[linux] Re: OT: SPAM versterker gedetecteerd.

Robert M. Stockmann stock op stokkie.net
Za Jun 23 02:21:57 CEST 2007 

On Fri, 22 Jun 2007, Hugo van der Kooij wrote:

> Date: Fri, 22 Jun 2007 20:46:49 +0200 (CEST)
> From: Hugo van der Kooij <hvdkooij op vanderkooij.org>
> Reply-To: linux op lists.nllgg.nl
> To: Linux mailinglist <linux op lists.nllgg.nl>
> Subject: [linux] OT: SPAM versterker gedetecteerd.
> 
> Hoi,
> 
> KPN heeft een schat van een SPAM versterker staan. Het kreng vreet alles 
> met SMTP en spuugt dan naar de fake afzender. En met een totale waardeloze 
> melding want waar de echte afzender zat laat de log onvermeld.
> 
> Ik kan me geen betere reclame bedenken om Microsoft Exchange te promoten 
> als een perfect veilige email server.
> 
> Totdat het tegendeel bewezen wordt is kpnxchange.com dus welkom in mijn 
> blacklist.
> 

Hoi,

Tja dat is een probleem. Ik heb hier m'n eigen email server opgetuigd
met anti-spam en anti-virus software. Op de een of andere manier
zorgt de spam feed die ik hier binnen krijg voor een belachelijke
hoeveelheid mailer-deamon meldingen :


------------------------------------------------------------------------
Date: 22 Jun 2007 23:25:26 -0000
From: MAILER-DAEMON op stokkie.net
To: postmaster op stokkie.net
Subject: failure notice

Hi. This is the qmail-send program at stokkie.net.
I tried to deliver a bounce message to this address, but the bounce bounced!

<bkfk op utdallas.edu>:
129.110.10.17 does not like recipient.
Remote host said: 450 <bkfk op utdallas.edu>: Recipient address rejected: User
unknown in relay recipient table
Giving up on 129.110.10.17.
I'm not going to try again; this message has been in the queue too long.
------------------------------------------------------------------------

Een flinke hoeveelheid spam wordt gegenereerd met een fout
recipient adres zoals h2309 op vanderkooij.org, maar gebruikt dan ook
meteen h2309 op vanderkooij.org als afzender. Op die manier genereren
spam waves belachelijke hoeveelheden bounce en mailer-deamon emailtjes.

Nu kun je overwegen om de bounce faciliteit van je SMTP server
te disabelen, maar dat mag dat niet zomaar volgens de SMTP RFC's :

http://en.wikipedia.org/wiki/Bounce_message

  "Excluding MDAs, all MTAs forward mails to another MTA. This next 
   MTA is free to reject the mail with an SMTP error message like user 
   unknown, over quota, etc. At this point the sending MTA has to 
   inform the originator, or as RFC 2821 puts it:
    
     "If an SMTP server has accepted the task of relaying the mail 
      and later finds that the destination is incorrect or that the 
      mail cannot be delivered for some other reason, then it MUST 
      construct an "undeliverable mail" notification message and send 
      it to the originator of the undeliverable mail (as indicated by 
      the reverse-path)."

   This rule is essential for SMTP: as the name says, it's a simple 
   protocol, it cannot reliably work if mail silently vanishes in 
   black holes, so bounces are required to spot and fix problems.
   
   Today, however, most email is spam, which usually utilizes forged 
   Return-Paths. It is then often impossible for the MTA to inform the 
   originator, and sending a bounce to the forged Return-Path would 
   hit an innocent third party. This inherent flaw in today's SMTP 
   (without the deprecated source routes) is addressed by various 
   proposals, most directly by BATV and SPF."

Tja, zeg het maar ;) Volgens mij word bovenstaand op dit moment massaal 
aan de laars gelapt. Op het moment dat een aantal grote email service 
verleners namenlijk de automatische machine gegenereerde bounce en 
error emailtjes gaan disablen, wordt SMTP als message protocol 
onbetrouwbaar.

De hoofdreden van totaal zinloze spam (berichten met onleesbare inhoud) 
is volgens mij dan ook juist het onbetrouwbaar maken van SMTP als 
message protovol.

Iemand met een suggestie? RFC? Hugo's stelling :

  "totdat het tegendeel bewezen wordt is kpnxchange.com dus welkom in 
   mijn blacklist."

Tja op deze manier help je juist de spammers om hun geheime 
agenda (SMTP onbruikbaar maken) te realiseren. Als je de email admin
van kpnxchange.com hierover een uitspraak kan laten doen, houdt ik
me aanbevolen.

Vr.gr.

Robert
PS. Heeft iemand onlangs nog eens geprobeerd om een whois query uit te voeren?
    probeer eens :

    whois yahoo.com
    whois aol.com
    whois hotmail.com
    whois microsoft.com
-- 
Robert M. Stockmann - RHCE
Network Engineer - UNIX/Linux Specialist
crashrecovery.org  stock op stokkie.net

More information about the Linux mailing list