Argosoft mail server en rare dingen in het log - Serversoftware en clouddiensten

maandag 1 december 2003 23:25

Acties:

0 Henk 'm!

Topicstarter

Ik heb dus de log gewoon 1000enden van dit staan:

12/1/2003 11:16:55 PM - Requested SMTP connection from 61.31.15.126 [61.31.15.126]
12/1/2003 11:16:55 PM - ( 285) 220 ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.8 (1.8.3.9)
12/1/2003 11:16:55 PM - ( 285) EHLO 182.234.182.145
12/1/2003 11:16:55 PM - ( 285) 250-Welcome, 61.31.15.126 [61.31.15.126], pleased to meet you
12/1/2003 11:16:55 PM - ( 285) 250-AUTH=LOGIN
12/1/2003 11:16:55 PM - ( 285) 250-AUTH LOGIN
12/1/2003 11:16:55 PM - ( 285) 250-SIZE 5242880
12/1/2003 11:16:55 PM - ( 285) 250 HELP
12/1/2003 11:16:56 PM - ( 285) RSET
12/1/2003 11:16:56 PM - ( 285) 250 Reset state
12/1/2003 11:16:57 PM - ( 285) MAIL FROM:<pbron.3zg0z@hotmail.com>
12/1/2003 11:16:57 PM - ( 285) Checking address pbron.3zg0z@hotmail.com
12/1/2003 11:16:57 PM - ( 285) 250 Sender "pbron.3zg0z@hotmail.com" OK (Verified)
12/1/2003 11:16:57 PM - ( 285) RCPT TO:<andy386@ms3.hinet.net>
12/1/2003 11:16:57 PM - ( 285) 550 User not local. Authentication required for relay
12/1/2003 11:16:58 PM - ( 285) QUIT
12/1/2003 11:16:58 PM - ( 285) 221 Aba he
12/1/2003 11:16:58 PM - SMTP connection with 61.31.15.126 [61.31.15.126] ended. ID=285

12/1/2003 11:25:39 PM - Requested SMTP connection from 61.62.36.42 [61.62.36.42]
12/1/2003 11:25:39 PM - ( 303) 220 ArGoSoft Mail Server Pro for WinNT/2000/XP, Version 1.8 (1.8.3.9)
12/1/2003 11:25:40 PM - ( 303) EHLO 201.113.150.130
12/1/2003 11:25:40 PM - ( 303) 250-Welcome, 61.62.36.42 [61.62.36.42], pleased to meet you
12/1/2003 11:25:40 PM - ( 303) 250-AUTH=LOGIN
12/1/2003 11:25:40 PM - ( 303) 250-AUTH LOGIN
12/1/2003 11:25:40 PM - ( 303) 250-SIZE 5242880
12/1/2003 11:25:40 PM - ( 303) 250 HELP
12/1/2003 11:25:41 PM - ( 303) RSET
12/1/2003 11:25:41 PM - ( 303) 250 Reset state
12/1/2003 11:25:42 PM - ( 303) MAIL FROM:<ek6g2.5aupu@yahoo.com>
12/1/2003 11:25:42 PM - ( 303) Checking address ek6g2.5aupu@yahoo.com
12/1/2003 11:25:42 PM - ( 303) 250 Sender "ek6g2.5aupu@yahoo.com" OK (Verified)
12/1/2003 11:25:43 PM - ( 303) RCPT TO:<e1203160@pcmail.com.tw>
12/1/2003 11:25:43 PM - ( 303) 550 User not local. Authentication required for relay
12/1/2003 11:25:43 PM - ( 303) QUIT
12/1/2003 11:25:43 PM - ( 303) 221 Aba he
12/1/2003 11:25:43 PM - SMTP connection with 61.62.36.42 [61.62.36.42] ended. ID=303

Nu heb ik even gezocht op GoT en heb dus uitgevonden dat ik SMTP authentication aan moet zetten, dit heb ik gedaan.
Eerst had ik een melding in het log staan dat het een open relay was oid, maar dat is nu dus niet meer.

Ik kwam hier achter doordat ik dus zag dat mijn log files zo'n 20 mb per dag waren voor een simpel text filetje dus.

Maar nu kijk ik dus weer in die logs en zie ik dus dat het gewoon vol staat met dit soort crap, en dat wil ik natuurlijk niet.

Er staat niks meer in mijn outbox, en dat was dus eerst wel zo (1000enden mailtjes).

Mijn vraag is:

a) wat is hier aan de hand
b) wat kan ik hier aan doen
c) is het schadelijk voor mij of voor andere, ik bedoel word mijn verbinding hier nu super traag van of maakt het verder niks uit als die mailserver er niks mee doet?

[ Voor 35% gewijzigd door eX0duS op 01-12-2003 23:28 ]

dinsdag 2 december 2003 00:01

Acties:

0 Henk 'm!

alt-92

ye olde farte

eX0duS schreef op 01 december 2003 @ 23:25:
Ik heb dus de log gewoon 1000enden van dit staan:

Failed relaying mails dus.

Eerst had ik een melding in het log staan dat het een open relay was oid, maar dat is nu dus niet meer.

Ik kwam hier achter doordat ik dus zag dat mijn log files zo'n 20 mb per dag waren voor een simpel text filetje dus.

Maar nu kijk ik dus weer in die logs en zie ik dus dat het gewoon vol staat met dit soort crap, en dat wil ik natuurlijk niet.

Wij ook niet dat je als open relay staat eigenlijk

Er staat niks meer in mijn outbox, en dat was dus eerst wel zo (1000enden mailtjes).

a) wat is hier aan de hand

Zie boven.
Je was een spammers heaven.

b) wat kan ik hier aan doen

Je verantwoordelijkheid nemen en je mailserver dichtzetten voor relaying door non-authorized users.

c) is het schadelijk voor mij of voor andere, ik bedoel word mijn verbinding hier nu super traag van of maakt het verder niks uit als die mailserver er niks mee doet?

Dat maakt verder niet veel uit nee, het aantal bytes wat over de lijn gaat is bij een relaying-denied melding bij lange na niet zo groot als de overlast die een open relay geeft.

[ Voor 5% gewijzigd door alt-92 op 02-12-2003 00:06 ]

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 2 december 2003 00:06

Acties:

0 Henk 'm!

eX0duS

Topicstarter

Mijn verantwoordelijkheid had ik al, ik wist alleen nog niet dat ik dit kan voorkomen door die SMTP authentication aan te zetten.

Die staat dus uit, dus nu is er niks aan de hand? Ook al word mijn log nog steeds elke seconde volgespammed met dit soort zooi?

1/28/2003 6:45:53 AM - [ 17440] SMTP error relaying the message to server mx1.mail.tw.yahoo.com.: 421 VS5-MF Excessive unknown recipients - possible Open Relay http://help.yahoo.com/help/us/mail/spam/spam-18.html (#4.4.5)
11/28/2003 6:45:53 AM - [ 17440] Trying the server mx2.mail.tw.yahoo.com.: 202.1.238.251
11/28/2003 6:45:56 AM - ( 17377) RCPT TO:<sozlo.bbs@newbbs.ncyu.edu.tw>
11/28/2003 6:45:56 AM - ( 17377) 250 Recipient "sozlo.bbs@newbbs.ncyu.edu.tw" OK...
11/28/2003 6:45:57 AM - ( 17377) RCPT TO:<hemsley@msa.hinet.net>
11/28/2003 6:45:57 AM - ( 17377) 250 Recipient "hemsley@msa.hinet.net" OK...
11/28/2003 6:46:00 AM - ( 17377) RCPT TO:<leslie@ms9.url.com.tw>
11/28/2003 6:46:00 AM - ( 17377) 250 Recipient "leslie@ms9.url.com.tw" OK...
11/28/2003 6:46:02 AM - ( 17377) RCPT TO:<hardie@myethome.com>
11/28/2003 6:46:02 AM - ( 17377) 250 Recipient "hardie@myethome.com" OK...
11/28/2003 6:46:03 AM - [ 17440] 421 mta135.mail.tpe.yahoo.com Resources temporarily unavailable. Please try again later.
11/28/2003 6:46:03 AM - [ 17440] SMTP error relaying the message to server mx2.mail.tw.yahoo.com.: 421 mta135.mail.tpe.yahoo.com Resources temporarily unavailable. Please try again later.
11/28/2003 6:46:03 AM - [ 17440] Trying the server mta.mail.tpe.yahoo.com.: 202.1.236.155
11/28/2003 6:46:03 AM - [ 17440] 220 YSmtp mta122.mail.tpe.yahoo.com ESMTP service ready
11/28/2003 6:46:03 AM - [ 17440] EHLO server
11/28/2003 6:46:04 AM - [ 17440] 250-mta122.mail.tpe.yahoo.com
11/28/2003 6:46:04 AM - [ 17440] 250-8BITMIME
11/28/2003 6:46:04 AM - [ 17440] 250-SIZE 10485760
11/28/2003 6:46:04 AM - [ 17440] 250 PIPELINING
11/28/2003 6:46:04 AM - [ 17440] MAIL FROM:<mailer-daemon@dutch-ix.nl>
11/28/2003 6:46:04 AM - [ 17440] 421 VS5-MF Excessive unknown recipients - possible Open Relay http://help.yahoo.com/help/us/mail/spam/spam-18.html (#4.4.5)
11/28/2003 6:46:04 AM - [ 17440] QUIT

Zo was het eerst dus.

Maar dit gespam houd ook nooit meer op? In het begin had ik het nog niet geloof ik (email server is pas een weekje oid online).

[ Voor 86% gewijzigd door eX0duS op 02-12-2003 00:08 ]

dinsdag 2 december 2003 00:11

Acties:

0 Henk 'm!

alt-92

ye olde farte

eX0duS schreef op 02 december 2003 @ 00:06:
Mijn verantwoordelijkheid had ik al, ik wist alleen nog niet dat ik dit kan voorkomen door die SMTP authentication aan te zetten.

Daar had je eerder mee kunnen beginnen

Die staat dus uit, dus nu is er niks aan de hand? Ook al word mijn log nog steeds elke seconde volgespammed met dit soort zooi?

Liever een log vol met relaying-denied dan maar. Kun je tenminste zien dat het ze niet lukt.

Maar dit gespam houd ook nooit meer op? In het begin had ik het nog niet geloof ik (email server is pas een weekje oid online).

In die week tijd is jouw mailserver dus al ge misbruikt en met zekerheid al op een aantal blacklists terecht gekomen (afgaande op die laatste log-quote van je).

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

dinsdag 2 december 2003 00:13

Acties:

0 Henk 'm!

Sendy

Ja, je kan er natuurlijk niets aan doen als anderen (SPAMmers) een verbinding maken met jouw computer en er hun rommel dumpen. Die authentificatie heeft trouwens normaal niets te maken met relay of niet. Het is 1 methode: eisen van authenticatie voordat je kan mailen. Een andere manier is bijvoorbeeld alleen e-mail toestaan vanaf je lokale netwerk naar de rest van de wereld, en van overal ter wereld naar je lokale netwerk (of server natuurlijk).

Wellicht kan je in je mail programma uitzetten dat er relay pogingen gelogt worden (maar weer wel loggen als het valide mail is, vanaf je lokale netwerk dus.)

dinsdag 2 december 2003 00:14

Acties:

0 Henk 'm!

eX0duS

Topicstarter

Wat ik niet snap wie of wat doet nou zoiets? Dit is dus zoals ik begrijp gewoon een zieke grap om flink email te kunnen spammen naar random personen op de hele wereld?

Als ik die email server uit zet, heb ik dan ook nog last van die relay requests?

[ Voor 21% gewijzigd door eX0duS op 02-12-2003 00:16 ]

dinsdag 2 december 2003 00:16

Acties:

0 Henk 'm!

Weezer-DC

eX0duS schreef op 02 december 2003 @ 00:14:
Wat ik niet snap wie of wat doet nou zoiets? Dit is dus zoals ik begrijp gewoon een zieke grap om flink email te kunnen spammen naar random personen op de hele wereld?

Spammers sturen geen mail van hun eigen pc.
Dan zijn ze er zo bij, nee daar gebruikers ze open relay's voor,
zoals bv de gene van de ts, die gelukkig nu dicht staat.

Voor die spam mailtje vangen ze weer geld...

dinsdag 2 december 2003 00:19

Acties:

0 Henk 'm!

Sendy

Het levert geld op. Dat lijkt me genoeg voor wat minder-ethisch gedrag, toch?

En ja, natuurlijk als je geen server draait kunnen anderen ook niet meer verbinden met zo'n server. Maar dan nog, je kan niemand verbieden toch contact [em]proberen[/em] te leggen met je server; alleen komt die er dan sneller achter dat de verbinding verbroken moet worden

[ Voor 65% gewijzigd door Sendy op 02-12-2003 00:20 ]

dinsdag 2 december 2003 00:20

Acties:

0 Henk 'm!

eX0duS

Topicstarter

Aaah zo... Lekker ruk is dat dan.

Ik had er echt geen benul van dat dit zo werkte, maar ja dit is ook de eerste keer dat ik met zo'n mailservertje aan de gang ga.

Hopen dat nu niemand boos is.

Misschien dat iemand nog interessante links heeft? Ik heb tot nu toe http://www.ordb.org gevonden, hier staat zo ver ik heb kunnen zien wel hele interessante informatie op, die ik morgen even door ga spitten, want nu is het te laat.

[ Voor 39% gewijzigd door eX0duS op 02-12-2003 00:23 ]

dinsdag 2 december 2003 20:42

Acties:

0 Henk 'm!

Maarten @klet.st

eX0duS schreef op 02 december 2003 @ 00:20:
Aaah zo... Lekker ruk is dat dan.

Ik had er echt geen benul van dat dit zo werkte, maar ja dit is ook de eerste keer dat ik met zo'n mailservertje aan de gang ga.

Nouja, hopenlijk ben je er redelijk op tijd achter gekomen. Gevolgen zul je nu ook onder ogen moeten zien:
- Klachten van gespamde mensen
- Blocks door providers die jouw IP in een blacklist treffen
- Half spammend internet denkt dat jij een open relay bent en komt dus ff
langs om een poging te doen om te spammen.

SMTP servers kunnen een redelijke footshooter zijn als ze verkeerd geconfigureerd zijn, zeker op een beetje snelle verbinding, maar dat hoeven jou niet meer uit te leggen

woensdag 3 december 2003 09:48

Acties:

0 Henk 'm!

eX0duS

Topicstarter

Ja jullie doen nu net of ik een soort van misdaag heb begaan (no offence

), maar ja bekijk het van mijn kant; ik wilde ook alleen maar even wat uit proberen, heb wel de manual en de faq ter hand genomen om het een en ander in te stellen; maar was er op dat moment nog niet achter dat je die SMTP authentication moest aanzetten. Maar goed dat is nu gebeurd.

Maar nu is de vraag kom ik nog ooit van die spammers af op mijn verbinding? Hebben die op een gegeven moment niet door dat die open relay niet meer werkt, of is dat gewoon een geautomatiseerd systeem?

Overigens kreeg ik alleen maar vage hotmail en yahoo.com.tw adressen, dus als ik daar geblacklist ben is het toch niet zó erg.

Maar neem deze nou: pbron.3zg0z@hotmail.com is dat nou een echt bestand adres of is dit gewoon geraden, zoals ze gewoon spam versturen naar een random zelf verzonnen lijstje?

[ Voor 13% gewijzigd door eX0duS op 03-12-2003 09:49 ]

woensdag 3 december 2003 17:26

Acties:

0 Henk 'm!

Sendy

Tja, mensen die jou blacklisten die sturen ook geen mailtje naar je; je komt er niet een-twee-drie achter dat je geblacklist bent dus. Maar natuurlijk geldt: wat niet weet, wat niet deert.

En heb je al dat hotmail adres gemailt? Als je mail retour komt bestaat-ie niet, als er niets terugkomt bestaat-ie wel.

woensdag 3 december 2003 21:30

Acties:

0 Henk 'm!

Maarten @klet.st

eX0duS schreef op 03 december 2003 @ 09:48:
Ja jullie doen nu net of ik een soort van misdaag heb begaan (no offence ), maar ja bekijk het van mijn kant; ik wilde ook alleen maar even wat uit proberen, heb wel de manual en de faq ter hand genomen om het een en ander in te stellen; maar was er op dat moment nog niet achter dat je die SMTP authentication moest aanzetten. Maar goed dat is nu gebeurd.

Als die manual of de faq niet uitleggen dat je geen mail voor externe adressen moet accepteren van 'externe' IP adressen, zonder die authenticatie, dan kun je het product beter meteen in de hoek gooien. Eigenlijk had die software je toch wel goed moeten waarschuwen dat wat je deed 'een beetje dom' was

Maar over spammers die je lastig vallen; daar houden ze vanzelf wel mee op als ze voldoende doorhebben dat je de mail weigert. Waarschijnlijk heeft een van de spammers je op een lijst gezet die anderen ook lezen.

Ik zat laatst op een of andere site van een spambedrijf te lezen; die gasten verkopen een soort 'credits' waarmee je mail kan versturen. Het mailprogramma haalt dan telkens nieuwe open proxies bij de leveranciers op. Via die open proxies worden dan weer open relays (zoals jij even was) gebruikt. Op die manier zijn de echte spammers in de praktijk bijna niet te traceren (alleen als de gebruikte open proxy logs bewaard heeft). Maar dit allemaal als sidenote..