Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Undelivered Mails verzonden via mijn e-mailadres?!

21-12-2011, 13:41 door Anoniem, 23 reacties
Beste forumleden.

Kreeg voor het eerst een aantal dagen geleden af en toe een mailtje "Mail System Error-Returned mail", maar die mail had ik niet verzonden, maar iemand anders via mijn e-mailadres. Maar ik dacht het zal wel een of ander foutje zijn, kan gebeuren. Tot mijn grote schrik kreeg ik vandaag, toen ik mijn postbak opende 124 mails!! Allemaal van dezelfde strekking:
- Mail Administrator / Mail System Error - Returned mail
- Mail Delivery Subsystem / Returned Mail, see transcript for details
- Mailer-Daemon@swip.net - Undeliverable Mail ( Want to buy weapons/Want to buy drugs/......)
Tijdens het typen van dit bericht zijn er alweer 4 dergelijke mails binnengekomen! Word er helemaal gestoord van en wil hier dus echt heel snel vanaf. Heb verschillende antispyware/malware programma's gedraaid, maar deze vinden niets, ook niet in de veilige modus. Ook mijn Antivirusprogramma (Avira) vindt niets. Laatstgeleden had deze wel iets gevonden van een "wachtwoordsteler", maar deze is na de scan verwijderd, als het goed is.
1. Hoe kom ik hier aan?
2. Hoe kom ik hier vanaf?

Heb al mijn wachtwoord gewijzigd bij UPC, maar de mails blijven komen.
Graag spoedige hulp!
Reacties (23)
21-12-2011, 14:19 door SirDice
Door Anoniem: 1. Hoe kom ik hier aan?
Een spammer heeft jouw e-mail adres als afzender gebruikt in een spamrun.

2. Hoe kom ik hier vanaf?
Niet. Meestal gaat het vanzelf over na een tijdje.

Heb al mijn wachtwoord gewijzigd bij UPC, maar de mails blijven komen.
Daar heeft het ook niets mee te maken.
21-12-2011, 15:25 door Rubber Bug
In het verleden is het ook gebruikt om je te verleiden het meegestuurde attachment te openen waar dan een virus in kan zitten. Gelijk verwijderen die mailtjes. Een 'Undeliverable Mail'-melding komt vrijwel direct nadat jij het bericht verzonden hebt, dus als jij plotseling van die mails krijgt, weet je dat er stront aan de knikker is...
21-12-2011, 15:31 door Preddie
jou email adres is gewoon ergens publiekelijk bekend en een spammer heeft daar nu misbruik van gemaakt (vandaar dat privacy en een bewust omgang met gegevens belangrijk is) Hoe of waar de spammer je adres vandaan heeft is niet meer te achter halen, als je dit in de toekomst wilt verkomen moet je voorkomen dat dergelijke gegeven gelekt worden en uiteindelijk terecht komen bij bijv. spammers...
21-12-2011, 16:25 door Ilja. _V V
Log even in op de webmail van de UPC, klik daar op Zoeken.
Vul onder Typ het woord of de woorden die je zoekt je e-mail-adres in.
Vink in het vak Van aan, de andere vakjes op die regel uit.
Vink daaronder bij Zoeken in: Postvak-IN aan, rest uit.
Klik rechtsonder op OK

Vink dan in de gegenereerde lijst het hokje voor Van aan.
Klik Spam
In dialoogvenster met vraag om door te sturen aan Abuse Center klik Ja.
Herhaal tot de lijst leeg is vanaf Van.
Klik Sluiten

Klik op het vuilnisbakje naast Spam om te legen.

Afmelden.

Als het goed is worden die e-mails weer al op se server tegen gehouden.

Op vrijdag 2 december is er een mailserver van de UPC gecrasht, dit was de zondagavond daarop verholpen.
Mogelijk is dit daar een gevolg van.
21-12-2011, 18:04 door Anoniem
Voor email (en dus ook spam) is nou eenmaal een afzend adres nodig, het liefst een bestaande.
Dus pakken spammers deze ook gewoon willekeurig uit de lijst met to-spam emailadressen die ze hebben.
21-12-2011, 19:22 door SLight
Wat er gebeurt is dat je emailadres bekend is bij een spammer en vervolgens de headers van de mail spooft zodat je van jou lijken te komen.
22-12-2011, 04:12 door Anoniem
Voor de vraagsteller is het misschien wel handig om te weten wie nu het juiste antwoord heeft gegeven.

De prijs voor het goede antwoord gaat naar SirDice. Je wint er niets mee SirDice, behalve respect. :)

De antwoorden van Bastos en Ilja zijn nonsens.

@SLight: servers gebruiken de envelope sender, niet de headers. Het doet er dus niets toe wat er in de headers staat.

@Bastos en Ilja: hier is de technische uitleg.

Het is jullie bekend dat spammers emailadreslijsten hebben. Die worden verzameld van web sites, van besmette computers van mensen waarmee je mailt, van nieuwsgroepen, discussiegroepen, gastenboeken, etc.

Die adreslijsten gebruiken spammers niet alleen voor toezenden van spam, maar ook als envelop afzender van spam. De envelop afzender is het adres dat mail servers gebruiken om email te bezorgen. Daar merk je verder weinig tot niets van.

Sommige mail servers op Internet nemen email aan zonder dat ze weten of die wel bezorgbaar is. Daar ontstaat het probleem van die non-delivery waarschuwingen. Die mail servers sturen de mail door naar een andere mail server (en misschien nog een paar), totdat er uiteindelijk een controle plaatsvind of het adres wel bestaat. Bestaat het adres niet, dan zenden veel mail servers een non-delivery bericht, in dit geval naar de vervalste afzender.

Dat kunnen mail server beheerders voorkomen door de bezorgbaarheid controle direct aan de poort te laten plaatsvinden. In dat geval kan het bericht direct worden geweigerd zonder het aan te nemen. Omdat de verzender niet jouw eigen mail server, maar een spam tool is, krijg je dan geen non-delivery bericht.
22-12-2011, 06:36 door Anoniem
Heeeeel vroeger waren dit legitieme meldingen van je eigen mail server dat de e-mail die je gisteren verstuurd had toch echt niet afgeleverd kon worden. Ik werp er dus meestal wel eens snelle blik op om te zien of ik iets herken. Maar als je er zoveel binnen krijgt kan ik me voorstellen dat je alles weg filtert.
22-12-2011, 08:53 door SirDice
Door SLight: Wat er gebeurt is dat je emailadres bekend is bij een spammer en vervolgens de headers van de mail spooft zodat je van jou lijken te komen.
Daar hoef je niet veel voor te 'spoofen'. Alleen de "MAIL FROM:".
22-12-2011, 09:02 door Anoniem
De MAIL FROM: zit in de envelope en heeft geen enkel effect op de afzender (From: header) in de berichtheaders.
22-12-2011, 10:19 door SirDice
Door Anoniem: De MAIL FROM: zit in de envelope en heeft geen enkel effect op de afzender (From: header) in de berichtheaders.
You want to bet on that?
22-12-2011, 10:28 door RaceAap
Door Anoniem: De MAIL FROM: zit in de envelope en heeft geen enkel effect op de afzender (From: header) in de berichtheaders.

Lees eerst eens de rfc5321 voordat je een dergelijke bewering doet.

@SirDice You will win that bet ;-)
22-12-2011, 16:38 door Rubber Bug
Door Anoniem: Voor de vraagsteller is het misschien wel handig om te weten wie nu het juiste antwoord heeft gegeven.

De prijs voor het goede antwoord gaat naar SirDice. Je wint er niets mee SirDice, behalve respect. :)

De antwoorden van Bastos en Ilja zijn nonsens.

@SLight: servers gebruiken de envelope sender, niet de headers. Het doet er dus niets toe wat er in de headers staat.

@Bastos en Ilja: hier is de technische uitleg.

Het is jullie bekend dat spammers emailadreslijsten hebben. Die worden verzameld van web sites, van besmette computers van mensen waarmee je mailt, van nieuwsgroepen, discussiegroepen, gastenboeken, etc.

Die adreslijsten gebruiken spammers niet alleen voor toezenden van spam, maar ook als envelop afzender van spam. De envelop afzender is het adres dat mail servers gebruiken om email te bezorgen. Daar merk je verder weinig tot niets van.

Sommige mail servers op Internet nemen email aan zonder dat ze weten of die wel bezorgbaar is. Daar ontstaat het probleem van die non-delivery waarschuwingen. Die mail servers sturen de mail door naar een andere mail server (en misschien nog een paar), totdat er uiteindelijk een controle plaatsvind of het adres wel bestaat. Bestaat het adres niet, dan zenden veel mail servers een non-delivery bericht, in dit geval naar de vervalste afzender.

Dat kunnen mail server beheerders voorkomen door de bezorgbaarheid controle direct aan de poort te laten plaatsvinden. In dat geval kan het bericht direct worden geweigerd zonder het aan te nemen. Omdat de verzender niet jouw eigen mail server, maar een spam tool is, krijg je dan geen non-delivery bericht.
Mijn antwoord is GEEN nonsens!
22-12-2011, 18:40 door Anoniem
Kan niet missen dat je in een mail list zit. had laatst iemand die precies dezelfde mail had (weapons and drugs). sinds ongeveer een week. zal waarschijnlijk vanzelf weer overgaan.
22-12-2011, 21:45 door Anoniem
Door Bastos:
Door Anoniem:
Mijn antwoord is GEEN nonsens!

Je stelling dat je een undeliverable mail krijgt direct nadat je een bericht hebt verzonden is gewoon niet waar.

Jaren geleden is het een tijdje mode geweest om (al dan niet met opzet) bouncende mail servers te gebruiken om malware te bezorgen. Daarbij was er geen relatie met iets dat je zelf verzonden hebt. Je conclusie is dus fout.

@SirDice:
"MAIL FROM:" is de envelope sender die gebruikt wordt in de (E)SMTP sessie (voor de gewone gebruiker doorgaans onzichtbaar) en die kan zeker anders zijn dan de "From:" in header. Beide kunnen worden vervalst.

Er zijn mail servers die berichten herschrijven, informatie in received headers toevoegen of een Sender header toevoegen. Berichten herschrijven is doorgaans een slechte gewoonte.

@RaceAap:
Los van het feit of iets wel of niet in een RFC staat: een RFC is slechts een stukje tekst. Er is ook nog zoiets als de bestaande praktijk en de eigen wil van personen.
22-12-2011, 22:23 door Anoniem
RFC heeft niets te maken met daadwerkelijke implementatie.
23-12-2011, 13:32 door SirDice
Door Anoniem: @SirDice:
"MAIL FROM:" is de envelope sender die gebruikt wordt in de (E)SMTP sessie (voor de gewone gebruiker doorgaans onzichtbaar) en die kan zeker anders zijn dan de "From:" in header. Beide kunnen worden vervalst.
Waar ik op doelde was dat er geen envelope nodig is om MAIL FROM: te spoofen.
24-12-2011, 08:16 door Anoniem
@Bastos: Jouw reactie is inderdad absoluut geen nonsens! De methode word weldegelijk gebruikt om daarop niet verdachte gebruikers op een besmette bijlage te laten klikken.

Aangenomen dat je het niet zelf per bulk-e-mail, hetzij ladderzat, knetterstoned, trippinghigh, whatever, hebt verzonden:

Beschouw het als SPAM.

Meld het bij je AbuseCenter van je ISP, KabelExploitant & die zoeken het verder voor je uit.

Want in de bijlage zit altijd het IPnummer van de spammer....

Inkopper voor SirDice....
24-12-2011, 09:59 door Ilja. _V V
Dubbele post.
27-12-2011, 06:57 door Anoniem
Na dit alles gelezen te hebben moet ik vasstellen dat er eigenlijk geen enkele afdoende manier is om hardleerse spammers tegen te gaan.
Eigenlijk zou er een programma/dienst moeten voor bestaan waar je met 1 klik de hardleerse spammer naar de filistijnen zou kunnen sturen en laten blacklisten.
Ik heb een kennis die met de regelmaat en dit al geruime tijd mails krijgt van een pokerclub, de dame in kwestie schreef hier nooit op in, toch blijven die spammen. Ze attendeerde de afzenders er al eens op dat ze een fout mail adres aanschreven. (misschien wel fout van haar)
Ze maakte regels aan in haar mail programma, blokkeerde ze, blokkeerde topniveaudomeinen, liet spam doorsturen aan MicroSoft en probeerde nog vanalles, niets te kort.
Ze gaf deze ook aan haar provider aan, die er niets aan deden ondanks ze dreigde de provider op te zeggen als dit bleef voortgaan.
En zo kan ik nog wel even doorgaan.
Er is dus echt niets dat eigenlijk goed werkt tegen zo van die lastigaards.
(dit ging over spam, ik heb geen idee of dat men van haar pc berichten doorstuurde in de
vorm van Spam)
Deze heb ik gevonden, geen idee of die haar kunnen helpen.

http://www.spamhaus.org/

http://www.knowyourenemy.eu/backscatter.php
27-12-2011, 10:42 door meeuw
Het zal jou weinig helpen omdat jouw provider zo te zien UPC is maar met amavisd (een spam filter) kan je de "pen pals" feature gebruiken. Daarmee wordt gecontroleerd of de undelivered mail ook echt een antwoord is op een e-mail die jij hebt verzonden.
27-12-2011, 15:09 door Anoniem
Neem Googlemail, dat scheelt al heel veel.

Gebruik geen gratis virusscanners...waarom zou iemand veel tijd en geld besteden in het actueel houden van software als hij er geen cent voor krijgt? Computeren kost geld, net zoals alles.
Betaal voor je windows os zodat je updates ontvangt of stap over naar zoiets als Ubuntu.

Ook het opzetten van een website kost geld, dus als men je "gratis" content aanbiedt zonder dat je doodgegooid wordt met reclame dan heeft de maker andere doelstellingen...

Verder nooit meer ergens op klikken zonder dat je absoluut zeker bent wie de afzender is of wat voor website het is, pas dus op met mails, klik niet op links naar websites en zeker niet op attachments. Reageer ook niet op facebook medlingen van onbekenden. Blijf weg van schimmige sites want een trojan kan inmiddels overal in verpakt worden en je ziet echt helemaal niks van de effecten van een besmetting.

Heb je een thuisnetwerk...zorg er dan voor dat alle PC´s up to date zijn met FW,Antivirus en software updates, dus ook die oude PC waar je alleen maar op download.

enzovoorts....
28-12-2011, 12:05 door Anoniem
Om te voorkomen dat er (spam)misbruik met jouw eigen domeinnaam plaatsvindt kan je gebruik maken van SPF:

- http://en.wikipedia.org/wiki/Sender_Policy_Framework

Met een SPF-record geef je aan welke mailservers e-mail mogen verzenden met jouw domeinnaam. Spammers die e-mail versturen via mailservers die niet in je SPF-record zijn opgegeven, kunnen dan geblokkeerd worden door spamfilters. Dit kan er als volgt uitzien:

voorbeelddomein.nl. 3600 IN TXT "v=spf1 a mx ip4:194.109.0.0/16 -all"

Meer informatie hierover is te vinden op:

- http://www.openspf.org/Introduction .

Het nadeel is dat deze controle altijd op de ontvangende mailserver/spamfilter wordt uitgevoerd en niet verplicht is. Maar het kan de kans op dergelijke NDR-meldingen sterk verminderen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.