E-mail wordt gebruikt voor spam? Duizenden delivery failure mails..

[S. van Kessel]

Hopelijk post ik dit onder het goede onderwerp.

 

Sinds een uurtje ontvang ik duizenden mails. (honderden per minuut) met mail delivery failure etc.

het lijkt erop dat mijn e-mailadres gebruikt wordt om spam mee te versturen. (ik wist niet dat dit kon)

Kan iemand mij helpen? of is dit uberhaubt te voorkomen?

Is het schadelijk voor het bedrijf of mijn klanten? Stressvol..

 

Bedankt!

 

[Norbert Bakker]

Zo te zien is je mailserver en/of domein inderdaad gekaapt, je bent vandaag zelfs al op een tweetal blacklists gezet.

 

Of het direct schadelijk voor jou is kan ik niet beoordelen; irritant is het in ieder geval wel: jouw uitgaande mail zal nu de komende dagen door een groeiend aantal mailservers geweigerd gaan worden. Je moet er rekening mee houden dat mail vanaf vandaag niet bij jouw klanten is aangekomen.

 

Kan iemand mij helpen?

Je IT adviseur/ specialist of je internet provider : grote kans dat er bij je hoster meerdere domeinen gekaapt zijn. (BMS Websites zo te zien, lijkt er op dat die site ook plat is)

 

Mijn ervaring is dat het weer van blacklists afkomen wel enige tijd kost, en vervolgens zul je moeten kijken hoe je dit in de toekomst kan voorkomen.

 

 

 

 

 

[S. van Kessel]

Bedankt voor je reactie. Erg vervelend inderdaad.

 

Is zoiets te voorkomen of op te lossen?

Heb het eerder nog nooit meegemaakt en vind het ook vreemd dat zoiets kan.

Ik heb geen IT-er oid, misschien is er hier iemand aanwezig met de benodigde kennis?

[Christine]

Is zoiets te voorkomen of op te lossen?

Heb het eerder nog nooit meegemaakt en vind het ook vreemd dat zoiets kan.

Ik heb geen IT-er oid, misschien is er hier iemand aanwezig met de benodigde kennis?

 

Het is te voorkomen, door je mail server goed te beveiligen. Ik denk niet dat iemand jouw email adres gebruikt heeft als afzender van een spam mail, de ontvangende mail servers herkennen dat, dan kom je niet zomaar op een blacklist.

 

Zo te zien draait je mail in de cloud, ik denk dat je contact met Amsio op moet nemen, misschien dat het probleem bij hen zit.

 

 

[Ward van der Put]

Is zoiets te voorkomen of op te lossen?

Heb het eerder nog nooit meegemaakt en vind het ook vreemd dat zoiets kan.

Ik heb geen IT-er oid, misschien is er hier iemand aanwezig met de benodigde kennis?

Je kunt dat bijvoorbeeld vragen aan ene Pim v.d. M.

Die is namelijk verantwoordelijk voor de meeste sites die op dezelfde server draaien.

Waarschijnlijk een VPS.

 

[S. van Kessel]

Dat klopt, dat is mijn vriend (programmeur). Hij heeft een VPS, heeft niet veel verstand van mailbeveiligingen etc. Hij zit nu ook met zijn handen in het haar. ??? ;)

 

Bedankt voor alle reacties, dat wordt gewaardeerd.

 

 

[StevenK]

Is niet te voorkomen omdat SMTP geen enkele controle op afzender doet. Er zijn wel systemen als SPF die het de verzender moeilijker maken, maar het feit dat jouw adres gebruikt wordt, wil *niet* zeggen dat je server of je account gehacked is.

 

Een voorbeeld daarvan is wanneer je via higherlevel een PM stuurt. Die PM wordt per email naar de ontvanger gestuurd, met als afzender *jouw* emailadres.

[R.I.P. | Peter Bonjernoor]

Een voorbeeld daarvan is wanneer je via higherlevel een PM stuurt. Die PM wordt per email naar de ontvanger gestuurd, met als afzender *jouw* emailadres.

Je kunt verschillende adressen in een emailheader stoppen om bijvoorbeeld het antwoord naar een ander emailadres te sturen (zoals HL dat doet), maar blacklisten gebeurt niet op basis van die headers - dat gaat op IP-nummer waar de spam vandaan komt, dus deze mailserver is ongetwijfeld overgnomen.

 

 

[StevenK]

Een voorbeeld daarvan is wanneer je via higherlevel een PM stuurt. Die PM wordt per email naar de ontvanger gestuurd, met als afzender *jouw* emailadres.

Je kunt verschillende adressen in een emailheader stoppen om bijvoorbeeld het antwoord naar een ander emailadres te sturen (zoals HL dat doet), maar blacklisten gebeurt niet op basis van die headers - dat gaat op IP-nummer waar de spam vandaan komt, dus deze mailserver is ongetwijfeld overgnomen.

 

 

 

Daar heb je dan weer helemaal gelijk in. Maar het kan natuurlijk ook zo éénvoudig zijn dat er sprake is van een open relay.

[Nico Schouten]

Los van alle technische mogelijkheden, begin eens met een nieuw wachtwoord in te stellen voor je mailaccount.

mogelijk is je eigen computer geïnfecteerd met een virus/trojan whatever die jouw wachtwoord heeft weten te bemachtigen.

Misschien slim om dit te doen met een computer van iemand anders die niet in hetzelfde netwerk zit als een of meer van jouw computers.

 

Via webmail kun je dan checken of de storm aan nieuwe meldingen ophoud.

[S. van Kessel]

Bedankt allemaal!

 

Ik heb een aantal van de tips meegenomen en de hoeveelheid mails is al veel minder geworden.

Helaas begrijp ik niet alles wat hier gezegd wordt maar voor mij is het belangrijkste dat het nu grotendeels opgelost is :)

[R.I.P. - Benm]

Los van alle technische mogelijkheden, begin eens met een nieuw wachtwoord in te stellen voor je mailaccount.

 

Dat kan inderdaad wel eens helpen.

 

Wat er hier aan de hand is kan ik moeilijk beoordelen, maar het is verstandig een behoorlijk sterk wachtwoord te gebruiken voor je mailaccounts. Als ik zelf wel eens in de logs van mn vps kijk komen er talloze pogingen binnen om bijvoorbeeld als info@... in te loggen. Wat ze proberen weet ik niet, en het systeem weigert ze ook wel toegang na een aantal pogingen vanaf een IP, maar ik vermoed dat het ze soms toch wel lukt.

 

Vooral geen woordenboek-woorden als wachtwoord gebruiken, voor een echte brute force aanval gaat het te langzaam en is het te beperkt, maar als je een 'top-1000' wachtwoord gebruikt is de kans dat het ze een keer lukt aanzienlijk.

[Norbert Bakker]

Bedankt allemaal!

 

Ik heb een aantal van de tips meegenomen en de hoeveelheid mails is al veel minder geworden.

Helaas begrijp ik niet alles wat hier gezegd wordt maar voor mij is het belangrijkste dat het nu grotendeels opgelost is :)

 

eh... zo te zien wordt de hoeveelheid delivery failure mails vooral minder omdat het maildomein en ip-adres nu al op meer blacklists staat. Dat is zeker géén oplossing voor het probleem zelf, alleen voor de symptomen ervan.

 

 

 

[R.I.P. - Benm]

Dat valt toch wel mee met die blacklists? Als ik het zo bekijk voor 5.100.231.93 zijn er wel een paar blacklistings, maar zeker geen grote meerderheid, al kan dat natuurlijk nog veranderen als er spam verzonden blijft worden.

[John B]

Heb ik ook een paar keer gehad, alleen niet met zulke grote aantallen. Misschien heb je iets aan de reacties in dit topic die ik destijds kreeg.

[fvddungen]

Heb je een catch-all ingesteld op je mailserver? Oftewel alles wat maar op @jouwdomein.nl eindigt komt bij je terug? Dan zou ik die sowieso uitzetten en alleen echte e-mailadressen instellen.

[Think Twice]

Ik zou toch maar je logs nakijken wat de oorzaak is. Niets doen betekent dat het alleen maar erger gaat worden en je op meer blacklists komt te staan. Alleen als je echt zeker weet dat de oorzaak is gevonden kan je je delisten van de diverse blacklists. Is die VPS verder wel helemaal up-to-date?

 

 

[Christine]

Dat klopt, dat is mijn vriend (programmeur). Hij heeft een VPS, heeft niet veel verstand van mailbeveiligingen etc. Hij zit nu ook met zijn handen in het haar. ??? ;)

 

Email is bedacht en ontworpen in een tijd dat iedereen op het internet te goeder trouw was, er geen spam en oplichting was, en het handig was als je de mail server van een ander kon gebruiken voor het versturen van je mail. Dat is nu anders, maar de email protocollen zijn helemaal niet geschikt voor wat je nu nodig hebt aan beveiliging en spambestrijding. Bijvoorbeeld, het afzender adres in een email zegt helemaal niets over waar de email vandaan komt, dat adres wordt er gewoon in gezet. In de mail headers kun je wel zien waar een mail vandaan komt, maar je kunt mail headers toevoegen, om te verdoezelen waar de mail echt vandaan komt. Wat Peter al zei, een mail server controleert waar een mail vandaan komt op het moment dat een andere mail server contact maakt, via het ip adres. Naar de headers en de inhoud van de mail wordt dan nog helemaal niet gekeken.

 

 

Dit alles betekent dat als je je eigen mail server runt, je genoeg verstand van email configuratie moet hebben om te zorgen dat je mail server niet gehackt wordt en niet voor spam wordt gebruikt. Als je vriend nu met de handen in het haar zit, dan zou ik hem adviseren zo snel mogelijk deskundige hulp in te schakelen.

 

 

[Stefan Hamminga]

Als je postfix gebruikt dan heb je in '/etc/postfix/main.cf' een parameter 'mydestination':

 

"mydestination = localhost, prjct.net, mail.prjct.net, ..."

 

Dit zijn de domeinen die geaccepteerd worden voor ontvangst van mail. De standaard configuratie gebruikt deze lijst ook als controle voor uitgaande mail:

 

http://www.postfix.org/BASIC_CONFIGURATION_README.html#relay_to

 

"The default is to authorize all domains (and subdomains) of the domains listed with the mydestination parameter."

 

Het is dus dan al niet zonder meer mogelijk uitgaande mail met afwijkende domeinen te gebruiken.

 

Daarnaast moet je natuurlijk SSL/TLS en SMTP authenticatie aan hebben staan. Ook vrijwel onmisbaar tegenwoordig is iets als 'fail2ban'. Zodra er meerdere mislukte authenticatie pogingen zijn dan wordt dat IP adres (tijdelijk) geblokkeerd. Wel een probleem is dat (Chinese) hackers tegenwoordig veel vaker complete IP blokken gebruiken voor brute force aanvallen, een degelijk wachtwoord blijft zeker nodig.

 

Als je een complete header van een ontvanger van de spam kunt bemachtingen: via de IP adressen is vaak wel de versturende server te achterhalen. De adressen en hostnamen zelf zijn, zoals eerder gezegd, vaak vals.

 

[Christine]

Als je postfix gebruikt

 

Als je server is gehackt, dan gaat de spam niet via jouw mail server.

[Stefan Hamminga]

Bedoel je 'als je DNS is gehackt...'?

 

Als de server zelf gehackt is dan gebruikt een spammer juist jouw SMTP faciliteiten om spam te versturen.

Vandaar ook dat ik de IP adressen ter sprake bracht, op die manier kun je verifiëren wat precies de bron is.

 

 

 

 

[StevenK]

En als je een open relay hebt, ben je helemaal niet gehackt, maar gaat de mail toch over jouw server.

[Stefan Hamminga]

Klopt, maar volgens de mxtoolbox smtp check was het geen open relay. Ik had voor het posten van mijn reactie even een snelle check gedaan.

[Eric Mailer]

Dat valt toch wel mee met die blacklists? Als ik het zo bekijk voor 5.100.231.93 zijn er wel een paar blacklistings,

 

Het ligt er aan hoe frequent die blacklist gebruikt wordt. Ik zie b.v. dat het IP op de blacklist van useprotect.net staat. Die blacklist gebruikt mijn mailserver ook en mail van dat IP zou bij mij nu ook geweigerd worden. Als ik dit IP opvraag staat er bij dat de blacklisting "expires on 18 mei om 23.00 uur". Dus mailservers die die blacklist gebruiken weigeren je mail nog 6 dagen.

 

De reden van hun blacklisting was dat er mail naar spamtraps gestuurd was.

 

 

 

 

 

[espen]

Daarom ook alleen een unmanaged vps nemen als je echt verstand van server beheer hebt. Vaak staat alles gewoon open, en ben je zo gehackt of gebruikt voor allerlei louche zaken.

 

http://mxtoolbox.com/domain/webstash.nl/

[Christine]

Bedoel je 'als je DNS is gehackt...'?

 

Nee, ik bedoel als je server is gehackt. Een spammer laat zich niet tegenhouden door settings in jouw mail server, die installeert zelf een simpel stukje software dat zelfstandig spam verstuurt, en wellicht van buiten benaderd kan worden door de inbreker. Dat is lastiger te detecteren dan het gebruik van jouw server.