17. december 2005 - 11:19Der er
15 kommentarer og 2 løsninger
Er min mailserver begynt at sende spam ud ?
Jeg er begyndt at få mystiske mail i min mailbox De ser sådan ud ?
Undeliverable: Returned mail: User unknown
System administrator
To : Thomas Mantzius Sent: lø 17-12-2005 08:28
Your message did not reach some or all of the intended recipients.
Subject: *** SPAM *** Very hot hardcore group sex Sent: 16-12-2005 17:02
The following recipient(s) could not be reached:
thomas@man101.freeserve.co.uk on 16-12-2005 17:02 The e-mail system was unable to deliver the message, but did not report a specific reason. Check the address and try again. If it still fails, contact your system administrator. < me.freeserve.com #5.0.0 X-Postfix; me.freeserve.com platform: said: 552 5.2.2 Over quota (in reply to RCPT TO command)>
Med de oplysninger du giver er det svært at sige præcist men det kunnne se sådan ud. Alternativet er at der er en anden der spoofer din adresse og udsender som om det kommer fra dig.
For at kunne sige dette præcist skal man have adgang til din mail server log og evt til en af mail headerne fra disse NDR beskeder
Her er Microsoft Mail Internet Headers Version 2.0 Received: from fitch5.uni2.net ([130.227.212.5]) by server_1.mantzius.com with Microsoft SMTPSVC(6.0.3790.0); Sat, 17 Dec 2005 08:28:11 +0100 Received: from omr-m07.mx.aol.com (omr-m07.mx.aol.com [64.12.138.19]) by fitch5.uni2.net (Postfix) with ESMTP id 6D59F110066 for <thomas@mantzius.com>; Sat, 17 Dec 2005 08:27:00 +0100 (CET) Received: from rly-yi03.mx.aol.com (rly-yi03.mail.aol.com [172.18.180.131]) by omr-m07.mx.aol.com (v107.10) with ESMTP id RELAYIN4-543a3bd653a0; Sat, 17 Dec 2005 02:25:25 -0400 Received: from localhost (localhost) by rly-yi03.mx.aol.com (8.8.8/8.8.8/AOL-5.0.0) with internal id CAA27170; Sat, 17 Dec 2005 02:25:24 -0500 (EST) Date: Sat, 17 Dec 2005 02:25:24 -0500 (EST) From: Mail Delivery Subsystem <MAILER-DAEMON@aol.com> Message-Id: <200512170725.CAA27170@rly-yi03.mx.aol.com> To: <thomas@mantzius.com> MIME-Version: 1.0 Content-Type: multipart/report; report-type=delivery-status; boundary="CAA27170.1134804324/rly-yi03.mx.aol.com" Subject: Returned mail: User unknown Auto-Submitted: auto-generated (failure) X-AOL-IP: 172.18.180.131 Return-Path: <> X-OriginalArrivalTime: 17 Dec 2005 07:28:11.0453 (UTC) FILETIME=[6F4516D0:01C602DB]
Jeg kikker på headeren senere i aften når jeg får til. hvad hedder din server og havd er dens IP (Jeg kan selvfølgelig læse i headerne, men pointen er at også det kan spoofes så jeg har behov for at vide hvad du har kandt tingene)
Der er ikke noget der giver røde flag i den header. Følgende muligheder står åbne.
Der kan været tale om en mail orm der spoofer og det er ikke nødvendigvis din mailserver der er problemet. Der kan stadig være tale om at din server er blevet kompromitteret og faktisk udsender disse mails.
har du mulighed for at konataterer om serveren faktisk sender. Du kunne opsætte programmet Windump til at sniffe udgående trafik på din maskine, oven i købet kan du tune windump til kun at tage port 25 (smtp og dermed det der sendes) og kun til den IP der giver problemer.
Surt, de kommer stadig Og jeg har også kørt flere antivirus mm bla stinger , men ingen orme eller virus både på arbejdsstationer og servere
Min firewall på min router logger rigtig mange "indbrudsforsøg" [se log] hvad gør jeg og er det i det hele taget mit udstyr der gør det ?????????
Sunday December 18, 2005 13:28:19 Blocked access attempt from 83.72.176.12:1642 to TCP port 445 Sunday December 18, 2005 13:28:22 Blocked access attempt from 83.72.176.12:1642 to TCP port 445 Sunday December 18, 2005 13:31:21 Blocked access attempt from 83.72.0.107:3464 to TCP port 445 Sunday December 18, 2005 13:31:24 Blocked access attempt from 83.72.0.107:3464 to TCP port 445 Sunday December 18, 2005 13:35:38 Blocked access attempt from 83.72.52.17:2176 to TCP port 445 Sunday December 18, 2005 13:35:41 Blocked access attempt from 83.72.52.17:2176 to TCP port 445 Sunday December 18, 2005 13:35:51 Blocked access attempt from 83.72.63.152:4513 to TCP port 445 Sunday December 18, 2005 13:35:53 Blocked access attempt from 83.72.63.152:4513 to TCP port 445 Sunday December 18, 2005 13:36:21 Blocked access attempt from 83.72.52.17:1442 to TCP port 445 Sunday December 18, 2005 13:40:41 Blocked access attempt from 83.72.239.104:4417 to TCP port 445 Sunday December 18, 2005 13:40:44 Blocked access attempt from 83.72.239.104:4417 to TCP port 445 Sunday December 18, 2005 13:41:01 Blocked access attempt from 220.168.158.10:38627 to UDP port 1030 Sunday December 18, 2005 13:41:01 Blocked access attempt from 220.168.158.10:38627 to UDP port 1032 Sunday December 18, 2005 13:41:01 Blocked access attempt from 220.168.158.10:38627 to UDP port 1031 Sunday December 18, 2005 13:41:01 Blocked access attempt from 220.168.158.10:38627 to UDP port 4257 Sunday December 18, 2005 13:41:49 Blocked access attempt from 83.51.216.113:11857 to TCP port 139 Sunday December 18, 2005 13:42:10 Blocked access attempt from 83.72.252.68:1285 to TCP port 139 Sunday December 18, 2005 13:42:13 Blocked access attempt from 83.72.252.68:1285 to TCP port 139 Sunday December 18, 2005 13:42:35 Blocked access attempt from 83.72.119.29:2455 to TCP port 445 Sunday December 18, 2005 13:42:39 Blocked access attempt from 83.72.119.29:2455 to TCP port 445
Der burde være lukket for open relay fra tele2 side. se nedenstående
port 25 er lukket for indgående trafik. Vi tilbyder, at du gratis kan benytte mail-relay.tele2.dk som sekundær mailserver og dermed alligevel få din egen mailserver. Den skal i praksis sættes på som MX record med lavere prioritet, til udgående post benyttes smtp.tele2.dk på port 25 som normalt.
Port 1030: Need for Speed 3- Hot Pursuit (TCP) Port 1031: Computer Associated FTP Server (TCP) Port 1032: ICQ (TCP) Port 445: Microsoft-DS (TCP/UDP) Port 139: NETBIOS Session Service (MS Windows) (TCP/UDP)
Jeg tror vi er ude i en af to ting, Enten er det er orm der føorsøger sig på de ovennævnte 5 porte, eller også har du spillet over nettet eller delt ressourcer ud til andre og forbindelserne hænger.
Jegtror ikke ovenstående har noget med dine mail ting at gøre.
Hvis man ser på ip èrne, så er de fleste fra isp, som jeg bruger nemlif tele2 ? det syntes jeg også er lidt mystisk men men min router/firewall lukker dem jo ude, så jeg skal måske bare leve med det og det forsvinder måske lige så pludselig som det kom \-)
Det kan være alt muligt som tele2 har kørende, kontakt dem og spøg hva d det drejer sig om. Mht til udsendelse af spam mail fra din server, så er du nødt til at konstatere om din mail faktisk udsender noget. Øvelsen at udsende mails der ser ud til at komme fra din server er meget let så du må forsøge at fange den i gerningen
Takker for hjælpen, lader detlige ligge i et par dage for at se udviklingen idette
takker igen
Synes godt om
Ny brugerNybegynder
Din løsning...
Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.
