Waardoor je je password zoveel kan wijzigen als je wil, maar als de hackers het master password hebben sta je met lege handen.

Want daarop zoekende kom ik veel Russische websites tegen dat geeft al aan dat geen heldere soep is.Ook bij Dovecut vindt ik het zelfde principe.

Dus zou het daar eens in zoeken.

zondag 10 april 2016 22:45

Acties:

Frozen

2e Reviewer van het Jaar

Misschien wat malafide browser plugins?

Voeg me gewoon toe op LinkedIn, iedereen is welkom!

zondag 24 april 2016 20:21

Acties:

zondag 24 april 2016 20:37

Topicstarter

Helaas speelt dit probleem nog steeds.
Ik heb veel getest afgelopen tijd.
Volgens mij heeft roundcube geen master password (niks kunnen vinden via google).

Ik heb mijn telefoon geherinstalleerd en geen extra apps gedownload.
Ik gebruik gewoon de stock emailclient.
Roundcube is up to date, staat de nieuwste versie op.

Het wachtwoord heb ik 1,5 week geleden weer veranderd in wat moeilijks.
Echter vanmorgen was het weer raak (na een tijd geen last te hebben gehad).
Ik ben echt ten einde raad

Weet iemand of er een check is in te bouwen dat alleen mail verstuurd mag worden vanaf mijn thuis ip?
Of nog andere tips hoe je erachter kan komen waar het mis gaat en hoe ze achter de gegevens komen.
Het lijkt wel of er via een script ofzo constant geprobeerd wordt het wachtwoord te raden ofzo.
Het heeft nu ook best een tijd geduurd weer.

Mijn vrouw heeft nergens last van en die gebruikt dezelfde domeinnaam als mij en dus ook dezelfde mailserver.
Het is dus echt puur gericht op mijn emailadres (maar ik wil hem gezien de tijd dat ik hem al heb niet veranderen).

[ Voor 11% gewijzigd door knorde op 24-04-2016 20:23 ]

Even gezellig kletsen? Check Alltalk.nl

Acties:

Jovaro

Begrijp ik het goed dat je sinds 3 maanden ongeveer heel veel spam binnen krijgt op je email, en dat dat je probleem is?

Waarom denk je dat je gehackt bent? Lijkt de spam van je eigen adres te komen of is er een andere reden?

Iedere keer dat je telefoon kijkt of er email is komt er een 'dovecot auth' in de logs, dus dat zegt niet zoveel.

zondag 24 april 2016 22:35

Acties:

BCC

Is je from adres niet gewoon gebruikt in een spam run en krijg jij de bounces?

Na betaling van een licentievergoeding van €1.000 verkrijgen bedrijven het recht om deze post te gebruiken voor het trainen van artificiële intelligentiesystemen.

zondag 24 april 2016 22:37

Acties:

zondag 24 april 2016 23:53

Topicstarter

@Jovaro:
Nee, het probleem is juist dat ik veel spam (ongewenst) verstuur.
Daardoor krijg ik veel returned mails.

Volgens mijn (hosting)provider gebeurt dat echt via een dovecot-auth.

@BCC:
Hoe kan ik dat nagaan, en beter nog, hoe kun je zoiets voorkomen?
Volgens mij gebeurt het echt via mijn account want mijn (hosting)provider ziet dat de spam via de smtp van mijn domein gaat (en heeft mij dus ook al een keer, terecht uiteraard, geblokkeerd).

[ Voor 7% gewijzigd door knorde op 24-04-2016 22:37 ]

Even gezellig kletsen? Check Alltalk.nl

Acties:

maandag 25 april 2016 13:42

knorde schreef op zondag 10 april 2016 @ 13:33:
Webmail gaat (standaard) via http.
Ik zou de host kunnen vragen om dit te veranderen maar ik weet niet of ze dat voor 1 klant doen.
Als ik https ervoor zet zegt hij:
"De eigenaar van *** (even weggelaten ivm privacy) heeft zijn of haar website niet juist geconfigureerd. Om uw gegevens tegen diefstal te beschermen, heeft Firefox geen verbinding met deze website gemaakt."

Dit vind ik persoonlijk wel erg.
Ik host al mijn klanten via https en heb cPanel zo ingesteld dat elke verbinding over http direct wordt doorgestuurd naar https.
Zo moeilijk is dat niet en een SSL certificaat kost maar 0 tot € 5 voor zoiets simpels.

Daarnaast kan je in cPanel instellen dat een domein zijn eigen SSL certificaat heeft voor web en mail.

Zonder https heb je nu ook meer last van MITM attacks, met name door routers waar de DNS van is aangepast.
nieuws: 'Miljoenen routers kwetsbaar voor aanval via dns-rebinding'
nieuws: Criminelen wijzigen dns-servers op routers om geld te roven
nieuws: Miljoenen routers kwetsbaar voor aanval met gemanipuleerde cookies
nieuws: Linksys-routers zijn kwetsbaar door meerdere cgi-scripts
Security.nl: JavaScript wijzigt dns-instellingen ZTE-routers
etc. etc. etc.
Ik zou als ik jou was even de DNS instellingen controleren.

knorde schreef op zondag 10 april 2016 @ 17:55:
Overigens heeft mijn hoster mij verzekerd dat het niet aan de webinhoud ligt, hun kunnen zien dat het een dovecot auth is dus het zou dus niet aan een lek op een site kunnen liggen.

Dan kunnen zij ook zien met welke IP adressen er wordt ingelogged op de MTA (standaard is dat Exim), want Dovecot is helemaal geen e-mail verzender (SMTP), maar een e-mail ontvanger (IMAP/POP3)

[ Voor 13% gewijzigd door DJMaze op 25-04-2016 00:15 ]

Maak je niet druk, dat doet de compressor maar

Acties:

Topicstarter

Ik heb inmiddels een SSL certificaat genomen en geïnstalleerd.
Hopelijk helpt het.

Of het nou helpt of niet, het is altijd beter zo.
Fingers crossed

Even gezellig kletsen? Check Alltalk.nl

maandag 2 mei 2016 08:50

Acties:

Topicstarter

Helaas vanmorgen weer enorm veel spam mails.
Ik heb een tip van een tweaker (via pb) doorgegeven aan mijn provider.

Dit is de tip:
"Ik heb dus precies hetzelfde gehad, het bericht dat verzonden wordt komt overheen.

Dit is de originele header van een bericht wat verzonden wordt naar mensen, deze heb ik uit je header kunnen halen die je gestuurd heb.
(link verwijdert ivm veiligheid)

Conclusie, er wordt niet door jouw mail verzonden, maar je email adres wordt misbruikt als afzender.

Hier is helaas weinig aan te doen, wat je wel kan doen is om aan je provider te vragen of hun het SPF record kunnen aanpassen op je domein. Deze staat momenteel op neutraal ingesteld, je kan vragen of ze hem kunnen bijstellen naar fail.

"v=spf1 a mx include:spf.hiestondiets.nl ip4:1.2.3.4 ?all"

Naar

"v=spf1 a mx include:spf.hiestondiets.nl ip4:1.2.3.4 -all"

Dus ipv ?all , -all gebruiken.

http://www.openspf.org/SPF_Record_Syntax
"

Nu is het zo dat ook bekende van mij de mailtjes van mij ontvangen.
Zou het in dit geval kunnen betekenen dat er toch mailtjes vanuit mijn kant verzonden worden of bewijst die mail header dat dat niet zo is?

Volgens mijn provider worden die mailtjes echt verzonden via een dovecot-auth.

EDIT

Kreeg dit zojuist als antwoord van mijn provider:

Een SPF record is een uniek record dat bij je domein wordt aangemaakt om in principe alleen via die wegen die staan aangegeven in het SPF record te kunnen mailen. Andere IP's/Mailservers mogen er dan niet door. In principe zou het verschil tussen ?all en ~all niet uit moeten maken maar ik heb het alsnog voor je aangepast. Met een uur zou het actief moeten zijn.

EDIT2

Mijn provider geeft aan dat de mailtjes niet door mij verzonden zijn.
De eerste informatie klopt dus niet.

"In dit geval is het dus een ander issue. Ik vermoed dat het dezelfde bot is maar dat deze je email adres nu spoofed ipv gehackt heeft.
De mails on 6:30 zijn ook niet vanaf jouw email adres gestuurd, deze zie ik namelijk niet terug in de logs.
Hier is helaas niks aan te doen is helaas een mogelijkheid binnen de mailserver wereld."

Nu blijft eigenlijk nog de volgende vraag over:
Op welke manier is het dan toch mogelijk dat er mail verstuurd wordt?
En belangrijker nog, hoe voorkom je dat?

Of kan dat door de wijziging die inmiddels doorgevoerd is (getest via een SPF checker) voorkomen worden?

Kan iemand mij in jip en janneke taal uitleggen wat nou het verschil is tussen ?all en ~all ?

[ Voor 33% gewijzigd door knorde op 02-05-2016 10:09 ]

Even gezellig kletsen? Check Alltalk.nl

maandag 2 mei 2016 11:01

Acties:

~all
Als een e-mail wordt verzonden door een IP dat niet in het SPF-record staat, dan wordt het ontvangende server doorgelaten, maar kan het wel gemarkeerd worden.

-all
Als een e-mail wordt verzonden door een IP dat niet in het SPF-record staat, dan wordt het door de ontvangende server geweigerd.

quote: http://tools.ietf.org/html/rfc7208#section-4.6.2
"+" pass
"-" fail
"~" softfail
"?" neutral

quote: http://tools.ietf.org/html/rfc7208#section-2.6
2.6.2. Neutral

A "neutral" result means the ADMD has explicitly stated that it is
not asserting whether the IP address is authorized.

2.6.3. Pass

A "pass" result is an explicit statement that the client is
authorized to inject mail with the given identity.

2.6.4. Fail

A "fail" result is an explicit statement that the client is not
authorized to use the domain in the given identity.

2.6.5. Softfail

A "softfail" result is a weak statement by the publishing ADMD that
the host is probably not authorized. It has not published a
stronger, more definitive policy that results in a "fail".

Een beter mechanisme dan SPF is DKIM. Met DKIM hangt er een sleutel aan elke e-mail zodat deze met de publieke sleutel geverifieerd kan worden.

De ontvangende e-mail server moet natuurlijk wel SPF/DKIM ondersteunen en op de juiste manier afhandelen.

Lees ook eens http://blog.endpoint.com/...rc-brief-explanation.html

Maak je niet druk, dat doet de compressor maar

maandag 9 mei 2016 14:44

Acties:

Hammetje

Heb jij een website draaien op dat domein? Al gecheckt of er niet wat bestandjes zijn bijgekomen?

"Het is pas haute cuisine als het de frituurpan heeft gezien" - @VanRoyal (2021)

maandag 9 mei 2016 14:58

Acties:

dinsdag 10 mei 2016 09:34

Topicstarter

Ik heb een tijd alle websites, nouja die van mij dan

. eraf gehaald om te testen of daarmee wat aan de hand was. In die tussentijd gebeurde het ook.

Maar het is nu al een tijdje stil (zegt nog niks, gauw afkloppen) sinds het wijzigen van het SPF record in -all.
Ik hou jullie op de hoogte, eerst nog een tijdje aankijken

Even gezellig kletsen? Check Alltalk.nl

Acties:

dinsdag 10 mei 2016 11:26

Topicstarter

Vanmorgen weer een heleboel spam mails gehad.

Bij navraag bij mijn host zeggen ze dat dit weer spoofing is.

Begin mail host --- "Dit is helaas nogmaals een vorm van spoofing;
Received: from [37.238.9.187] (port=53356 helo=erqw.org)
by einstein.catalystservers.com with esmtpsa (TLSv1:DHE-RSA-AES256-SHA:256)
(Exim 4.87)
(envelope-from <mijn@emailadres.nl>)

Hieruit kun je zien dat de HELO=erqw.org is en er dus vanuit daar is ingelogd en dan jouw email adres wordt gebruikt als SPOOF adres."--- einde mail host

Dit had toch normaal gesproken toch niet kunnen gebeuren met het SPF record ingesteld in -all of zie ik dat verkeerd?
Weten jullie overigens (uit ervaring, ik weet dat het moeilijk te zeggen is) of spoofing ooit ophoudt?

[ Voor 3% gewijzigd door knorde op 10-05-2016 09:36 ]

Even gezellig kletsen? Check Alltalk.nl

Acties:

dinsdag 10 mei 2016 12:00

knorde schreef op dinsdag 10 mei 2016 @ 09:34:
Dit had toch normaal gesproken toch niet kunnen gebeuren met het SPF record ingesteld in -all of zie ik dat verkeerd?

Dat zie je verkeerd, zie de een-na-laatste zin uit mijn vorige post.

knorde schreef op dinsdag 10 mei 2016 @ 09:34:
Weten jullie overigens (uit ervaring, ik weet dat het moeilijk te zeggen is) of spoofing ooit ophoudt?

Het houdt nooit op! Je kan het wel reduceren met DKIM

Maak je niet druk, dat doet de compressor maar

Acties:

woensdag 7 september 2016 00:43

Topicstarter

Als ik het dus goed begrijp gaat het op mijn emailadres nooit meer ophouden?
Ik zou het zo zonde vinden om van emailadres te veranderen, ik heb deze al sinds 2003.

DKIM had ik al aan staan, maar zover ik kan vinden is dat alleen voor inkomend.

"DKIM is een middel om binnenkomende e-mail te controleren. Hiermee wordt ervoor gezorgd dat binnenkomende berichten niet worden gewijzigd en wordt gecontroleerd dat de afzender is wie hij zegt te zijn. Met deze functie wordt voorkomen dat spamberichten binnenkomen."

EDIT

Ik kom er net achter dat mijn SPF record op ~all stond en niet op -all.
Ik heb geen idee of het iets uitmaakt (-all is harder) maar ik ga het natuurlijk wel even testen.

Het vervelende is dat er altijd weer 1 a 1,5 week tussen zit dus voorlopig is het weer even afwachten.

EDIT 2

Begrijp ik het goed dat ik met de optie -all geen mail kan verzenden vanaf bijv. de smtp server van tmobile (met als afzenderadres mijn emailadres)?
Dit lukt namelijk nog wel.

[ Voor 31% gewijzigd door knorde op 10-05-2016 13:55 ]

Even gezellig kletsen? Check Alltalk.nl

Acties:

woensdag 7 september 2016 00:55

Topicstarter

Even een subtiel "kickje".

Iemand die dit weet?

"Begrijp ik het goed dat ik met de optie -all geen mail kan verzenden vanaf bijv. de smtp server van tmobile (met als afzenderadres mijn emailadres)?
Dit lukt namelijk nog wel."

Even gezellig kletsen? Check Alltalk.nl

Acties:

woensdag 7 september 2016 01:24

Intentionally Left Blank

knorde schreef op woensdag 07 september 2016 @ 00:43:
Even een subtiel "kickje".

Iemand die dit weet?

"Begrijp ik het goed dat ik met de optie -all geen mail kan verzenden vanaf bijv. de smtp server van tmobile (met als afzenderadres mijn emailadres)?
Dit lukt namelijk nog wel."

Je kunt dan inderdaad alleen mail versturen vanaf een client welke zich op 't domein bevind.

Boldly going forward, 'cause we can't find reverse

Acties:

Wim-Bart

Zie signature voor een baan.

wimmel_1 schreef op woensdag 07 september 2016 @ 00:55:
[...]

Je kunt dan inderdaad alleen mail versturen vanaf een client welke zich op 't domein bevind.

niet helemaal waar, iedere smtp server kan nog steeds met de -all optie e-mail versturen uit naam van een ander. Wanneer een ontvanger ook geen spf controleert dan komt die e-mail ook gewoon binnen.

Waar TS wel last van kan hebben is dat er return reports binnen komen. Behoorlijk vervelend. Misschien af te vangen met filtering in webmail?

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 7 september 2016 01:51

Acties:

woensdag 7 september 2016 02:36

Intentionally Left Blank

Wim-Bart schreef op woensdag 07 september 2016 @ 01:24:
[...]

niet helemaal waar, iedere smtp server kan nog steeds met de -all optie e-mail versturen uit naam van een ander. Wanneer een ontvanger ook geen spf controleert dan komt die e-mail ook gewoon binnen.

Waar TS wel last van kan hebben is dat er return reports binnen komen. Behoorlijk vervelend. Misschien af te vangen met filtering in webmail?

In plaats van alleen SMTP (SIMPLE Mail Transfer Protocol) over poort 25 kún je natuurlijk ook iets anders gaan gebruiken

Boldly going forward, 'cause we can't find reverse

Acties:

Wim-Bart

Zie signature voor een baan.

wimmel_1 schreef op woensdag 07 september 2016 @ 01:51:
[...]

In plaats van alleen SMTP (SIMPLE Mail Transfer Protocol) over poort 25 kún je natuurlijk ook iets anders gaan gebruiken

Dat kan, alleen werkt ook niet altijd nog

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 7 september 2016 02:40

Acties:

woensdag 7 september 2016 02:51

Intentionally Left Blank

Wim-Bart schreef op woensdag 07 september 2016 @ 02:36:
[...]

Dat kan, alleen werkt ook niet altijd nog

Dat moet je me toch eens uit leggen. Als ik alleen maar middels TLS wil communiceren met je dan heb jij als "leverancier" van mail een probleem met het afleveren over poort 25 alleen, toch?

[ Voor 4% gewijzigd door Will_M op 07-09-2016 02:44 ]

Boldly going forward, 'cause we can't find reverse

Acties:

Wim-Bart

Zie signature voor een baan.

wimmel_1 schreef op woensdag 07 september 2016 @ 02:40:
[...]

Dat moet je me toch eens uit leggen. Als ik alleen maar middels TLS wil communiceren dan heb jij als "leveraar" van mail een probleem met het afleveren, toch?

Ja, maar ben jij de enige? Ik heb bij veel bedrijven gezien dat TLS niet afgedwongen moet worden voor inkomende mail, omdat je gewoonweg dan mail mist. Nu kan je TLS of Secure SMTP afdwingen, zolang je geen SPF checks doet komt spawn gewoon binnen ook al heb je 100 lagen van security er over heen.

Het kan zelfs zo zijn dat je een partner hebt waarvan je TLS accepteert maar geen andere zaken afdwingt dan kan er via die weg alsnog alles naar binnen. Email is geen 1:1 verbinding tenslotte, het kan doorhoppen tot het van verzender bij ontvanger is.

Neem bijvoorbeeld mijn eigen e-mail server, die gebruikt Ziggo host als relay (via login en TLS). Echter is het bron e-mail adres van mijn e-mail geen @ziggo.nl. En mijn spf staat op +all (stond ooit op ?all). echter komt alle e-mail gewoon overal aan. Nu zijn er bedrijven waar mijn e-mail in de ongewenste e-mail box komen, omdat het via Ziggo komt. Dan is het heel makkelijk, het is niet mijn schuld dat ze zo checken, SMTP+SSL is een open standaard tenslotte.

Beheerders, Consultants, Servicedesk medewerkers. We zoeken het allemaal. Stuur mij een PM voor meer info of kijk hier De mooiste ICT'er van Nederland.

woensdag 7 september 2016 02:57

Acties:

woensdag 7 september 2016 06:36

Intentionally Left Blank

Wim-Bart schreef op woensdag 07 september 2016 @ 02:51:
[...]

Ja, maar ben jij de enige? Ik heb bij veel bedrijven gezien dat TLS niet afgedwongen moet worden voor inkomende mail, omdat je gewoonweg dan mail mist. Nu kan je TLS of Secure SMTP afdwingen, zolang je geen SPF checks doet komt spawn gewoon binnen ook al heb je 100 lagen van security er over heen.

Het kan zelfs zo zijn dat je een partner hebt waarvan je TLS accepteert maar geen andere zaken afdwingt dan kan er via die weg alsnog alles naar binnen. Email is geen 1:1 verbinding tenslotte, het kan doorhoppen tot het van verzender bij ontvanger is.

Neem bijvoorbeeld mijn eigen e-mail server, die gebruikt Ziggo host als relay (via login en TLS). Echter is het bron e-mail adres van mijn e-mail geen @ziggo.nl. En mijn spf staat op +all (stond ooit op ?all). echter komt alle e-mail gewoon overal aan. Nu zijn er bedrijven waar mijn e-mail in de ongewenste e-mail box komen, omdat het via Ziggo komt. Dan is het heel makkelijk, het is niet mijn schuld dat ze zo checken, SMTP+SSL is een open standaard tenslotte.

Misschien niet de discussie welke we we hier moeten voeren...... Maar wel leuk én terecht $_/-\o_$

Als ik ergens (vanwege m'n werk) een SMTP Relay Server op een netwerk ontdek dan ben ik ook niet te beroerd om er mails over te sturen vanuit een TELNET prompt.

Boldly going forward, 'cause we can't find reverse

Acties:

hackerhater

knorde schreef op woensdag 07 september 2016 @ 00:43:
Even een subtiel "kickje".

Iemand die dit weet?

"Begrijp ik het goed dat ik met de optie -all geen mail kan verzenden vanaf bijv. de smtp server van tmobile (met als afzenderadres mijn emailadres)?
Dit lukt namelijk nog wel."

Als je SPF-record op -all (hard fail) staat moet de email inderdaad van jouw domein af komen (of beter gezegd de server waar je domein staat) anders zullen heel veel ontvangers je email weigeren.
De webmail is uiteraard geen probleem (draait op de server), maar als je geen email af kan leveren via poort 587 (email submission), zal je telefoon niet kunnen mailen.
Als dat het geval is zou ik btw van hoster veranderen want dat is zeer matig.

Wij (ik ben een webhost) bieden onze klanten webmail + email submission via poort 587 aan, alles netjes via https/STARTTLS. Deze email-submission vereist uiteraard wel dat je je authenticeerd. We zijn geen open relay

De DNS records op hard-fail zetten is standaard, tenzij de klant anders vraagt.

SPF is btw geen wonder oplossing. Er kunnen nog steeds emails in jouw naam worden verstuurd.
Echter met SPF geef je aan welke servers in jouw naam email mogen versturen. Een ontvanger kan dan concluderen dat de mail spam is en deze weigeren of direct in de spambox gooien.
Het is dus een simpele whitelist voor de ontvangers.

[ Voor 13% gewijzigd door hackerhater op 07-09-2016 06:38 ]

woensdag 7 september 2016 10:57

Acties:

stijnos1991

Zo zo, dit is toch wel een probleem dat gebookmarked wordt! Heel leerzaam dit topic. Voor de ts: veel succes! Nooit geweten dat je emailadres zo 'gekaapt' kon worden.

woensdag 7 september 2016 14:46

Acties:

woensdag 7 september 2016 15:13

Topicstarter

Wow wat veel reacties!

Mijn provider (neostrada) werkt erg goed mee (super support) en ze ondersteunen veel.
SMTP gaat via hun op SMTP-poort:465.

Helaas krijg ik erg veel bounces en ik denk ook dat dat nooit zal stoppen.
Het vervelende is dat hier verder niks aan te doen is omdat het mailprotocol helaas zo simpel werkt dat je iedereen als afzender neer kan zetten.
Ik heb al een filter aangemaakt zodat alle bounces in een aparte map komen.
Maar het gaat er met heel veel tegelijk, vaak snachts.

Mijn emailadres gebruik ik al sinds 2003 en ik wil hem liever echt niet veranderen.
Ik ben erg gehecht aan dit adres.
Echter wordt je hier ook gek van!
Van spoofing kom je denk ik ook nooit meer af.
Eigenlijk niet normaal dat email zo werkt, en dat ondanks dat je een eigen domein hebt met eigen mail ze het toch nog voor elkaar kunnen krijgen om je haast te verplichten je emailadres te moeten wijzigen.

Moeilijk dus allemaal

Maar aan mijn host ligt het zeker niet, hun doen ook wat in hun macht ligt maar dit is volgens mij (en hun) niet tegen te gaan, behalve heel iets te beperken via een SPF record.

[ Voor 23% gewijzigd door knorde op 07-09-2016 14:50 ]

Even gezellig kletsen? Check Alltalk.nl

Acties:

woensdag 7 september 2016 15:20

knorde schreef op woensdag 07 september 2016 @ 14:46:
Moeilijk dus allemaal

Valt mee, ik geef je nog een tip:

Afhankelijk van de mail server kan je "recipient_delimiter" gebruiken in e-mailadressen.
Dan komen ze alsnog in je gewone inbox maar dan met een "prefix/postfix".

Bijvoorbeeld:

knorde+ziggo@example.com (gaat naar knorde@example.com)
of
ziggo-knorde@example.com (gaat naar knorde@example.com)

Hiermee los je een aantal dingen op:

Je kan grouperen/filteren
Je weet of iemand (in dit geval Ziggo) een data lek heeft
Je weet of iemand (in dit geval Ziggo) je e-mailadres heeft gedeeld met derden

Maak je niet druk, dat doet de compressor maar

Acties:

Blankinho

knorde schreef op woensdag 07 september 2016 @ 14:46:
Mijn emailadres gebruik ik al sinds 2003 en ik wil hem liever echt niet veranderen.
Ik ben erg gehecht aan dit adres.
Echter wordt je hier ook gek van!
Van spoofing kom je denk ik ook nooit meer af.
Eigenlijk niet normaal dat email zo werkt, en dat ondanks dat je een eigen domein hebt met eigen mail ze het toch nog voor elkaar kunnen krijgen om je haast te verplichten je emailadres te moeten wijzigen.

Je kunt zoals hier boven al aangegeven is iets inrichten op je webmail met rules voor dit soort bounce mailtjes?

woensdag 7 september 2016 16:04

Acties:

liberque

Vrijzinnig!

Je zegt dat je alles op de server heb verwijderd - webpagina's en ftp mappen etc. etc... maaaaar.... heb je ook al eens gekeken wat voor processen er allemaal draaien op die server en of er niks vaags bij staat?

Heel erg ver in het verleden heb ik ook al eens zoiets meegemaakt omdat ik een PHP foto album had draaien en die bleek kwetsbaar... er werd in de /tmp directory een scriptje gepropt middels injection en die haalde met root rechten van alles uit... dus kijk ook eens in de /tmp en schoon die eens op.

Try looking into that place where you dare not look! You'll find me there, staring out at you!

donderdag 8 september 2016 10:35

Acties: