Computerbeveiliging - Hoe je bad guys buiten de deur houdt

1000den email voor ene kef????diz

23-02-2009, 14:40 door pgh2011, 5 reacties
Hoi,

Sinds een tijdje krijg ik emails bestemd voor kefxgatediz_at_mijndomein.nl
Het gaat hier echt om +- 1200 emails per dag. Het vreemde is dat ze alleen naar mijndomein.nl worden gestuurd terwijl er op mijn server nog meer domeinen aanwezig zijn. Ook komen ze van verschillende ip adressen dus blokken gaat bijna niet. Nu heb ik de mail discard en wordt elk mailtje beantwoord met "no such user".

Enig idee waarom alleen mijndomein.nl wordt gespammed en enig idee hoe ik dit kan stoppen?

Een paar entries uit mijn logfile.

Feb 23 14:19:34 venus postfix/cleanup[24997]: 2FDE16147A: discard: header Received: from main2.kabir-ken.com (main2.kabir-ken.com [124.34.4.15])??(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))??(No client certificate requested)??by venus.mijndomein.nl (Postfix) with from main2.kabir-ken.com[124.34.4.15]; from=<> to=<kefxgatediz_at_mijndomein.nl> proto=ESMTP helo=<main2.kabir-ken.com>

Feb 23 14:20:03 venus postfix/cleanup[24943]: A825E61479: discard: header Received: from smail2.transmit.de (smail2.transmit.de [193.175.194.75])??by venus.mijndomein.nl (Postfix) with ESMTP id A825E61479??for <kefxgatediz_at_mijndomein.nl>; Mon, 23 Feb 2009 14:20:03 +0100 (CET) from smail2.transmit.de[193.175.194.75]; from=<> to=<kefxgatediz_at_mijndomein.nl> proto=ESMTP helo=<smail2.transmit.de>

Feb 23 14:21:03 venus postfix/cleanup[24997]: 4DD7B6147B: discard: header Received: from isvw2.e-kamone.com (isvw2.e-kamone.com [202.218.3.5])??by venus.mijndomein.nl (Postfix) with ESMTP id 4DD7B6147B??for <kefxgatediz_at_mijndomein.nl>; Mon, 23 Feb 2009 14:21:02 +0100 (CET) from isvw2.e-kamone.com[202.218.3.5]; from=<> to=<kefxgatediz@mijndomein.nl> proto=ESMTP helo=<isvw2.e-kamone.com>

Feb 23 14:27:08 venus postfix/cleanup[25276]: 740E26147B: discard: header Received: from smtp.countywidems.com (smtp.countywidems.com [70.168.52.242])??by venus.mijndomein.nl (Postfix) with ESMTP id 740E26147B??for <kefxgatediz_at_mijndomein.nl>; Mon, 23 Feb 2009 14:27:06 +0100 (CET) from smtp.countywidems.com[70.168.52.242]; from=<> to=<kefxgatediz@mijndomein.nl> proto=ESMTP helo=<smtp.countywidems.com>
Reacties (5)
23-02-2009, 21:34 door Bitwiper
Door pgh2011Sinds een tijdje krijg ik emails bestemd voor kefxgatediz_a_mijndomein_nl
Omdat "mijndomein" een vervanger is voor jouw echte domeinnaam (die ik nu ook al weet), maar mijndomein.nl wel bestaat en vast niet vergelijkbare problemen wil als jij, heb ik het emailadres verhaspeld (ik stel voor dat je dit in jouw bijdrage hierboven ook doet, ook in de logs).

[url=http://www.google.com/search?hl=en&q=kefxgatediz]Google naar kefxgatediz[/url] wijst uit dat er gespammed wordt met als fake afzender bijv. kefxgatediz @ example.com.

Weet je HEEL zeker dat het om oorspronkelijke emails gaat en niet om bounces, out-of-office replies, mailbox-full messages en validation requests gaat?

Het lijkt namelijk sterk op een domain-Joe-job waarbij spammers genoemd mailadres misbruiken als afzender in hun junkmail en deze ook naar mail-servers sturen die eerst mail aannemen en vervolgens kijken of het daadwerkelijk kan worden afgeleverd (de meeste grote ISP's doen dat). Kan er niet worden afgeleverd dan wordt een bounce naar jou gestuurd.

Enig idee waarom alleen mijndomein.nl wordt gespammed
Nee, mogelijk heb je vanaf jouw domain ooit iets gedaan waar een spammer zich aan geergerd heeft.

en enig idee hoe ik dit kan stoppen?
Als het om een Joe-job gaat kun je het waarschijnlijk verminderen door SPF-records aan te maken. Helaas is SPF ooit gepromoot als middel tegen spam, maar dat was bij voorbaat gedoemd te mislukken. Met SPF geef je aan vanaf welke IP-adressen mail "From: maaktnietuit@example.com" verzonden mag worden. Dit werkt natuurlijk alleen als de ontvanger de bijbehorende DNS records checkt. Daarom zal de maatregel maar ten dele werken. Er zijn ook nadelen aan SPF verbonden: forwarden werkt niet meer.

Je kunt ook proberen achter de daders aan te gaan (weinig kans schat ik). Ik kwam ergens een spam tegen die reclame maakt voor slankmaakpillen op http://ctiw.waitwill.com/?veewje (gehost in Z-Korea).

Nu heb ik de mail discard en wordt elk mailtje beantwoord met 'no such user'.
NAAR WIE STUUR JE DAT? (envelope-from of from)? Wat gij niet wilt...

Als het om een Joe-job gaat zal in veel gevallen het envelope-from veld leeg zijn (meestal bij undeliverable messages). In alle andere gevallen zou ik GEEN replies sturen, het levert niks op, sterker, je kunt er makkelijk ZELF mee op blacklists terechtkomen (soort van grafsteen met daarop: ik had voorrang).

Ik heb zo'n soort Joe-job ook een tijd meegemaakt, en kreeg bijv. het volgende "terug" op spam die absoluut niet vanaf mijn domein verzonden was:
THIS IS AN AUTO RESPONSE. YOUR MESSAGE WILL NEVER BE READ! DON'T REPLY EITHER BECAUSE ALL YOU WILL DO IS TRIGGER ANOTHER ONE OF THESE MESSAGES! The TFGTV email address you have used does NOT exist! If you are returning an undelivered or blocked email WE DID NOT SEND IT! And it's likely you have been spammed.
At TFG We wish ALL spammers and their families, (particularly the SAD SICK SCUM who fire unsolicited hardcore porn into family computers)as much pain as life can throw at them. SPAMMERS WE HOPE YOU ROT IN HELL!
echter met een niet-leeg return-path. M.a.w. als je die beantwoordt onstaat een loop.

Andere malloten menen dat ze op basis van een email-adres wel uitgebreide portscans op je domain kunnen loslaten.

Als het zo'n Joe-job is kun het het beste het volgende doen:
- informeer in elk geval je ISP over de situatie, zodat die je niet meteen afsluit na de eerste klachten door mensen die niet snappen hoe SMTP werkt
- geen replies, geen wraakacties, en stoor je er zo min mogelijk aan. Jij bent niet de enige die dit overkomt; in bijna alle spams worden afzender-adressen vervalst. Omdat veel ontvangende servers checken of het Envelope-From sender-domain bestaat zijn spammers gedwongen bestaande domains te gebruiken (spoofen).

Sterkte!
23-02-2009, 22:08 door Bitwiper
Aanvulling: de term domain-Joe-job lijkt niet erg gangbaar, de moderne term is kennelijk [url=http://en.wikipedia.org/wiki/Backscatter_(e-mail)]email backscatter[/url]. Op sommige andere sites ([url=http://www.domainhelp.com/somebody_is_faking_my_domain_name_in_spam]zoals deze[/url]) is wel weer sprake van een Joe-job.

Overigens heet het een "Joe job" omdat de eerste die meldde dat spammers zijn volledige email-adres misbruikten in spams "Joe Doll" heette.
03-03-2009, 11:14 door Anoniem
Zelfde verhaal hier. Al maanden lang ontvang ik mails aan kefdomeindiz@domein.ext. Inmiddels staat de teller op een miljoen! Heb mijn spamfilter ingesteld om als rule 1 een discard te doen van alle mail aan deze user.
03-03-2009, 13:17 door pgh2011
Door AnoniemZelfde verhaal hier. Al maanden lang ontvang ik mails aan kefdomeindiz@domein.ext. Inmiddels staat de teller op een miljoen! Heb mijn spamfilter ingesteld om als rule 1 een discard te doen van alle mail aan deze user.

Op welke manier heb je deze rule ingesteld en met welke spam filter?
05-03-2009, 13:20 door Anoniem
Ik heb als eerste rule in mijn Websense mail filter ingesteld staan dat alle mail aan KEFmijndomeinDIZ@mijndomein.ext meteen wordt gedropped (discard in Websense). Dan hoeft die mail (waarvan ik ook de afgelopen dagen weer de meeste binnen krijg) niet door de rest van de spamfilter heen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.