---

Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
begyndte min MRTG statestik lige pludselig at gå amok, der blev send omkring
200 mail i sekundet, hvilket må siges at være ret skidt.. Derfor lukkede jeg
den ned, men ville gerne have den op igen ASAP

I min tcp.smtp fil står der:

127.0.0.:allow,RELAYCLIENT=""
192.168.1.:allow,RELAYCLIENT=""

Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt.
Jeg har ikke nogen mailform eller ligeende kørende på webserveren, kun
windows klienter bag den.

Er der en der har et bud på hvad det ellers kan være?


Med venlig hilsen

Esben

---

Fri, 12 Mar 2004 at 20:17 GMT Esben Laursen wrote
> Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
> begyndte min MRTG statestik lige pludselig at gå amok, der blev send omkring
> 200 mail i sekundet, hvilket må siges at være ret skidt.. Derfor lukkede jeg
> den ned, men ville gerne have den op igen ASAP
>
> I min tcp.smtp fil står der:
>
> 127.0.0.:allow,RELAYCLIENT=""
> 192.168.1.:allow,RELAYCLIENT=""
>
> Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt.
> Jeg har ikke nogen mailform eller ligeende kørende på webserveren, kun
> windows klienter bag den.
>
> Er der en der har et bud på hvad det ellers kan være?

Jeg ved intet om qmail, men en mulig forklaring kunne være en bustet windows
kasse på dit lan.

Har du noget logfil at arbejde med? Måske qmail ekspernerne kan bruge dem til
noget.




/Morten

---

"Morten Guldager" <spamtrap@mogul.dk> skrev i en meddelelse
news:slrnc54a78.65q.spamtrap@linuxine.mogul.dk...
> Fri, 12 Mar 2004 at 20:17 GMT Esben Laursen wrote
> > Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
> > begyndte min MRTG statestik lige pludselig at gå amok, der blev send
omkring
> > 200 mail i sekundet, hvilket må siges at være ret skidt.. Derfor lukkede
jeg
> > den ned, men ville gerne have den op igen ASAP
> >
> > I min tcp.smtp fil står der:
> >
> > 127.0.0.:allow,RELAYCLIENT=""
> > 192.168.1.:allow,RELAYCLIENT=""
> >
> > Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt.
> > Jeg har ikke nogen mailform eller ligeende kørende på webserveren, kun
> > windows klienter bag den.
> >
> > Er der en der har et bud på hvad det ellers kan være?
>
> Jeg ved intet om qmail, men en mulig forklaring kunne være en bustet
windows
> kasse på dit lan.
>
> Har du noget logfil at arbejde med? Måske qmail ekspernerne kan bruge dem
til
> noget.

Jaee, det havde jeg også mistænkt lidt.. Men selvom jeg laver kun tillader
127.0.0.:allow,RELAYCLIENT=""
at relay'e popper der stadig masser af mails igennem..

Det mærkelige er jeg har flere servere kørende andre steder _uden_ nogen
problemer. Jeg forstår det heller ikke helt for hvis jeg prøver at emaile
til den via min outlook, så får jeg fint, at den ikke vil sende den....

Her har I lidt fra min log:

/var/log/qmail/smtpd/current/
tcpserver: end 21958 status 28416
tcpserver: status: 0/20
tcpserver: status: 1/20
tcpserver: pid 21993 from 216.145.244.83
tcpserver: ok 21993 0:80.198.159.238:25
216-145-244-83.dls.net:216.145.244.83::47596
tcpserver: end 21993 status 0
tcpserver: status: 0/20
tcpserver: status: 1/20
tcpserver: pid 21999 from 213.232.107.156
tcpserver: ok 21999 0:80.198.159.238:25 :213.232.107.156::2974
tcpserver: end 21999 status 0
tcpserver: status: 0/20
tcpserver: status: 1/20
tcpserver: pid 22003 from 209.225.28.219
tcpserver: ok 22003 0:80.198.159.238:25
mxsf19.cluster1.charter.net:209.225.28.219::2196


/var/log/qmail/current
kommer der ikke noget nyt i....

Hygge

Esben

---

Esben Laursen wrote:

>
> "Morten Guldager" <spamtrap@mogul.dk> skrev i en meddelelse
>> Jeg ved intet om qmail, men en mulig forklaring kunne være en bustet
> windows
>> kasse på dit lan.
>>
>> Har du noget logfil at arbejde med? Måske qmail ekspernerne kan bruge dem
> til
>> noget.
>
> Jaee, det havde jeg også mistænkt lidt.. Men selvom jeg laver kun tillader
> 127.0.0.:allow,RELAYCLIENT=""
> at relay'e popper der stadig masser af mails igennem..

Det fremgår ikke 100% klart hvor(dan) du observerer antallet af mails.
Men som Morten skriver, kan der være tale om 'bustet windåser' på dit LAN.
De sidste bølger af virusangreb installerer en Trojan bag om ryggen på
brugeren.
Disse Trojan's er selvstændige SMTP servere, der installeres på PC'en.
Man kan altså, uden at vide det, have mange SMTP servere på LAN'et.
En af de sidste benytter netop domain navnet som afsender for at forstærke
social engeneering.
Se evt. denne:
<http://www.heise.de/english/newsticker/news/44879>
Bemærk
c't has gathered evidence that virus writers are *selling* the addresses of
computers infected with trojans to spammers.

En interessant observation/tanke er også:
<http://www.heise.de/english/newsticker/foren/go.shtml?read=1&msg_id=5151785&forum_id=53219>

DISCLAIMER: Jeg er på ingen måde virusekspert. Jeg følger kun med så jeg kan
sætte mig ved min Linux dunk, og igen i dag tænke: 'Hold kæft, hvor er jeg
glad for jeg ikke er ked af det'.

--
Med venlig hilsen
Stig Johansen

---

"Stig Johansen" <aaa@bbb.com> skrev i en meddelelse
news:c2ueud$5p1$1@sunsite.dk...

> Det fremgår ikke 100% klart hvor(dan) du observerer antallet af mails.
> Men som Morten skriver, kan der være tale om 'bustet windåser' på dit LAN.
> De sidste bølger af virusangreb installerer en Trojan bag om ryggen på
> brugeren.

Jeg har en mrtg statestik på min qmail box. Der _må_ være noget jeg ikke
fatter, da min egen server også spytter mails ud helt vildt. Min statestik
hvade været nede uden jeg har vist det (glemt at kikke efter sidste
opdaterings dato)

En ting er bare at min server, stå på en tele2adsl, hvor de har lukket port
25, så jeg bruger en mail relay af deres.
Det gør jo at min server _umuligt_ kan være en openrelay ude på internettet
uanset om den er i virkeligheden er.

> Disse Trojan's er selvstændige SMTP servere, der installeres på PC'en.
> Man kan altså, uden at vide det, have mange SMTP servere på LAN'et.
> En af de sidste benytter netop domain navnet som afsender for at forstærke
> social engeneering.
> Se evt. denne:
> <http://www.heise.de/english/newsticker/news/44879>
> Bemærk
> c't has gathered evidence that virus writers are *selling* the addresses
of
> computers infected with trojans to spammers.

Ja, det tænkte jeg også på, men hvorfor dukker de så op i min qmail
statestik og log??

> En interessant observation/tanke er også:
>
<http://www.heise.de/english/newsticker/foren/go.shtml?read=1&msg_id=5151785
&forum_id=53219>
>
> DISCLAIMER: Jeg er på ingen måde virusekspert. Jeg følger kun med så jeg
kan
> sætte mig ved min Linux dunk, og igen i dag tænke: 'Hold kæft, hvor er jeg
> glad for jeg ikke er ked af det'.

Heller ikke mig desværre, jeg har dog lige kørt ad-aware på alle computerne
på det interne netværk, samt der kører en norton antivirus (har gjort altid,
med automatisk opdatering), men det hjalp ikke... ;-(

Kik evt på http://tingest.dk/qmail-mrtg/messstatus.html for at se min mrtg
statestik..

--
Esben

---

Sat, 13 Mar 2004 at 17:29 GMT Esben Laursen wrote
>
> "Stig Johansen" <aaa@bbb.com> skrev i en meddelelse
> news:c2ueud$5p1$1@sunsite.dk...
>
>> Det fremgår ikke 100% klart hvor(dan) du observerer antallet af mails.
>> Men som Morten skriver, kan der være tale om 'bustet windåser' på dit LAN.
>> De sidste bølger af virusangreb installerer en Trojan bag om ryggen på
>> brugeren.
>
> Jeg har en mrtg statestik på min qmail box. Der _må_ være noget jeg ikke
> fatter, da min egen server også spytter mails ud helt vildt. Min statestik
> hvade været nede uden jeg har vist det (glemt at kikke efter sidste
> opdaterings dato)
>
> En ting er bare at min server, stå på en tele2adsl, hvor de har lukket port
> 25, så jeg bruger en mail relay af deres.
> Det gør jo at min server _umuligt_ kan være en openrelay ude på internettet
> uanset om den er i virkeligheden er.

Måske.... Han du fange en af de formodede spam-mails, incl fuld header. Måske
der er et hint der.

Måske det er en spamer der har sat random@dit-domæne.dk på som afsender på sit
junk, og det du ser er bounces? (kendt fænomen


/Morten

---

"Morten Guldager" <spamtrap@mogul.dk> skrev i en meddelelse
news:slrnc56sa9.65q.spamtrap@linuxine.mogul.dk...
<snip>
>
> Måske.... Han du fange en af de formodede spam-mails, incl fuld header.
Måske
> der er et hint der.

Jaeee måske.. Jeg har klippet en i køen ind nederest i mailen

> Måske det er en spamer der har sat random@dit-domæne.dk på som afsender på
sit
> junk, og det du ser er bounces? (kendt fænomen
>

Lyder sansynligt, men hvordan slipper man af med det???


--
Esben

Received: (qmail 1998 invoked for bounce); 13 Mar 2004 19:40:23 -0000
Date: 13 Mar 2004 19:40:23 -0000
From: MAILER-DAEMON@hyber.dk
To: Bouncer@one800.net
Subject: failure notice

Hi. This is the qmail-send program at hyber.dk.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<matthew_mcCabe_iq@staldinventar.dk>:
Sorry, no mailbox here by that name. vpopmail (#5.1.1)

--- Below this line is a copy of the message.

Return-Path: <Bouncer@one800.net>
Received: (qmail 1995 invoked from network); 13 Mar 2004 19:40:23 -0000
Received: from fitch4.uni2.net (130.227.52.107)
by 0 with SMTP; 13 Mar 2004 19:40:23 -0000
Received: from solarwind.bpsi.net (solarwind.bpsi.net [209.54.240.1])
by fitch4.uni2.net (8.12.6/8.11.6) with ESMTP id i2DJePOA009568
for <matthew_mcCabe_iq@staldinventar.dk>; Sat, 13 Mar 2004 20:40:26
+0100
Received: from solarwind.bpsi.net (localhost [127.0.0.1])
by solarwind.bpsi.net (8.12.8/8.12.8) with ESMTP id i2DJPlSx007577
for <matthew_mcCabe_iq@staldinventar.dk>; Sat, 13 Mar 2004
13:25:47 -0600 (CST)
From: Bouncer@one800.net
Received: (from daemon@localhost)
by solarwind.bpsi.net (8.12.8/8.12.8/Submit) id i2DJPliI007575;
Sat, 13 Mar 2004 13:25:47 -0600 (CST)
Date: Sat, 13 Mar 2004 13:25:47 -0600 (CST)
Message-Id: <200403131925.i2DJPliI007575@solarwind.bpsi.net>
To: "Matthew McCabe" <matthew_mcCabe_iq@staldinventar.dk>
Subject: Returned eMail: User Unknown
X-Mailer: OutPost Mailer 1.0, (info@bpsi.net)
X-Service: 1.800eMail, (info@one800.net), "http://www.one800.net"
MIME-Version: 1.0
Content-Type: MULTIPART/MIXED; BOUNDARY="0-OUTPOST-DIVIDER"

This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

--0-OUTPOST-DIVIDER
Content-Type: TEXT/PLAIN; charset=US-ASCII

Your Mail has been bounced from the OutPost/1.800eMail Server
Because "mtbf@one800.net" is not a valid username


Original message, less any attachments, follows:
====================================================================

--0-OUTPOST-DIVIDER
Content-Type: message/rfc822

From: "Matthew McCabe" <matthew_mcCabe_iq@staldinventar.dk>
To: mtbf@one800.net
Subject: 2-Home loan rates as low as 2.95%
Date: Sun, 14 Mar 2004 11:44:57 CST
Content-Transfer-Encoding: 8bit

<html>
G'day<p>

Would you re-fina<judorfzdlqqzmc>nce if you knew you'd S<jybmivlblaj>AVE
TH0US<juzissuddjxav>ANDS?<p>

We'll get you rat<jghpwmvwymuog>es as low as 2.9%.<p>

Don't believe me? Fill out our small online form and we'll show you how.<p>

Get the house and/or car you always wanted, it only takes 2 minutes of your
time:<br>
<a
href="http://tnpfqnflsougc.polimardo.info/index.php?a=3">http://sdtqqhbuxnbc
e.polimardo.info</a>
<p><br><br><br><br><br>
<a href="http://bkjtlqbxklxu.polimardo.info/tt.htm">Stop promos.</a>
</html>


--0-OUTPOST-DIVIDER--

---

Sat, 13 Mar 2004 at 21:31 GMT Esben Laursen wrote
>
> "Morten Guldager" <spamtrap@mogul.dk> skrev i en meddelelse
> news:slrnc56sa9.65q.spamtrap@linuxine.mogul.dk...
>
>> Måske det er en spamer der har sat random@dit-domæne.dk på som afsender på
> sit
>> junk, og det du ser er bounces? (kendt fænomen
>>
>
> Lyder sansynligt, men hvordan slipper man af med det???

Aner det faktisk ikke. Mit domæne, mogul.dk, bliver også sprayet med
bounces, men de bliver snappet af en mail-server før de kommer hjem
til mig, så jeg har ikke noget egentligt problem med det. Ud over
at spamerene naturligvis skal have rykket deres arme af!

Måske du kan få qmail til ikke at sende svar på
bounces som rammer brugere der ikke findes hos dig.

Men som jeg ser det er det ikke muligt at slippe for de indgående mails.
Ihvertfald ikke med almindelig SMTP.


/Morten

---

"Morten Guldager" <spamtrap@mogul.dk> skrev i en meddelelse
news:slrnc5714q.65q.spamtrap@linuxine.mogul.dk...
> Sat, 13 Mar 2004 at 21:31 GMT Esben Laursen wrote
> >
> > "Morten Guldager" <spamtrap@mogul.dk> skrev i en meddelelse
> > news:slrnc56sa9.65q.spamtrap@linuxine.mogul.dk...
> >
> >> Måske det er en spamer der har sat random@dit-domæne.dk på som afsender
på
> > sit
> >> junk, og det du ser er bounces? (kendt fænomen
> >>
> >
> > Lyder sansynligt, men hvordan slipper man af med det???
>
> Aner det faktisk ikke. Mit domæne, mogul.dk, bliver også sprayet med
> bounces, men de bliver snappet af en mail-server før de kommer hjem
> til mig, så jeg har ikke noget egentligt problem med det. Ud over
> at spamerene naturligvis skal have rykket deres arme af!
>
> Måske du kan få qmail til ikke at sende svar på
> bounces som rammer brugere der ikke findes hos dig.
>
> Men som jeg ser det er det ikke muligt at slippe for de indgående mails.
> Ihvertfald ikke med almindelig SMTP.

Med andre ord: Bare ærligt, surt at de misbruger dit domæne.

Er det egenligt ikke chance for at domænet ryger i diverse spam databaser
som f.eks ordb.org ???

--
Esben

---

In article <uiN4c.14232$Jv7.10282@news.get2net.dk>, Esben Laursen wrote:
> Med andre ord: Bare ærligt, surt at de misbruger dit domæne.
>
> Er det egenligt ikke chance for at domænet ryger i diverse spam databaser
> som f.eks ordb.org ???

Nej. RBL lister bruger alene IP adresser på åbne relæer. De er ligeglade
med hvilke falske afsendere/modtagere der anvendes.

Derfor kan man også bruge RBL'er til at nægte modtagelsen af mails, dvs
afsenderens kø vokser fordi den står i de sædvanlige 4 dage og prøver hver
time at komme af med den.

Hvis der er en uskyldig dummerlap i den anden ende er det bare synd
for ham. Man skal ikke begive sig på nettet medmindre man ved hvad man
har med at køre. Internet er ikke for alle og enhver.

---

On Sun, 14 Mar 2004 06:49:31 +0000 (UTC), Povl H. Pedersen wrote:
> Derfor kan man også bruge RBL'er til at nægte modtagelsen af mails, dvs
> afsenderens kø vokser fordi den står i de sædvanlige 4 dage og prøver hver
> time at komme af med den.

De fleste MTA'er[1] afviser da en RBL filtreret mail med fejl 550. Dvs afsender
må ikke prøve igen.

[1] De MTA'er jeg har arbejdet med.
--
Bjørn Connolly
Disclaimer at <http://www.vof.dk/concorp/disclaimer.html>
The nice thing about Windows is - It does not just crash, it displays a
dialog box and lets you press 'OK' first. -Arno Schaefer

---

=?iso-8859-15?Q?Bj=F8rn?= Connolly wrote in
<news:slrnc581m7.15d5.concorp@scylla.vof.dk>:

>> Derfor kan man også bruge RBL'er til at nægte modtagelsen af
>> mails, dvs afsenderens kø vokser fordi den står i de sædvanlige 4
>> dage og prøver hver time at komme af med den.
>
> De fleste MTA'er[1] afviser da en RBL filtreret mail med fejl 550.
> Dvs afsender må ikke prøve igen.

Man kan gøre mange underlige ting med sin MTA hvis man virkelig vil.
Prøv at google hhv. teergrubing og greylisting.

Bortset fra det, har du selvfølgelig ret, at afvise spam vil normalt
ikke få det til at spoole op nogen steder.

--
Niels Callesøe - dk pfy @work
pfy[at]nntp.dk - http://www.pcpower.dk/disclaimer.php

Learn Postfix; live Postfix; love Postfix.

---

"Bjørn Connolly" <usenet@concorp.dk> skrev i en meddelelse
news:slrnc581m7.15d5.concorp@scylla.vof.dk...
> On Sun, 14 Mar 2004 06:49:31 +0000 (UTC), Povl H. Pedersen wrote:
> > Derfor kan man også bruge RBL'er til at nægte modtagelsen af mails, dvs
> > afsenderens kø vokser fordi den står i de sædvanlige 4 dage og prøver
hver
> > time at komme af med den.
>
> De fleste MTA'er[1] afviser da en RBL filtreret mail med fejl 550. Dvs
afsender
> må ikke prøve igen.
>

Det er heldigvis ved at stilne lidt af og mit antal email er ved at
normalisere sig igen, vil i anbefale at jeg installere spamassasin på
serveren for at afhverve næstegang der er den der finder på at misbruge
domænet?

Jeg kan dog ikke rigtig se hvordan det kan hjælpe...

--
Esben

---

On Sun, 14 Mar 2004 09:33:19 +0100, Esben Laursen wrote:
> Det er heldigvis ved at stilne lidt af og mit antal email er ved at
> normalisere sig igen, vil i anbefale at jeg installere spamassasin på
> serveren for at afhverve næstegang der er den der finder på at misbruge
> domænet?

Der er ikke rigtigt så meget at gøre når det sker.

Det smarteste man kan gøre er nok bare at smide al mail til ikke
eksisterende adresser på domænet videre til /dev/null.

--
Bjørn Connolly
Disclaimer at <http://www.vof.dk/concorp/disclaimer.html>
<<<<< EVACUATION ROUTE <<<<<

---

Bjørn Connolly skrev i -dk.edb.system.unix:

>> Det er heldigvis ved at stilne lidt af og mit antal email er ved at
>> normalisere sig igen, vil i anbefale at jeg installere spamassasin på
>> serveren for at afhverve næstegang der er den der finder på at misbruge
>> domænet?
> Der er ikke rigtigt så meget at gøre når det sker.

Jeg ser ikke bounces, min postfix er sat op til at afvise dem.

> Det smarteste man kan gøre er nok bare at smide al mail til ikke
> eksisterende adresser på domænet videre til /dev/null.

Eller få ens mailserver til at afvise dem ved havelågen,,,

--
Med venlig hilsen
Ivar Madsen

---

"Ivar Madsen" <spam.usenet.im@milli.dk> skrev i en meddelelse
news:7659450.61d19Fjj9g@news.milli.dk...
> Bjørn Connolly skrev i -dk.edb.system.unix:
>
> >> Det er heldigvis ved at stilne lidt af og mit antal email er ved at
> >> normalisere sig igen, vil i anbefale at jeg installere spamassasin på
> >> serveren for at afhverve næstegang der er den der finder på at misbruge
> >> domænet?
> > Der er ikke rigtigt så meget at gøre når det sker.
>
> Jeg ser ikke bounces, min postfix er sat op til at afvise dem.

Giver det ikke lidt et problem, at du ikke får at vide hvis en "rigtig" mail
ikke komme frem?

--
Esben

---

Esben Laursen skrev i -dk.edb.system.unix:


>> Jeg ser ikke bounces, min postfix er sat op til at afvise dem.
> Giver det ikke lidt et problem, at du ikke får at vide hvis en "rigtig" mail
> ikke komme frem?

Jov, jeg tænkte på virus bounches jeg tænkte på

|/^Subject: \{Virus\?\}/ REJECT
Bogus antivirus warning (1)
|/^Subject: Virus Detected by Network Associates, Inc\. Webshield/ REJECT
Bogus antivirus warning (2)
|/^Subject: ---- Virus Detected ----$/ REJECT
Bogus antivirus warning (3)
|/^Subject: Virus detected$/ REJECT
Bogus antivirus warning (4)
|/^Subject: Virus Alert$/ REJECT
Bogus antivirus warning (5)
|/^Subject: InterScan NT Alert$/ REJECT
Bogus antivirus warning (6)
|/^Subject: Virus found in the message$/ REJECT
Bogus antivirus warning (7)

osv, find dem alle på http://www.t29.dk/antiantivirus.txt

--
Med venlig hilsen
Ivar Madsen

---

"Bjørn Connolly" <usenet@concorp.dk> skrev i en meddelelse
news:slrnc587l3.186r.concorp@scylla.vof.dk...
> On Sun, 14 Mar 2004 09:33:19 +0100, Esben Laursen wrote:
> > Det er heldigvis ved at stilne lidt af og mit antal email er ved at
> > normalisere sig igen, vil i anbefale at jeg installere spamassasin på
> > serveren for at afhverve næstegang der er den der finder på at misbruge
> > domænet?
>
> Der er ikke rigtigt så meget at gøre når det sker.
>
> Det smarteste man kan gøre er nok bare at smide al mail til ikke
> eksisterende adresser på domænet videre til /dev/null.
>

Hvordan vil du lige gøre det?

--
Esben

---

Esben Laursen skrev i -dk.edb.system.unix:

>> Det smarteste man kan gøre er nok bare at smide al mail til ikke
>> eksisterende adresser på domænet videre til /dev/null.
> Hvordan vil du lige gøre det?

Nu kender jeg ikke så meget til qmail (som det vist er du bruger) men postfix
kan sættes til at køre luser_relay, men lukke for angivne adr. kan qmail ikke
noget tilsvarende?
Ellers så kan du thivertifald køre procmail, og deri kan du flytte dem over i
/dev/null ved

:0
* ^X-Mailer: The Bat
* ^From: admin@milli.dk
/dev/null

Det er en virusmail (hvis jeg husker ret) der altid havde "X-Mailer: The Bat" i
headeren, og altid var med admin@[To-Domæne] som afsender, og den flytter jeg
så over i /dev/null

--
Med venlig hilsen
Ivar Madsen

---

In article <e5L4c.12488$BM2.7635@news.get2net.dk>, Esben Laursen wrote:
>
> "Morten Guldager" <spamtrap@mogul.dk> skrev i en meddelelse
> news:slrnc56sa9.65q.spamtrap@linuxine.mogul.dk...
><snip>
>>
>> Måske.... Han du fange en af de formodede spam-mails, incl fuld header.
> Måske
>> der er et hint der.
>
> Jaeee måske.. Jeg har klippet en i køen ind nederest i mailen
>
>> Måske det er en spamer der har sat random@dit-domæne.dk på som afsender på
> sit
>> junk, og det du ser er bounces? (kendt fænomen
>
> Lyder sansynligt, men hvordan slipper man af med det???

Lobbyer for det jeg længe har sagt, en multinational militær enhed
som kan slå ned mod spammere og andre cyberterrorister med den nødvendige
kraft.

---

"Povl H. Pedersen" <povlhp@povl-h-pedersens-computer.local> skrev i en
meddelelse news:slrnc573qa.2uo.povlhp@povl-h-pedersens-computer.local...
<snip>
> Lobbyer for det jeg længe har sagt, en multinational militær enhed
> som kan slå ned mod spammere og andre cyberterrorister med den nødvendige
> kraft.

enig, måske jeg skulle kontakte min tidligere arbejdsgiver, Hærens Operative
Kommando =)

--
Esben

---

Esben Laursen skrev i -dk.edb.system.unix:

> En ting er bare at min server, stå på en tele2adsl, hvor de har lukket port
> 25, så jeg bruger en mail relay af deres.
> Det gør jo at min server umuligt kan være en openrelay ude på internettet
> uanset om den er i virkeligheden er.

Det er en simpel ting, at gøre det umulige muligt. En hest der lytter på en
ikke spæret port, og så kan der sendes mail til din maskine, som den kan stå
og spytte ud i tusindvis.
Det er flere andre måder det kan gøres på, hvis først man har en bagdør til
maskinen åben.

--
Med venlig hilsen
Ivar Madsen

---

"Ivar Madsen" <spam.usenet.im@milli.dk> skrev i en meddelelse
news:5567743.b1m4FzGqJY@news.milli.dk...
> Esben Laursen skrev i -dk.edb.system.unix:
>
> > En ting er bare at min server, stå på en tele2adsl, hvor de har lukket
port
> > 25, så jeg bruger en mail relay af deres.
> > Det gør jo at min server umuligt kan være en openrelay ude på
internettet
> > uanset om den er i virkeligheden er.
>
> Det er en simpel ting, at gøre det umulige muligt. En hest der lytter på
en
> ikke spæret port, og så kan der sendes mail til din maskine, som den kan
stå
> og spytte ud i tusindvis.
> Det er flere andre måder det kan gøres på, hvis først man har en bagdør
til
> maskinen åben.

Ja, det er klart...

Jeg var også ret sure på dem, da de ikke have oplyst mig om at de lukkede
for bestemte porte da jeg flyttede til dem... Jeg fattede heller ikke at jeg
ikke fik port i 2 dage indtil jeg lavede en port scanning på min firewall,
og så at den var lukket, røvhuller.... Det ku de sku godt have sagt..

--
Esben

---

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:

> "Bjørn Connolly" <usenet@concorp.dk> skrev i en meddelelse
> news:slrnc587l3.186r.concorp@scylla.vof.dk...
>> On Sun, 14 Mar 2004 09:33:19 +0100, Esben Laursen wrote:
>> > Det er heldigvis ved at stilne lidt af og mit antal email er ved at
>> > normalisere sig igen, vil i anbefale at jeg installere spamassasin på
>> > serveren for at afhverve næstegang der er den der finder på at misbruge
>> > domænet?
>>
>> Der er ikke rigtigt så meget at gøre når det sker.
>>
>> Det smarteste man kan gøre er nok bare at smide al mail til ikke
>> eksisterende adresser på domænet videre til /dev/null.
>>
>
> Hvordan vil du lige gøre det?

echo # > /var/qmail/alias/.qmail-default

(og tilsvarende for eventuelle virtualdomains)


/Claus A

---

Esben Laursen wrote:
> Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
> begyndte min MRTG statestik lige pludselig at gå amok, der blev send
> omkring 200 mail i sekundet, hvilket må siges at være ret skidt..
> Derfor lukkede jeg den ned, men ville gerne have den op igen ASAP
>
> I min tcp.smtp fil står der:
>
> 127.0.0.:allow,RELAYCLIENT=""
> 192.168.1.:allow,RELAYCLIENT=""
>
> Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt.
> Jeg har ikke nogen mailform eller ligeende kørende på webserveren, kun
> windows klienter bag den.
>
Hvad siger din qmail log ?
/carsten

---

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:

> Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
> begyndte min MRTG statestik lige pludselig at gå amok, der blev send
> omkring 200 mail i sekundet, hvilket må siges at være ret skidt.. Derfor
> lukkede jeg den ned, men ville gerne have den op igen ASAP
>
> I min tcp.smtp fil står der:
>
> 127.0.0.:allow,RELAYCLIENT="" 192.168.1.:allow,RELAYCLIENT=""
>
> Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt. Jeg
> har ikke nogen mailform eller ligeende kørende på webserveren, kun
> windows klienter bag den.
>
> Er der en der har et bud på hvad det ellers kan være?

Hvad siger loggen? (smid den evt. paa web)


/Claus A

---

"Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
news:20040312.223946073985500@csa-net.dk...
> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>
> > Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
> > begyndte min MRTG statestik lige pludselig at gå amok, der blev send
> > omkring 200 mail i sekundet, hvilket må siges at være ret skidt.. Derfor
> > lukkede jeg den ned, men ville gerne have den op igen ASAP
> >
> > I min tcp.smtp fil står der:
> >
> > 127.0.0.:allow,RELAYCLIENT="" 192.168.1.:allow,RELAYCLIENT=""
> >
> > Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt. Jeg
> > har ikke nogen mailform eller ligeende kørende på webserveren, kun
> > windows klienter bag den.
> >
> > Er der en der har et bud på hvad det ellers kan være?
>
> Hvad siger loggen? (smid den evt. paa web)
>

/var/log/qmail/current:
http://skyldahl.dk/current

/var/log/qmail/smtpd/current:
http://skyldahl.dk/current-smtpd

--
Esben

---

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:

> "Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
> news:20040312.223946073985500@csa-net.dk...
>> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>>
>> > Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
>> > begyndte min MRTG statestik lige pludselig at gå amok, der blev send
>> > omkring 200 mail i sekundet, hvilket må siges at være ret skidt.. Derfor
>> > lukkede jeg den ned, men ville gerne have den op igen ASAP
>> >
>> > I min tcp.smtp fil står der:
>> >
>> > 127.0.0.:allow,RELAYCLIENT="" 192.168.1.:allow,RELAYCLIENT=""
>> >
>> > Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt. Jeg
>> > har ikke nogen mailform eller ligeende kørende på webserveren, kun
>> > windows klienter bag den.
>> >
>> > Er der en der har et bud på hvad det ellers kan være?
>>
>> Hvad siger loggen? (smid den evt. paa web)
>>
>
> /var/log/qmail/current:
> http://skyldahl.dk/current

Der er absolut ingen indikation af 200 mails i sekundet...

> /var/log/qmail/smtpd/current:
> http://skyldahl.dk/current-smtpd

Heller ikke her, for den sags skyld.


/Claus A

---

"Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
news:20040312.225544354646500@csa-net.dk...
> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>
> > "Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
> > news:20040312.223946073985500@csa-net.dk...
> >> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
> >>
> >> > Jeg har en qmail kørende som åbenbart står åbent for relaying.. I dag
> >> > begyndte min MRTG statestik lige pludselig at gå amok, der blev send
> >> > omkring 200 mail i sekundet, hvilket må siges at være ret skidt..
Derfor
> >> > lukkede jeg den ned, men ville gerne have den op igen ASAP
> >> >
> >> > I min tcp.smtp fil står der:
> >> >
> >> > 127.0.0.:allow,RELAYCLIENT="" 192.168.1.:allow,RELAYCLIENT=""
> >> >
> >> > Og jeg har kørt /etc/init.d/qmail cdb mange gange uden nogen efekt.
Jeg
> >> > har ikke nogen mailform eller ligeende kørende på webserveren, kun
> >> > windows klienter bag den.
> >> >
> >> > Er der en der har et bud på hvad det ellers kan være?
> >>
> >> Hvad siger loggen? (smid den evt. paa web)
> >>
> >
> > /var/log/qmail/current:
> > http://skyldahl.dk/current
>
> Der er absolut ingen indikation af 200 mails i sekundet...
>
> > /var/log/qmail/smtpd/current:
> > http://skyldahl.dk/current-smtpd
>
> Heller ikke her, for den sags skyld.
>

Der er bare også begyndt at komme beskeder tilbage at de gerne vil slettes
af vores "spam" liste....

plus der kommer en del returned mail tilbage til og, hvor modtageren ikke
findes...
--
Esben

---

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:

>> >> > Er der en der har et bud på hvad det ellers kan være?
>> >>
>> >> Hvad siger loggen? (smid den evt. paa web)
>> >>
>> >
>> > /var/log/qmail/current:
>> > http://skyldahl.dk/current
>>
>> Der er absolut ingen indikation af 200 mails i sekundet...
>>
>> > /var/log/qmail/smtpd/current:
>> > http://skyldahl.dk/current-smtpd
>>
>> Heller ikke her, for den sags skyld.
>>
>
> Der er bare også begyndt at komme beskeder tilbage at de gerne vil
> slettes af vores "spam" liste....
>
> plus der kommer en del returned mail tilbage til og, hvor modtageren
> ikke findes...

Saa maa du vise os nogle mere relevante logs (fra qmail-send).
Smid ogsaa output'et fra qmail-showctl paa web.

Benytter du pop-before-smtp eller smtpauth?
Hvordan har du installeret din qmail?


/Claus A

---

"Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
news:20040313.010528714621500@csa-net.dk...
> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>
> >> >> > Er der en der har et bud på hvad det ellers kan være?
> >> >>
> >> >> Hvad siger loggen? (smid den evt. paa web)
> >> >>
> >> >
> >> > /var/log/qmail/current:
> >> > http://skyldahl.dk/current
> >>
> >> Der er absolut ingen indikation af 200 mails i sekundet...

Hvordan kan du se det??

> >>
> >
> > Der er bare også begyndt at komme beskeder tilbage at de gerne vil
> > slettes af vores "spam" liste....
> >
> > plus der kommer en del returned mail tilbage til og, hvor modtageren
> > ikke findes...
>
> Saa maa du vise os nogle mere relevante logs (fra qmail-send).
> Smid ogsaa output'et fra qmail-showctl paa web.

Jeg har ikke nogen qmail-send log.

> Benytter du pop-before-smtp eller smtpauth?

Nej

> Hvordan har du installeret din qmail?

Efter www.lifewithqmail.org det er dog nok ved at være et år eller 2 siden..

--
Esben

---

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:

> "Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
> news:20040313.010528714621500@csa-net.dk...
>> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>>
>> >> >> > Er der en der har et bud på hvad det ellers kan være?
>> >> >>
>> >> >> Hvad siger loggen? (smid den evt. paa web)
>> >> >>
>> >> >
>> >> > /var/log/qmail/current:
>> >> > http://skyldahl.dk/current
>> >>
>> >> Der er absolut ingen indikation af 200 mails i sekundet...
>
> Hvordan kan du se det??

Du viser os en log fil med 23 linier; med et tidsspand paa 7 sekunder og
3 mailleveringer.....

>> > Der er bare også begyndt at komme beskeder tilbage at de gerne vil
>> > slettes af vores "spam" liste....
>> >
>> > plus der kommer en del returned mail tilbage til og, hvor modtageren
>> > ikke findes...
>>
>> Saa maa du vise os nogle mere relevante logs (fra qmail-send).
>> Smid ogsaa output'et fra qmail-showctl paa web.
>
> Jeg har ikke nogen qmail-send log.

Jo, /var/log/qmail/(current) er logfilen fra qmail-send.

>> Benytter du pop-before-smtp eller smtpauth?
>
> Nej
>
>> Hvordan har du installeret din qmail?
>
> Efter www.lifewithqmail.org det er dog nok ved at være et år eller 2
> siden..

Ok, saa skulle der ikke vaere nogle problemer paa det punkt.


/Claus A

---

"Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
news:20040314.134527630370500@csa-net.dk...
> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>
> > "Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
> > news:20040313.010528714621500@csa-net.dk...
> >> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
> >>
> >> >> >> > Er der en der har et bud på hvad det ellers kan være?
> >> >> >>
> >> >> >> Hvad siger loggen? (smid den evt. paa web)
> >> >> >>
> >> >> >
> >> >> > /var/log/qmail/current:
> >> >> > http://skyldahl.dk/current
> >> >>
> >> >> Der er absolut ingen indikation af 200 mails i sekundet...
> >
> > Hvordan kan du se det??
>
> Du viser os en log fil med 23 linier; med et tidsspand paa 7 sekunder og
> 3 mailleveringer.....
>
OK, det kan også godt være jeg fejl aflæste min mrtg statestik til at måske
være 200 hvert 5 minut =) my bad...

Hvordan regner du tiden ud???

Man må gå ud fra at det er fra:
@4000000040521e241ad3f15c

Men lige derfra og videre, jeg ved godt den tæller op fra et vis punkt en
gang i 80'erne, men derfra og så kunne se tiden i linien fanger jeg ikke..

--
Esben

---

"Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:

> "Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
> news:20040314.134527630370500@csa-net.dk...
>> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>>
>> > "Claus Alboege" <csa@csa-net.dk> skrev i en meddelelse
>> > news:20040313.010528714621500@csa-net.dk...
>> >> "Esben Laursen" <hyber@NOSPAM-PLEASE.hyber.dk> writes:
>> >>
>> >> >> >> > Er der en der har et bud på hvad det ellers kan være?
>> >> >> >>
>> >> >> >> Hvad siger loggen? (smid den evt. paa web)
>> >> >> >>
>> >> >> >
>> >> >> > /var/log/qmail/current:
>> >> >> > http://skyldahl.dk/current
>> >> >>
>> >> >> Der er absolut ingen indikation af 200 mails i sekundet...
>> >
>> > Hvordan kan du se det??
>>
>> Du viser os en log fil med 23 linier; med et tidsspand paa 7 sekunder og
>> 3 mailleveringer.....
>>
> OK, det kan også godt være jeg fejl aflæste min mrtg statestik til at måske
> være 200 hvert 5 minut =) my bad...

Ja, det er jo kun en faktor 300 :) Spoergsmaalet er saa om 200 mails pr
5 minutter er meget i din installation?

> Hvordan regner du tiden ud???
>
> Man må gå ud fra at det er fra:
> @4000000040521e241ad3f15c
>
> Men lige derfra og videre, jeg ved godt den tæller op fra et vis punkt en
> gang i 80'erne, men derfra og så kunne se tiden i linien fanger jeg ikke..

multilogs timestamps er i TAI64N format. Du kan konvertere til
localtime, med tai64nlocal programmet.

tai64nlocal < /var/log/qmail/current

eller

cat /var/log/qmail/current | tai64nlocal

Tag evt et kig paa:

http://cr.yp.to/daemontools.html


/Claus A