[linux] Re: Hoe voorkom ik dit mailserver gebruik

[Kees Theunissen]

On Mon, 15 Jan 2007, Roger Boussen wrote:
>
>Kees Theunissen schreef:
>>
>> Als je geen open relay hebt dan begrijp ik niet wat jouw probleem is.
>
>Hier een stukje header van een bericht dat zogenaamd van mijn domein komt:

[...]

>Received: from uoyxihh ([210.87.15.177]) by mail.carnerosinn.com with
>Microsoft SMTPSVC(5.0.2195.6713);
>	 Sun, 14 Jan 2007 15:01:46 -0800

mail.carnerosinn.com heeft de spam ontvangen en rapporteert dat naar
jou, zijnde de vermeende afzender. Het IP nummer van de machine waar
de spam vandaan kwam was [210.87.15.177]. Dat is het IP nummer waarmee
mail.carnerosinn.com heeft gecommuniceerd, en dat kan niet gefaked
worden. De host naam "uoyxihh" waarmee de zendende server zich had
aangemeld is duidelijk wel fake. En dat houdt in dat je alle
volgende headers (met name de received: headers) niet meer kunt
vertrouwen omdat die door de spammer zijn geconstrueerd om de
oorsprong van het bericht te verdoezelen.

>Received: (qmail 20170 invoked from network); Mon, 15 Jan 2007 07:59:11
>-0800

Geen enkele indicatie wie deze header heeft toegevoegd.
De timestamp komt overeen met de volgende received: header dus het
zal wel bedoeld zijn als onderdeel van het dwaalspoor dat de volgende
header probeert uit te zetten.

>Received: from unknown (HELO pqtt) (79.52.42.236)
>	by uoyxihh with SMTP; Mon, 15 Jan 2007 07:59:11 -0800

De vermeende host "uoyxihh" zegt hier dat het bericht ontvangen
werd van een computer die zich "pqtt" noemt en IP nummer 79.52.42.236
had. Maar waarom zouden we dit geloven? Als de machine zichzelf
aanduidt met de niet nader traceerbare naam "uoyxihh" dan heeft die
iets te verbergen. De hele header is gewoon fake en [79.52.42.236]
heeft er ongetwijfeld niets mee te maken.

>Message-ID: <001d01c738be$18eb1630$ec2a344f op pqtt>

Dat "@pqtt" komt wel mooi overeen met met de "HELO pqtt" in de
voorgaande received header, maar dat betekent alleen maar dat ze het
dwaalspoor consequent hebben proberen uit te zetten. Hier had een
met "nslookup" traceerbare "fully qualified domain name" moeten staan.

>From: "dandy" <ogr op boussen.net>

Omdat we al tot de conclusie waren gekomen dat we de zendende computer
niet kunnen vertrouwen, is er ook geen reden om aan te nemen dat
<ogr op boussen.net> iets met dit bericht te maken heeft.

[...]

>Mijn ip adres komt niet overeen met 79.52.42.236, dit is denk ik het
>adres wat de mail verstuurd heeft.

Nee, ook dat was al misleiding.
De zombie die de mail heeft verstuurd zat op [210.87.15.177].

[...]

>Dus het lijkt erop dat mijn domeinnaam gebruikt wordt, maar hoe krijg ik
>hier een vinger achter.

Ik denk niet dat jij op machine X er enige invloed op kunt uitoefenen
of een spammer op machine Y jouw naam gebruikt om mail naar Z te sturen.
Helaas, maar het is niet anders.


Groeten,

Kees.

-- 
Kees Theunissen
F.O.M.-Instituut voor Plasmafysica Rijnhuizen, Nieuwegein
E-mail: theuniss op rijnh.nl,     Tel: 030-6096724,     Fax: 030-6031204