Spam versturen

Beste Tweakers,

Een kennis van mij kampt al een hele tijd met een spam probleem. En dan vooral het versturen van spam zelf. Zij krijgt dan verschillende mails terug van mailer-daemon met een "undeliverable" melding.

Wat heb ik al gedaan?:

- Wachtwoord gereset.
- Haar MacBook gecontroleerd op virussen
- Een volledige reinstal van haar Windows PC

Het probleem blijft helaas voortduren. En ik heb geen idee meer waar ik het nog moet zoeken. Ik heb een vermoeden dat haar adres gespoofd wordt?

Hebben jullie advies? Hebben jullie nog meer informatie nodig?


Alvast bedankt.

emnich schreef op donderdag 26 mei 2016 @ 09:30:
Onderzoek eerst eens of het adres gespoofed wordt of niet. Door welke server is het bericht verstuurd?

Dit zijn de gegevens al ik de brongegevens bekijk.


Return-Path: <>
Received: from mailgate207.isp.belgacom.be ([195.238.22.39])
by mailfep006.skynet.be
(InterMail vM.8.04.03.21.1 201-2389-100-165-100-20151028)
with ESMTP
id <20160526065253.NIFI3680.mailfep006.skynet.be@mailgate207.isp.belgacom.be>
for <XXXXXXX.andriessen@skynet.be>;
Thu, 26 May 2016 08:52:53 +0200
IronPort-PHdr: 9a23:XESPMxDVgnUH1ZqS5ZhQUyQJP3N1i/DPJgcQr6AfoPdwSP78p8bcNUDSrc9gkEXOFd2CrakU2qyK7+u5ADFIyK3CmU5BWaQEbwUCh8QSkl5oK+++Imq/EsTXaTcnFt9JTl5v8iLzG0FUHMHjew+a+SXqvnYsExnyfTB4Ov7yUtaLyZ/nhqbup9aKOlgArQH+SI0xBS3+lR/WuMgSjNkqAYcK4TyNnEF1ff9Lz3hjP1OZkkW0zM6x+Jl+73YY4Kp5pIZmVrn7caUzRKBZCzJuczltvJWy9EqLcQza+HIaVmwQnhdHAwXAqhj8Uo3wvzDhu+xVwyqLO8DqC7o5Chq46KI+TRbpjCodcjIw/WTQjOR1haNf5hKwoxVkhYTZM9LdD+Z3Yq6IJoBSfmFGRMsEDnQZWtqx
X-IPAS-Result: A0B6AQAenEZXbOks/jOEFVZ9qSmSe4VvAiWBFDwQAQEBAQEBAQERDRYFUoIqghkBAQgggQcBAwIYDgJJCCGIMgIJoViPYo16hAGBAYccCIUdgVMBAQVigjUrgjOYN4EvhFGIIIFTZIxlj0w3gjEcgU06MgEBAYhdgTUBAQE
Received: from mail.hylas.be ([51.254.44.233])
by Inmxmss01.skynet.be with ESMTP/TLS/DHE-RSA-AES128-GCM-SHA256; 26 May 2016 08:52:53 +0200
Content-Type: text/plain; charset="utf-8"
MIME-Version: 1.0
Return-Path: <>
Message-ID: <BA2BCE15-8519-47F3-8AE5-F5A15F1E74F3@mail.hylas.be>
Date: Thu, 26 May 2016 08:51:59 +0200
From: mailer-daemon@mail.hylas.be
To: XXXXXXXXX.andriessen@skynet.be
Subject: Message undeliverable: cool stuff
Content-Transfer-Encoding: quoted-printable
X-hMailServer-LoopCount: 2

Your message did not reach some or all of the intended recipients.

Sent: Thu, 26 May 2016 05:52:26 +0300
Subject: cool stuff

The following recipient(s) could not be reached:

artbrussels@artexis.com
Error Type: SMTP
Remote server (194.78.5.34) issued an error.
hMailServer sent: RCPT TO:<artbrussels@artexis.com>
Remote server replied: 554-Service unavailable; Client host [mail.hylas.be] blocked using Barracuda
554 Reputation; http://www.barracudanetwo...?r=3D1&ip=3D51.254.44.233


hMailServer

Breezers schreef op donderdag 26 mei 2016 @ 09:36:
Ze noemen dit ook wel "backscatter", dat zijn reply's of non-deliverable messages/bounce van spam met gespoofde mailaccounts. In heel veel gevallen heeft het niets met het eigen mailaccount of cliënt te maken maar maken spammers misbruik van nepmailadressen. Helaas kan je hier niets tegen doen en meestal verdwijnt het ook weer na een bepaalde periode

Ik was hier al bang voor. Echter duurt dit nu al enkele maanden.

Wat ik echter wel vreemd vind, is dat sommige spam naar haar contacten worden verstuurd. Die kunnen de spammers toch niet zomaar bemachtigen met spoofing of ben ik daar verkeerd? Het is natuurlijk erg gênant om haar contacten te bestoken met spam.

emnich schreef op donderdag 26 mei 2016 @ 12:25:
Het lijkt me inderdaad een virus, hoewel ik de details niet ken. Ook als er naar contacten wordt verstuurd is de kans klein dat het gewoon om spoofen gaat.

Een virus lijkt mij ook aannemelijker. De Windows PC heeft een volledige clean install gehad dus die lijkt mij niet geïnfecteerd te zijn. (tenzij er iets in de bios zit maar dat lijkt me nu wel heel vergezocht).

Dan denk ik dat ik als volgende stap de Mac volledig opnieuw ga installeren. Heb dat ding al gescand met een hele reeks aan anti malware & virus tools en er wordt niks meer gevonden... Maar om helemaal zeker te zijn zal ik maar een reinstall doen zeker?

Als er nog andere suggesties zijn, hoor ik die graag. Alvast bedankt voor jullie hulp.

emnich schreef op donderdag 26 mei 2016 @ 13:03:
[...]

Heeft ze ook een website die gehackt kan zijn?

Schitterende suggestie, ze heeft inderdaad een website. Nu denk ik wel dat daar een ander email adres voor gebruikt wordt dan het adres waarop ze die return mails ontvangt.

Heb je suggesties hoe ik kan controleren dat haar website/mailserver gehackt is? Ik ken wel iets van websites maar is niet helemaal mijn ding.

emnich schreef op donderdag 26 mei 2016 @ 13:03:
[...]


En zijn die headers van de return mail of van de oorspronkelijke email (die vaak als attachment bij de bounced mail zit).

Dat zijn de headers van de return mail. Er was geen bijlage. Er zijn wel andere return mails met bijlage maar zit momenteel op het werk en kan die bijlages hier niet openen. Die kan ik straks wel posten als dat helpt?

Enorm bedankt alvast!

XippIX schreef op donderdag 26 mei 2016 @ 14:07:
Client host [mail.hylas.be] blocked using Barracuda
554 Reputation; http://www.barracudanetwo...D1&ip=3D51.254.44.233


je staat op de blacklist van barracuda, die gebruikt bijan iedere provider, waardoor je mail weer terug komt.
Die website toevallig een Joomla cms?

Barracuda is een lastige om daar zo 1, 2, 3 vanaf te komen, helaas.

Het is goed mogelijk dat het om Joomla cms gaat, moet ik straks zelf even controleren want die persoon kent er niets van . Waarom vraag je dat net? Gekend probleem oid?

"Barracuda is een lastige om daar zo 1, 2, 3 vanaf te komen, helaas."
Bedoel dat haar adres dan door voor mailservers geweigerd gaat worden? Of bedoel je dat het moeilijk wordt om het verzenden van de spam tegen te gaan?