Portaal Portaal Pingviini veeb foorumi pealeht
  Viki  |  IRC  |  Otsing  |  Küsimused ja vastused  |  Profiil  |  Privaatsõnumite vaatamiseks logi sisse  | Logi sisse või Registreeru
<empty>
Vaata järgmist teemat
Vaata eelmist teemat

Postita uus teemaVasta teemale
Autor Sõnum
--IN--
Pingviini külastaja
Pingviini külastaja


Vanus: 60
Liitunud: 05.08.2008
Postitused: 21


blank.gif
postituspostitatud: 06.08.2008, 12:28  postituse pealkiri:  Spämmist jälle  

Tere,

Probleem siis selline:

Nagu ka Spott siin ühes temas kirjutas - iga öö saadab keegi kuskil välja massiliselt kirju,
mille saatja oleks nagu keegi meie meiliserverist.
Täna öösel sain näiteks tagasi miski 2500 veateadet stiilis " your message could not be delivered to one or more recipients..."

Ja nii käib see asi nädalaste vaheaegadega ühel või kahel ööl nädalas.
Saatja aadressiks on kord üks kord teine meie meiliserveri kasutaja meliaadress.

Olen üritanud aru saada kes on selle pasarahe taga - seni edutult.
kas saadab keegi minu serverist läbi mingi turvaaugu saasta minu nimel laiali, teeb seda mõni sisevõrgus
olev nakatunud win masin, või on tegemist lihtsalt võltsitud saatjaadressiga.
Tagasitulnud kirja päisest ma kohe kuidagi välja ei loe, et minu masina IP seal figureeriks.
Sisevõrgust nakatunud win masina saab vast ka välistada, sest viimasel ajal ühendan öösel sisevõrgu serveri küljest lahti ...

Kõikidel tagastatud kirjadel on üks ühine tunnus:
"X-Mailer: Microsoft Outlook Express 6.00.2900.3138"
Outlook Expressi jällegi meie majas ei kasuta - on Thunderbird.

Mul on mõistus otsas, kust hatakata pahalast otsima.
Mis ma olen tegemata jätnud või valesti teinud, et selline oluord võimalikuks on saanud?


Panen siia ka paari tagastatud kirja päise - ehk oskab keegi sealt midagi välja lugeda.
Minu server on mail.xxxxxxx.ee ja ip xxx.xx.xxx.xx

Palun abi. Endal ei käi mõistus üle.
--
--Ilmar--


**************************
rom MAILER-DAEMON Wed Jul 30 19:28:42 2008
Return-Path: <>
X-Original-To: bla@bla.ee
Delivered-To: bla@bla.ee
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail.bla.ee (Postfix) with ESMTP id 69ADE13020F
for <bla@bla.ee>; Wed, 30 Jul 2008 19:28:42 +0300 (EEST)
X-Virus-Scanned: amavisd-new at mail.bla.ee
Received: from mail.bla.ee ([127.0.0.1])
by localhost (mail.bla.ee [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id XW7Zx6JHM84j for <bla@bla.ee>;
Wed, 30 Jul 2008 19:27:41 +0300 (EEST)
Received: by mail.bla.ee (Postfix, from userid 429)
id A18A3130208; Wed, 30 Jul 2008 19:27:26 +0300 (EEST)
Received: from HQ-DC01.ne.local (mx.neftegazgroup.ru [81.211.44.20])
by mail.bla.ee (Postfix) with ESMTP id 68199130206
for <bla@ba.ee>; Wed, 30 Jul 2008 19:27:18 +0300 (EEST)
From: postmaster@ne.local
To: bla@bla.ee
Date: Wed, 30 Jul 2008 20:28:44 +0400
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="9B095B5ADSN=_01C8F241142A109A00000A17HQ?DC01.ne.local"
X-DSNContext: 335a7efd - 4523 - 00000001 - 80040546
Message-ID: <GU0ULiEoN000092f5@HQ-DC01.ne.local>
Subject: Delivery Status Notification (Failure)

This is a MIME-formatted message.
Portions of this message may be unreadable without a MIME-capable mail program.

--9B095B5ADSN=_01C8F241142A109A00000A17HQ?DC01.ne.local
Content-Type: text/plain; charset=unicode-1-1-utf-7

This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

bry40@neftegazgroup.ru




--9B095B5ADSN=_01C8F241142A109A00000A17HQ?DC01.ne.local
Content-Type: message/delivery-status

Reporting-MTA: dns;HQ-DC01.ne.local
Received-From-MTA: dns;190-172-90-107.speedy.com.ar
Arrival-Date: Wed, 30 Jul 2008 20:28:43 +0400

Final-Recipient: rfc822;bry40@neftegazgroup.ru
Action: failed
Status: 5.1.1

--9B095B5ADSN=_01C8F241142A109A00000A17HQ?DC01.ne.local
Content-Type: message/rfc822

Received: from 190-172-90-107.speedy.com.ar ([10.0.0.1]) by HQ-DC01.ne.local with Microsoft

SMTPSVC(6.0.3790.3959);
Wed, 30 Jul 2008 20:28:43 +0400
Message-ID: <002401c8f261$04d50716$8651e7b2@uopwo>
From: =?koi8-r?B?59LFws7FzsvPIA==?= <bla@bla.ee>
To: <bry40@neftegazgroup.ru>
Subject: =?koi8-r?B?Rnc6IPfSxc3Fzs7PxSDSwdrSxdvFzsnF?=
Date: 30 Jul 2008 12:16:07 -0400
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="----=_NextPart_000_0021_01C8F261.04D17419"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
Return-Path: bla@bla.ee
X-OriginalArrivalTime: 30 Jul 2008 16:28:43.0953 (UTC) FILETIME=[5574DA10:01C8F261]

**************************
From MAILER-DAEMON Wed Jul 30 19:45:28 2008
Return-Path: <>
X-Original-To: bla@bla.ee
Delivered-To: bla@bla.ee
Received: from localhost (localhost.localdomain [127.0.0.1])
by mail.bla.ee (Postfix) with ESMTP id 5B3ED13020A
for <bla@bla.ee>; Wed, 30 Jul 2008 19:45:28 +0300 (EEST)
X-Virus-Scanned: amavisd-new at mail.bla.ee
Received: from mail.bla.ee ([127.0.0.1])
by localhost (mail.bla.ee [127.0.0.1]) (amavisd-new, port 10024)
with LMTP id qtT2LC7DQJ+1 for <bla@bla.ee>;
Wed, 30 Jul 2008 19:45:00 +0300 (EEST)
Received: by mail.bla.ee (Postfix, from userid 429)
id BE03A130204; Wed, 30 Jul 2008 19:36:25 +0300 (EEST)
Received: from mx-8.masterhost.ru (mx-8.masterhost.ru [83.222.25.108])
by mail.bla.ee (Postfix) with SMTP id 999AD130203
for <bla@bla.ee>; Wed, 30 Jul 2008 19:36:11 +0300 (EEST)
Received: (qmail 90210 invoked for bounce); 30 Jul 2008 16:28:54 -0000
Date: 30 Jul 2008 16:28:54 -0000
From: MAILER-DAEMON@mx-8.masterhost.ru
To: bla@bla.ee
Subject: failure notice
Message-Id: <20080730163611.999AD130203@mail.bla.ee>

Hi. This is the qmail-send program at mx-8.masterhost.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<katia@goa.ru>:
user does not exist, but will deliver to /v/21/211/21138/domains/goa.ru/ekaterina/
can not open new email file errno=2

file=/v/21/211/21138/domains/goa.ru/ekaterina/Maildir/tmp/1217435334.89600.mx-8.masterhost.ru,S=

3291
system error

--- Below this line is a copy of the message.

Return-Path: <bla@bla.ee>
Received: (qmail 89596 invoked from network); 30 Jul 2008 16:28:49 -0000
Received: from unknown (HELO pool-71-246-115-20.nycmny.east.verizon.net) (71.246.115.20)
by mx1.masterhost.ru with SMTP; 30 Jul 2008 16:28:48 -0000
Message-ID: <000601c8f260$07b51a09$86369f9c@wmbop>
From: "brnaby alena" <bla@bla.ee>
To: <katia@goa.ru>
Subject: =?koi8-r?B?68zJ2s3BIMvSwdPJ19nNIMTF19Xby8HNINDPIDItMyDMydTSwSDawQ==?=
=?koi8-r?B?INLB2iDOwSD36eTl7w==?=
Date: Wed, 30 Jul 2008 14:37:27 +0000
MIME-Version: 1.0
Content-Type: text/plain;
charset="koi8-r"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2900.3138
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.3198
X-SpamTest-Envelope-From: bla@bla.ee
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 4507 [July 29 2008]
X-SpamTest-Info: helo_type=3
X-SpamTest-Info: {FROM: real name looks suspicious}
X-SpamTest-Info: {RECEIVED: dynamic ip detected}
X-SpamTest-Method: none
X-SpamTest-Rate: 20
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: not_detected
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0278], KAS30/Release




Viimati muutis --IN-- 27.07.2009, 23:14; muudetud 1 kord
hr.john
Pingviini aktivist
Pingviini aktivist



Liitunud: 12.06.2006
Postitused: 181
Asukoht: Eesti

kiribati.gif
postituspostitatud: 06.08.2008, 13:17  postituse pealkiri:  (teema puudub)  

Nii :

Received: from 190-172-90-107.speedy.com.ar ([10.0.0.1]) by HQ-DC01.ne.local with Microsoft

viitab et mx.neftegazgroup.ru [81.211.44.20] sisevõrgus see genereeritaxe.

Ju siis teie e-mailid on lekkinud või koostööpartneri läpakas on viiruse külge saanud.
Sul tuleks hoopis kirjutada 190.172.90.107 adminile või ise see masin maha murda ( DHCPga on see IP saadud ju nüüd seal mingi muu masin taga) ja viirus eemaldada. Sama ka
Received: from unknown (HELO pool-71-246-115-20.nycmny.east.verizon.net) (71.246.115.20).

Aga võid ka kirjutada nendele RUS adminnidele, et nad igasusgu kirju sulle ei relayks.


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 06.08.2008, 16:39  postituse pealkiri:  (teema puudub)  

ma ei saa küll täpselt aru, mis teenust see neftegazgroup.ru pakub, aga tundub, et nende server on ehk nakatund mingi pasaga, mis suvalisi aadresse kasutades saadab spämmi laia ilma..

kui nende hostmaster pole nõus asja uurima ja nende meiliserver saadab ohtramalt seda jama sinu suunas, siis keera lihtsalt bounce saatva serveri jaoks oma port 25 kinni ja ehk jääb vait

_________________
Image Image Image

antik2
Vana Pingviin
Vana Pingviin



Liitunud: 09.10.2006
Postitused: 634

Distributsioon: Big Strong D...
blank.gif
postituspostitatud: 06.08.2008, 16:59  postituse pealkiri:  Re: Spämmist jälle  

--IN-- kirjutas:

X-Original-To: ilmar.naaber@jpehitus.ee
Delivered-To: ilmar.naaber@jpehitus.ee



Levitage vähem oma mailiaadresseid ja käige vähem pornosaitidel, siis tuleb ka vähem spämmi....


sander85
Vana Pingviin
Vana Pingviin


Vanus: 39
Liitunud: 08.08.2005
Postitused: 4359
Asukoht: Tallinn (vahel ka Virtsu)
Distributsioon: Mageia, Debian, CentOS
estonia.gif
postituspostitatud: 06.08.2008, 17:09  postituse pealkiri:  (teema puudub)  

heh, eks ta nii levibki:

http://www.google.ee/search?q=ilmar.naaber%40jpehitus.ee+&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:et:official&client=firefox-a Smile

_________________
Image Image Image

johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 06.08.2008, 17:19  postituse pealkiri:  (teema puudub)  

sander85 kirjutas:
ma ei saa küll täpselt aru, mis teenust see neftegazgroup.ru pakub, aga tundub, et nende server on ehk nakatund mingi pasaga, mis suvalisi aadresse kasutades saadab spämmi laia ilma..

kui nende hostmaster pole nõus asja uurima ja nende meiliserver saadab ohtramalt seda jama sinu suunas, siis keera lihtsalt bounce saatva serveri jaoks oma port 25 kinni ja ehk jääb vait


Ei paku ta mingit teenust see on lihtsalt vaikimisi leht mida pole vahetatud kuna neftegazgroup.ru domeen resolvib 1gb.ru (service provaider) serverisse. Nagu ma aru saan siis ilmselt 1gb.ru hallatav meiliserver ei leia sellist kasutajanime ja saadabki selle tagasi saatjale.

Mis ei tähenda kindlasti mitte seda, et need kirjad saabuksid teema algataja serverist. Ma võin saata suvalise meili mille saatja aadress on näiteks ilves[at]riigikantselei.ee ja kui mingi jama ilmneb tuleb see kiri robinal riigikantselei meiliserverisse tagasi. Suvalise ehk olematu saatja aadressi kasutamine ei toimi kuna meiliserverid kontrollivad domeeni olemasolu.

On ikka elu küll kui enam pornosaitidel ka ei saa käia:)
Neile *ru adminidele peaks ikka vist teatama, et sina neid ei saada ehk leiavad siis ise päti üles.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

--IN--
Pingviini külastaja
Pingviini külastaja


Vanus: 60
Liitunud: 05.08.2008
Postitused: 21


blank.gif
postituspostitatud: 06.08.2008, 22:22  postituse pealkiri:  (teema puudub)  

hr.john kirjutas:
Received: from 190-172-90-107.speedy.com.ar ([10.0.0.1]) by HQ-DC01.ne.local with Microsoft

Miks Sa paljudest "Received: from" ridadest just selle välja valisid? Kuidas ma aru saan, et just see on masin millest kiri väljus?

sander85 kirjutas:

Eks ta oli jah natuke mõtlematu need siia avalikult panna ...
Praeguseks kustutasin alias tabelist perenimedega meiliaadressid ära, seega selle meiliaadressiga pole enam neil midagi peale hakata.

--
--Ilmar--


johnsmith
Vana Pingviin
Vana Pingviin


Vanus: 50
Liitunud: 24.07.2006
Postitused: 714
Asukoht: Universum
Distributsioon: Ubuntu/Gentoo/FreeBSD
finland.gif
postituspostitatud: 06.08.2008, 23:15  postituse pealkiri:  (teema puudub)  

Pakun välja, ilma mingite sellealaste kogemusteta, et sealt Argentiina ???? meiliserverist saabus kiri Venemaale ja Venemaalt edasi kuna sellist kasutajat kohalikus meiliserveris ei leidunud teema algataja meiliserverisse mis resolviti vastava dns serveri mx struktuuride abil.

Kuna meiliserverid saadavad kirja otse järgmisele sihtpunkt serverile ilma peatusteta vahepeal asuvates meiliserverites (ip korrusel loomulikult läbitakse erinevaid ruutereid) on tõenäoline, et kas mingi selle Argentiina võrgu taga olev masin on nakatunud või on server ise auklik.

_________________
"Thinking is the hardest work there is, which is probably the reason why so few engage in it" - Henry Ford

hr.john
Pingviini aktivist
Pingviini aktivist



Liitunud: 12.06.2006
Postitused: 181
Asukoht: Eesti

kiribati.gif
postituspostitatud: 07.08.2008, 09:17  postituse pealkiri:  (teema puudub)  

--IN-- kirjutas:
hr.john kirjutas:
Received: from 190-172-90-107.speedy.com.ar ([10.0.0.1]) by HQ-DC01.ne.local with Microsoft

Miks Sa paljudest "Received: from" ridadest just selle välja valisid? Kuidas ma aru saan, et just see on masin millest kiri väljus?

sander85 kirjutas:

Eks ta oli jah natuke mõtlematu need siia avalikult panna ...
Praeguseks kustutasin alias tabelist perenimedega meiliaadressid ära, seega selle meiliaadressiga pole enam neil midagi peale hakata.

--
--Ilmar--


Peaks olema nii, et iga maili saatja paneb oma info ette poole.
et mida all pool seda varasem saatja, muidugi on väike võimalus et see on open-relay aga tegelikult mitte, kuna on dünaamilise IPga, st kellegi tööjaam (190-172-90-107.speedy.com.ar) saatis kirja mx.neftegazgroup.ru [81.211.44.20] (mis ei kontrolli DNSi vastavust vist ka open relay) ja see saatis alles sulle tagasi.


Kontrolli:
http://www.mailradar.com/openrelay/
http://www.dnsgoodies.com/


Tõesti spämmi saatjad ja viiruse kirjutajad on ikka väga nutikad. Vahel isegi vastavad RE: sinu kirjale ja panevad alla mingi "tähtsa dokumendi" viirusega.


Näita (aja järgi):      
Postita uus teemaVasta teemale


Vaata järgmist teemat
Vaata eelmist teemat
Powered by phpBB2 Plus based on phpBB © 2001/7 phpBB Group