Op deze website gebruiken we cookies om content en advertenties te personaliseren, om functies voor social media te bieden en om ons websiteverkeer te analyseren. Ook delen we informatie over uw gebruik van onze site met onze partners voor social media, adverteren en analyse. Deze partners kunnen deze gegevens combineren met andere informatie die u aan ze heeft verstrekt of die ze hebben verzameld op basis van uw gebruik van hun services. Meer informatie.

Akkoord

Vraag & Antwoord

Beveiliging & privacy

Spam vanaf eigen mailserver?

helicop
7 antwoorden
  • Misschien een beetje raar verhaal maar het volgende.
    Recentelijk ontvang ik veel spam met mezelf als afzender.
    Ik open die mail niet echt, maar als ik bij eigenschappen kijk dan zie ik daar als returnadres mijn eigen adres staan.
    Ook de geadresseerde ben ik zelf.
    Door het spamfilter wordt al die mail aangeduid als spam en dat klopt ook wel gezien de onderwerpregel.
    De mailserver draait bij een hoster, waar ik zowel de website als de maildienst heb ondergebracht.
    Kijk ik via Squirrelmail (mijn webmailprogramma) dan zie ik niets bijzonders.
    Nou kan die SPAM op zich me niet deren, in principe wordt alles gefilterd en ik zie het alleen maar (als SPAM gemarkeerd) omdat ik het niet meteen automatisch laat deleten.
    Waar ik me een beetje zorgen over maak (nou ja, beetje….) is dat er op de een of andere manier vanaf mijn mailserver spam wordt verspreid. Daar zit ik uiteraard niet op te wachten. Kan iemand daar wat over zeggen?
    Ik heb een stukje uit de bron van een van die berichten hieronder geplakt, mogelijk geeft dat de nodige info:
    [quote:b9b5c6fbe1]Return-path: <"mijn e-mailadres">
    Envelope-to: "mijn e-mailadres"
    Delivery-date: Tue, 30 Dec 2008 11:50:25 +0100
    Received: from mail by srv03.XXX.com with spam-scanned (Exim 4.67)
    (envelope-from <"mijn e-mailadres">)
    id 1LHcB5-00054L-Sp
    for "mijn e-mailadres"; Tue, 30 Dec 2008 11:50:25 +0100
    Received: from localhost by srv03.XXX.com
    with SpamAssassin (version 3.2.3);
    Tue, 30 Dec 2008 11:50:25 +0100
    From: <"mijn e-mailadres">
    To: <"mijn e-mailadres">
    Subject: LET OP mogelijk *SPAM* Be a non-stop pumping machine
    X-Spam-Flag: YES
    X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08 ) on srv03.XXX.com
    X-Spam-Level: **************
    X-Spam-Status: Yes, score=14.3 required=5.2 tests=BAYES_99,HTML_IMAGE_ONLY_16,
    HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MISSING_DATE,MISSING_MID,
    URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SBL,URIBL_WS_SURBL
    autolearn=spam version=3.2.3
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="———-=_4959FCF1.FB230851"
    Message-Id: <E1LHcB5-00054L-Sp@srv03.XXX.com>[/quote:b9b5c6fbe1]

    Ik heb de aanduiding van mijn emailadres en de server voor alle zekerheid vervangen door 'mijn e-mailadres' en 'XXX'


    Edit: Achteraf realiseer ik me dat ik dit beter bij beveiliging en privacy onder had kunnen brengen. Mogelijk kan de moderator dit onderwerp verplaatsen.
  • [quote:f4e29ccd31="helicop"]Edit: Achteraf realiseer ik me dat ik dit beter bij beveiliging en privacy onder had kunnen brengen. Mogelijk kan de moderator dit onderwerp verplaatsen.[/quote:f4e29ccd31]

    Bij deze…
  • [quote:e030934d81="Leo S"][quote:e030934d81="helicop"]Edit: Achteraf realiseer ik me dat ik dit beter bij beveiliging en privacy onder had kunnen brengen. Mogelijk kan de moderator dit onderwerp verplaatsen.[/quote:e030934d81]
    Bij deze…[/quote:e030934d81]
    Dank. :?
  • De grote vraag is of de mail via jouw mailserver wordt verstuurd, of dat enkel jouw e-mailadres wordt gebruikt als afzender.

    Zijn de headers die je postte alle headers? Deze received-headers (waaraan je kan zien via welke mailservers een verstuurde e-mail gaat) lijken alleen van SpamAssassin af te komen.
    [quote:6706936646]Received: from mail by srv03.XXX.com with spam-scanned (Exim 4.67)
    (envelope-from <"mijn e-mailadres">)
    id 1LHcB5-00054L-Sp
    for "mijn e-mailadres"; Tue, 30 Dec 2008 11:50:25 +0100
    Received: from localhost by srv03.XXX.com
    with SpamAssassin (version 3.2.3);
    Tue, 30 Dec 2008 11:50:25 +0100[/quote:6706936646]
  • Dat wat er in mijn posting stond is wat ik zie als ik in Vista Mail kijk naar de eigenschappen van het bericht onder 'Detail' zonder het te openen.
    Als ik kijk naar "bron van het bericht", dan zie ik:
    [quote:362409ee48]
    Return-path: <"mijn-emailadres">
    Envelope-to: "mijn-emailadres"
    Delivery-date: Tue, 30 Dec 2008 11:50:25 +0100
    Received: from mail by srv03.lambonet.com with spam-scanned (Exim 4.67)
    (envelope-from <"mijn-emailadres">)
    id 1LHcB5-00054L-Sp
    for "mijn-emailadres"; Tue, 30 Dec 2008 11:50:25 +0100
    Received: from localhost by srv03.XXXX.com
    with SpamAssassin (version 3.2.3);
    Tue, 30 Dec 2008 11:50:25 +0100
    From: <"mijn-emailadres">
    To: <"mijn-emailadres">
    Subject: LET OP mogelijk *SPAM* Be a non-stop pumping machine
    X-Spam-Flag: YES
    X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on srv03.XXX.com
    X-Spam-Level: **************
    X-Spam-Status: Yes, score=14.3 required=5.2 tests=BAYES_99,HTML_IMAGE_ONLY_16,
    HTML_MESSAGE,HTML_SHORT_LINK_IMG_2,MIME_HTML_ONLY,MISSING_DATE,MISSING_MID,
    URIBL_AB_SURBL,URIBL_JP_SURBL,URIBL_OB_SURBL,URIBL_SBL,URIBL_WS_SURBL
    autolearn=spam version=3.2.3
    MIME-Version: 1.0
    Content-Type: multipart/mixed; boundary="———-=_4959FCF1.FB230851"
    Message-Id: <E1LHcB5-00054L-Sp@srv03.XXX.com>
    Date: Tue, 30 Dec 2008 11:50:25 +0100

    This is a multi-part message in MIME format.

    ————=_4959FCF1.FB230851
    Content-Type: text/plain; charset=iso-8859-1
    Content-Disposition: inline
    Content-Transfer-Encoding: 8bit

    Spam detection software, running on the system "srv03.XXX.com", has
    identified this incoming email as possible spam. The original message
    has been attached to this so you can view it (if it isn't spam) or label
    similar future email. If you have any questions, see
    the administrator of that system for details.

    Content preview: Please do not reply to this email. To contact TG Madison Inc,
    please visit us This email message was sent to "mijn-emailadres". If you
    do not wish to receive further communications from TG Madison Inc, click here
    to unsubscribe. […]

    Content analysis details: (14.3 points, 5.2 required)

    pts rule name description
    —- ———————- ————————————————–
    3.5 BAYES_99 BODY: Bayesian spam probability is 99 to 100%
    [score: 1.0000]
    0.0 MISSING_MID Missing Message-Id: header
    0.0 MISSING_DATE Missing Date: header
    0.0 HTML_MESSAGE BODY: HTML included in message
    1.5 MIME_HTML_ONLY BODY: Message only has text/html MIME parts
    1.5 HTML_IMAGE_ONLY_16 BODY: HTML: images with 1200-1600 bytes of words
    1.9 URIBL_AB_SURBL Contains an URL listed in the AB SURBL blocklist
    [URIs: lehtirix.cn]
    1.5 URIBL_WS_SURBL Contains an URL listed in the WS SURBL blocklist
    [URIs: lehtirix.cn]
    1.5 URIBL_JP_SURBL Contains an URL listed in the JP SURBL blocklist
    [URIs: lehtirix.cn]
    1.5 URIBL_OB_SURBL Contains an URL listed in the OB SURBL blocklist
    [URIs: lehtirix.cn]
    1.5 URIBL_SBL Contains an URL listed in the SBL blocklist
    [URIs: lehtirix.cn]
    0.0 HTML_SHORT_LINK_IMG_2 HTML is very short with a linked image

    The original message was not completely plain text, and may be unsafe to
    open with some email clients; in particular, it may contain a virus,
    or confirm that your address can receive spam. If you wish to view
    it, it may be safer to save it to a file and open it with an editor.


    ————=_4959FCF1.FB230851
    Content-Type: message
    fc822; x-spam-type=original
    Content-Description: original message before SpamAssassin
    Content-Disposition: attachment
    Content-Transfer-Encoding: 8bit

    Received: from [72.236.239.79]
    by srv03.XXX.com with esmtp (Exim 4.67)
    (envelope-from <"mijn-emailadres">)
    id 1LHcAx-0004yd-Q0
    for "mijn-emailadres"; Tue, 30 Dec 2008 11:50:23 +0100
    To: <"mijn-emailadres">
    Subject: Be a non-stop pumping machine
    From: <"mijn-emailadres">
    MIME-Version: 1.0
    Importance: High
    Content-Type: text/html

    <html>
    <head>
    <meta http-equiv="Content-Language" content="us">
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    </head>
    <body background="http://images.lehtirix.cn/snow.gif">
    <p align="center"><a href="http://fth.lehtirix.cn/">
    <img border="0" src="http://images.lehtirix.cn/new.jpg"></a></p>
    <div align="center">
    <table border="0" width="500" cellspacing="0" cellpadding="0" bgcolor="#B7D4FF" style="font-family: Tahoma; font-size: 10pt">
    <tr>
    <td>
    <blockquote><p><br>
    Please do not reply to this email. To contact TG Madison Inc, please
    visit <a href="http://iso.lehtirix.cn/">us</a></p>
    <hr><p><font size="1">This email message was sent to "mijn-emailadres". If
    you do not wish to receive further communications from TG Madison Inc,
    click <a href="http://dacuziz.lehtirix.cn/unsubscribe.php?msgid=8e54b89f1133df911ac73e32d9">
    here</a> to unsubscribe.
    </font></p><p><font size="1">If you've experience any difficulty
    in being removed from a TG Madison Inc email list, click <a href="http:/
    iw.lehtirix.cn/account.php?msgid=f460e1280d2379c0afa9a7160bead">
    here</a> for personalized help.</font></p><hr>
    <p><font size="1">Copyright © 2008 TG Madison Inc, Inc. All rights reserved.<br>
    3340 Peachtree Rd NE, Atlanta, GA 30326</font></p></blockquote>
    </td>
    </tr>
    </table>
    </div>
    </body>
    </html>

    ————=_4959FCF1.FB230851–
    [/quote:362409ee48]

    Ook in deze quote heb ik mijn echte e-mailadres vervangen door "mijn-emailadres" en de servernaam door 'XXX'
    Tot vandaag ontving ik deze en soortgelijke mailtjes ongeveer eens per 20 minuten.
    Sinds vanmorgen is het min of meer stil. Vandaag slechts twee van die mailtjes ontvangen.

    Alvast bedankt voor de moeite.
  • En een voorspoedig 2009 aan iedereen.

    Ook de spammers zijn weer wakker heb ik ontdekt.
    De spamberichten komen weer met regelmaat binnenrollen.
    Ik ben er echter nog steeds niet achter of mijn systeem gebruikt wordt of dat het toch van buiten af komt.
    Zou iemand mogelijk die vraag alsnog voor me kunnen beantwoorden aan de hand van bovenstaande info?
  • Ik denk niet dat je je zorgen hoeft te maken. (Afgezien van het feit dat je spam gestuurd krijgt)

    Volgens mij is het volgende aan de hand: je hostingprovider heeft een spamfilter (Spamassassin, versie 3.2.3), waar jouw mailserver dus ook gebruik van maakt.

    Als er een virus wordt aangetroffen stuurt jouw mailserver (dus met jouw adres) je een mailtje met als onderwerp: LET OP mogelijk *SPAM* en daarachter het oorspronkelijke onderwerp. In het mailtje staat de tekst: "Spam detection software, running on the system…." etc. en daarna een preview van de oorspronkelijke tekst en een overzicht van de analyse van spamassassin. De oorspronkelijke mail, die dus waarschijnlijk spam is, wordt als bijlage bijgevoegd.

    Je kunt het mailtje dus rustig openen. De bijlage natuurlijk niet!

    In het tweede deel van je quote kun je zien dat het bericht dat in de bijlage zit (de echte spammail dus) is verstuurd van een computer met als ip-adres 72.236.239.79. Dit is een Amerikaans adres.

    Ik heb nog even verder gekeken en de genoemde TG Madison Inc. bestaat echt op het genoemde adres en is een "advertising company". Dat betekent natuurlijk niet zonder meer dat ze er werkelijk achter zitten. HTML-onderdelen van het spambericht komen van lehtirix.cn. Even gekeken en ja hoor, het gaat om pillen die geslachtsdelen moeten vergroten.

    Ik zou even met je hostingprovider praten om e.e.a. bevestigd te krijgen. Misschien zijn er ook andere instellingen in je mailserver mogelijk, die zorgen dat het duidelijker is wie wat verstuurt.

Beantwoord deze vraag

Dit is een gearchiveerde pagina. Antwoorden is niet meer mogelijk.