Virus mail fra eget domæne?

tjaaa det er nok fra en som har dig i dit adressekartotek som er blevet ramt.

Tjek mail-headeren... Der kan du se hvor mailen stammer fra

bare et skud i tågen

kunne det ikke skyldes at du har åben relay på din mailserver

MC

Der er ingen jeg kender der har fået en lignende mail, og som nævnt ovenfor eksistere "fra" adressen ikke???  Og 20stk om dagen???

Jeg ved ikke hvad åben relay er, men min mail server er hostet et andet sted og jeg glemte at nævne at "navnet" på mailen altså det der stpr efter "med venlig hilsen" ændre sig hele tiden...

Mail headeren?  Hvor er det henne?  Når jeg åbner mailen og dobbeltklikker på afsender adressen står der ????@mitdomæne.dk hvilket ikke eksistere...

Hvis du bruger OE kan du dobbeltklikke på mailen, så den åbner sig i et nyt vindue. Derefter skulle du kunne vælge Brevhoved et-eller-andet sted, og så skulle der komme noget lign. dette frem:

Received: from vestmb100.tdk.dk ([10.106.105.88]) by vestmb203a.tdk.dk with Microsoft SMTPSVC(5.0.2195.2966);
    Fri, 14 Nov 2003 14:59:26 +0100
Received: from conbr111.tdk.dk ([10.74.47.32]) by vestmb100.tdk.dk with Microsoft SMTPSVC(5.0.2195.5329);
    Fri, 14 Nov 2003 14:59:25 +0100
Received: from conbr111.tdk.dk ([10.74.47.32]) by conbr111.tdk.dk with Microsoft SMTPSVC(5.0.2195.2966);
    Fri, 14 Nov 2003 14:59:25 +0100
Received: from smtpsrv11.tdc.dk ([192.168.163.32]) by 10.74.47.32 with InterScan Messaging Security Suite; Fri, 14 Nov 2003 14:59:23 +0100
Received: from mxbackup.webpartner.dk ([195.184.96.22]) by smtpsrv11.tdc.dk with Microsoft SMTPSVC(5.0.2195.5329);
    Fri, 14 Nov 2003 15:00:11 +0100
Received: from eksperten.dk (www.exp.dk [195.184.98.141])
    by mxbackup.webpartner.dk (Postfix) with ESMTP id C9E4DDFE21
    for <XXXXX@tdc.dk>; Fri, 14 Nov 2003 14:59:22 +0100 (CET)
Received: by eksperten.dk (Postfix, from userid 48)
    id 120AF19F348; Fri, 14 Nov 2003 14:59:12 +0100 (CET)
To: "angak" <XXXXX@tdc.dk>
Subject: Programmer : E-mail : Andre :Virus mail fra eget domæne?
From: "Eksperten mailrobot" <mailrobot@eksperten.dk>
Content-Type: text/plain; charset=iso-8859-1
X-Mailer: Eksperten.dk mailrobot
Message-Id: <20031114135912.120AF19F348@eksperten.dk>
Date: Fri, 14 Nov 2003 14:59:12 +0100 (CET)
Return-Path: apache@eksperten.dk
X-OriginalArrivalTime: 14 Nov 2003 14:00:11.0203 (UTC) FILETIME=[9E892130:01C3AAB7]

Prøv at kopiere dit herind...

Jeg får hundredvis af spammails der kommer fra min egen adresse (tilsyneladende). Men i virkeligheden indsætter de bare måladressen i "fra"-feltet. Det er selvfølgelig fuldstændigt fjollet, for man sender jo ikke ret meget mail til sig selv. Og de er derfor nemme at sortere fra.

For at se headeren, så højreklik på mailen, vælg "egenskaber" og derefter "detaljer". Så kan du se den rå tekst, som viser hvor mailen kommer fra.

Her er et eksempel:

Return-Path: <Leslie.Hughes@name-anderson.com>
Received: from w1.netcbr.com ([203.192.162.236]) by fepB.post.tele.dk
          (InterMail vM.5.01.06.05 201-253-122-130-105-20030824) with ESMTP
          id <20031114112839.PHZP16604.fepB.post.tele.dk@w1.netcbr.com>
          for <xxx@post5.tele.dk>; Fri, 14 Nov 2003 12:28:39 +0100
From: "Leslie" <Leslie.Hughes@name-anderson.com>
Message-Id: <200311141128.A4379370D831@w1.netcbr.com>
To: xxx@post5.tele.dk
Subject: Guess, you losers its blatantly obvious don't need my business
Date: Fri, 14 Nov 2003 03:28:08 -0800
MIME-Version: 1.0
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_AF49_B4D3FB57.9CE434D4"

Og lad lige være med at dobbeltklikke på mailen. Der er en god chance for at du aktiverer virussen på den måde. Og hvis det er en spammail, så får afsenderen at vide, at din emailadresse er aktiv, og så får du endnu mere spam.

Jeg bruger Outlook og ikke OE...  Der har jeg klikket på view->message header.  Der sker bare ikke noget ud over "subject" bliver vist eller fjernet...

Ok her fandt jeg den:

Return-Path: <john@jesperjensen.dk>
X-Original-To: jj@jesperjensen.dk
Delivered-To: jj@jesperjensen.dk
Received: from mx2.b-one.net (customer-smtp.b-one.nu [10.0.0.24])
    by mail1.b-one.net (Postfix) with ESMTP id AC777FC036
    for <jj@jesperjensen.dk>; Wed, 12 Nov 2003 13:13:17 +0100 (CET)
Received: from localhost (localhost.localdomain [127.0.0.1])
    by post-amavis (Postfix) with ESMTP id 66AB0116F40
    for <jj@jesperjensen.dk>; Wed, 12 Nov 2003 13:13:17 +0100 (CET)
Received: from mx2.b-one.net ([127.0.0.1])
by localhost (mx2 [127.0.0.1]) (amavisd-new, port 10024) with ESMTP
id 01054-05 for <jj@jesperjensen.dk>; Wed, 12 Nov 2003 13:13:17 +0100 (CET)
Received: from localhost (cpe.atm2-0-51109.0x50a49012.virnxx14.customer.tele.dk [80.164.144.18])
    by mx2.b-one.net (Postfix) with SMTP id CA7BA116EEA
    for <jj@jesperjensen.dk>; Wed, 12 Nov 2003 13:13:07 +0100 (CET)
From: john@jesperjensen.dk
To: Jj <jj@jesperjensen.dk>
Reply-To: john@jesperjensen.dk
X-Priority: 1 (High)
Subject: don't be late!                              qeiqaoma
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----------4D3B08A8009ADF5"
Message-Id: <20031112121307.CA7BA116EEA@mx2.b-one.net>
Date: Wed, 12 Nov 2003 13:13:07 +0100 (CET)

Så kan du højreklikke på mailen og vælge Indstillinger (Preferences?)... Så står headeren i bunden af det vindue der kommer frem

Øhhh.... Ligner det ikke den kommer fra hans egen server? Der er da ingen andre globale IP'er? Kører du et AV-program?

Hvad er AV-program?

SOrry.... Antivirus... Er 80.164.144.18 din egen ip?

Hvis ikke du kender din IP så tryk START -> Run -> cmd
og skriv: ipconfig

Nå.... undskyld var lige lidt langsom!!!  Ja jeg køre Norton Anti virus

Nej, jeg har sat min egen indvendige ip på min maskine og min udvendige er: 80.165.193.102

Har du fast eller dynamisk IP?

Fast

"Received: from localhost (localhost.localdomain [127.0.0.1])"

Betyder det ikke at mailen kommer fra hans egen maskine ?

Det er bare ikke min egen ip på maskinen...

Jo, men det kan vel være en virus som har oprettet en SMTP-server på en inficeret computer... Den har jo trods alt IP'en 80.164.144.18, som IKKE er jesperkjensen's...

Jeg ville skyde på at de stammer fra en person på TDC Bredbånd boende i Virum.

Så der er ikke så meget at gøre eller???

Jo.... Mail headeren til abuse@post.tele.dk... Hvis det er en af deres kunder som har virus, så lukker de for net-forbindelsen indtil kunden har underskrevet en erklæring på at det ikke sker igen...

Ok det prøver jeg - ok tak for hjælpen

Jeg må hellere lige lægge et svar... =)