---

Jeg har nu sien mandag modtaget flere tusinde mails med "Delivery Status
Notification (Failure)". Disse emails sendes til en fiktiv adresse,
martini221 under mit domæne. Da jeg har en "catch-all" service, modtager jeg
derfor emails til adresser, som faktisk ikke eksisterer.

Jeg har forsøgt at finde ud af hvor disse mails stammer fra, men uden held.

Her er meddelelseskilden:

Received: from (et domæne).dk ([203.131.74.14]) by main.dasheng.com.tw with
Microsoft SMTPSVC(5.0.2195.2966);
Wed, 21 Nov 2001 08:28:25 +0800
Message-ID: <00004c986283$00002660$0000620a@(et domæne).dk>
To: <richardtallman09@pnp.co.za>
From: martini221@(et andet domæne - vores).dk
Subject: Increasing-Sexual-Potency-Frequency
Date: Tue, 20 Nov 2001 16:45:42 -0700
MIME-Version: 1.0
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
X-Priority: 3
X-MSMail-Priority: Normal
Return-Path: martini221@(et andet domæne - vores).dk
X-OriginalArrivalTime: 21 Nov 2001 00:28:27.0208 (UTC)
FILETIME=[70080480:01C17223]

Er det muligt, med disse informationer, at finde frem til "de skyldige"? Jeg
har nu kontaktet Digiweb, hvor vi er hostet, for at få dem til at blokere
martini221@(vores domæne).dk. Desværre har de vist en ret tung organisation,
da vi efter gentagende henvendelser over to dage endnu ikke har fået den
blokeret.

Er der andre måder man kan komme det problem til livs? Jeg er jo ikke
interesseret i at vores domæne bliver sat i forbindelse med spam! De tusinde
mails jeg modtager, er vel kun toppen af isbjerget, da jeg jo kun får disse
mails pga. problemer med levering. Hvad med alle dem der kommer frem? Vil en
blokering af martini221 løse problemet?

Jeg håber på hjælp!

Mvh Thomas Ingerslev

---

Thomas Philip Ingerslev wrote:
>
> Jeg har nu sien mandag modtaget flere tusinde mails med "Delivery Status
> Notification (Failure)". Disse emails sendes til en fiktiv adresse,
> martini221 under mit domæne. Da jeg har en "catch-all" service, modtager jeg
> derfor emails til adresser, som faktisk ikke eksisterer.
>
> Jeg har forsøgt at finde ud af hvor disse mails stammer fra, men uden held.
>
> Her er meddelelseskilden:
>
> Received: from (et domæne).dk ([203.131.74.14]) by main.dasheng.com.tw with
> Microsoft SMTPSVC(5.0.2195.2966);
> Wed, 21 Nov 2001 08:28:25 +0800
> Message-ID: <00004c986283$00002660$0000620a@(et domæne).dk>
> To: <richardtallman09@pnp.co.za>
> From: martini221@(et andet domæne - vores).dk
> Subject: Increasing-Sexual-Potency-Frequency
> Date: Tue, 20 Nov 2001 16:45:42 -0700
> MIME-Version: 1.0
> Content-Type: text/html;
> charset="iso-8859-1"
> Content-Transfer-Encoding: quoted-printable
> X-Priority: 3
> X-MSMail-Priority: Normal
> Return-Path: martini221@(et andet domæne - vores).dk
> X-OriginalArrivalTime: 21 Nov 2001 00:28:27.0208 (UTC)
> FILETIME=[70080480:01C17223]
>
> Er det muligt, med disse informationer, at finde frem til "de skyldige"?

Din egen mailserver burde have indsat en Received linie, den kan
jeg ikke få øje på. (Jeg går ikke ud fra, at main.dasheng.com.tw er
din mailserver.) Den manglende linie ville indeholde afsenderens
IP addresse.

--
Kasper Dupont

---

Kasper Dupont wrote:

> Din egen mailserver burde have indsat en Received linie, den kan
> jeg ikke få øje på.

Den indsatte meddelelseskilde stammer fra den mail der var vedhæftet
fejlmeddelelsen, altså noget nær den oprindelige email. Det skulle da være
den mest "rigtige" email at gå ud fra.

Thomas Ingerslev



"Kasper Dupont" <kasperd@daimi.au.dk> skrev i en meddelelse
news:3BFDE151.2781@daimi.au.dk...
> Thomas Philip Ingerslev wrote:
> >
> > Jeg har nu sien mandag modtaget flere tusinde mails med "Delivery Status
> > Notification (Failure)". Disse emails sendes til en fiktiv adresse,
> > martini221 under mit domæne. Da jeg har en "catch-all" service, modtager
jeg
> > derfor emails til adresser, som faktisk ikke eksisterer.
> >
> > Jeg har forsøgt at finde ud af hvor disse mails stammer fra, men uden
held.
> >
> > Her er meddelelseskilden:
> >
> > Received: from (et domæne).dk ([203.131.74.14]) by main.dasheng.com.tw
with
> > Microsoft SMTPSVC(5.0.2195.2966);
> > Wed, 21 Nov 2001 08:28:25 +0800
> > Message-ID: <00004c986283$00002660$0000620a@(et domæne).dk>
> > To: <richardtallman09@pnp.co.za>
> > From: martini221@(et andet domæne - vores).dk
> > Subject: Increasing-Sexual-Potency-Frequency
> > Date: Tue, 20 Nov 2001 16:45:42 -0700
> > MIME-Version: 1.0
> > Content-Type: text/html;
> > charset="iso-8859-1"
> > Content-Transfer-Encoding: quoted-printable
> > X-Priority: 3
> > X-MSMail-Priority: Normal
> > Return-Path: martini221@(et andet domæne - vores).dk
> > X-OriginalArrivalTime: 21 Nov 2001 00:28:27.0208 (UTC)
> > FILETIME=[70080480:01C17223]
> >
> > Er det muligt, med disse informationer, at finde frem til "de skyldige"?
>
> Din egen mailserver burde have indsat en Received linie, den kan
> jeg ikke få øje på. (Jeg går ikke ud fra, at main.dasheng.com.tw er
> din mailserver.) Den manglende linie ville indeholde afsenderens
> IP addresse.
>
> --
> Kasper Dupont

---

Thomas Philip Ingerslev wrote:
>
> Kasper Dupont wrote:
>
> > Din egen mailserver burde have indsat en Received linie, den kan
> > jeg ikke få øje på.
>
> Den indsatte meddelelseskilde stammer fra den mail der var vedhæftet
> fejlmeddelelsen, altså noget nær den oprindelige email. Det skulle da være
> den mest "rigtige" email at gå ud fra.

Nej, du skal gå ud fra den email du selv har modtaget.
Oplysningerne du gav os kunne være forfalskede, men du
ved næsten med sikkerhed hvem der har sendt dem. Find
den IP addresse du modtog dem fra og ejeren af denne
IP addresse. Og læs I øvrigt Niels posting:
<news:Xns916270A5BBF01k5j6h4jk3@130.225.247.90>

--
Kasper Dupont

---

Thomas Philip Ingerslev skrev:

>martini221 under mit domæne. Da jeg har en "catch-all" service, modtager jeg
>derfor emails til adresser, som faktisk ikke eksisterer.

Kan du ikke slå det fra?

--
Bertel
http://lundhansen.dk/bertel/   FIDUSO: http://fiduso.dk/

---

"Thomas Philip Ingerslev" <bob@grin.dk> wrote:
> Jeg har nu sien mandag modtaget flere tusinde mails med "Delivery Status
> Notification (Failure)". Disse emails sendes til en fiktiv adresse,
> martini221 under mit domæne. Da jeg har en "catch-all" service, modtager
jeg
> derfor emails til adresser, som faktisk ikke eksisterer.
>
Jeg har kraftigt på fornemmelsen, at din mail-server tillader "open relay".
Dvs. at den bliver misbrugt af spammere til udsendelse af porno-reklamer mv.

Du kan teste din mail-server her:
http://www.ordb.org

Og du kan læse mere om "open relay" her:

http://www.csirt.dk/open-relay

Med venlig hilsen

Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)

---

Thomas B. Maxe wrote:

> Jeg har kraftigt på fornemmelsen, at din mail-server tillader "open
> relay".

Hej Thomas,

Jeg er ikke enig i din vurdering - så vidt jeg kan se, er det meget
lidt sandsynligt at de udsendte emails stammer fra (den anden) Thomas'
mailserver. Hans adresse er blot blevet indsat i From: og Return-Path:
headerne af vekommende der udfærdigede dem. Se evt.
<news:Xns916270A5BBF01k5j6h4jk3@130.225.247.90> hvori jeg redegør for
min teori hvad angår oprindelsen på disse mails.

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim

---

Thomas Philip Ingerslev wrote:

> Jeg har forsøgt at finde ud af hvor disse mails stammer fra, men
> uden held.
>
> Her er meddelelseskilden:
>
> Received: from (et domæne).dk ([203.131.74.14]) by
> main.dasheng.com.tw with Microsoft SMTPSVC(5.0.2195.2966);

[snip uvigtige headere]

> Er det muligt, med disse informationer, at finde frem til "de
> skyldige"?

Tjaeh. Det er svært komma meget.

For det første gør du det hele meget besværligere ved at være paranoid
i forhold til de domænenavne der er opgivet i headeren. Jo mere
information der er tilgængelig, des lettere er det at finde ud af
noget. At du har slettet diverse hostnames fra headeren gør det hele
langt mere besværligt.

For det andet, mangler der noget yderligere information. De headere du
citerer stammer ud fra dit udsagn fra en vedhæftning til en returmail
du har fået. Det ville derfor være særdeles interessant at vide hvor
denne returmail kom fra. Det lader nemlig til, at den har udeladt sine
egne recieved-headers i den vedhæftning. Hvis ikke den har det, er det
mail.dasheng.com.tw du har fået mailen retur fra - og det er meget lidt
sandsynligt.

Langt mere sandsynligt er det, at der oprindeligt er blevet spammet
_igennem_ mail.dasheng.com.tw[1] _fra_ den angivne IP 203.131.74.14.
Det domænenavn du har slettet fra recieved-linien har næsten sikkert
været en forfalskning, da der for det første ikke er nogen PTR record
for den IP (hvilket betyder at den ikke kan have resolvet til et
domæne) og for det andet tilhører 203.131.64.0 - 203.131.79.255 IP-
blokken et firma på Phillipinerne.

ALTSÅ: Den oprindelige synder har anvendt en
(formodentlig) kompromitteret maskine på Phillipinerne til at spamme
gennem et åbent relay i Taiwan, med en uskyldig maskine i Danmark i
Return-Path...

Du har nogenlunde en snebolds chance i helvede for nogensinde at spore
manden, der efter al sandsynlighed opholder sig i et helt fjerde land.

HVIS du insisterer på at gøre et forsøg alligevel, skal du nok starte
hos det firma på Phillipinerne der ejer IP adressen[2]. HVIS der findes
logfiler for den pågældende server kan det muligvis lade sig gøre at
komme et hop tættere på synderen ud fra dem. Dette er igen HVIS den IP
adresse ikke også er falsk - det er den sandsynligvis ikke, men du kan
ikke være 100% sikker. Det kan teknisk set godt lade sig gøre at
mail.dasheng.com.tw var sat SÅ dårligt op, at det kunne lade sig gøre
for spammeren også at forfalske originating IP, altså den i []. Har den
været det, er eneste spor eventuelle logfiler fra mail.dasheng go så er
vi igen tilbage ved snebolden i helvede...


[1]: Yderligere underbygget af det faktum at mail.dasheng.com.tw
[210.243.201.173] er (eller har været) et åbent relay:
http://www.ordb.org/lookup/?host=210.243.201.173
[2]: INFOCOM Technologies Inc - lav et opslag hos APNIC

--
Niels Callesøe - nørd light
Disclaimer:
http://www.spacefish.net/nica/index.php3?step=disclaim