[linux] Re: OT: SPAM versterker gedetecteerd.

Hugo van der Kooij hvdkooij op vanderkooij.org
Za Jun 23 10:50:03 CEST 2007


On Sat, 23 Jun 2007, Robert M. Stockmann wrote:

> On Fri, 22 Jun 2007, Hugo van der Kooij wrote:
>
>> Date: Fri, 22 Jun 2007 20:46:49 +0200 (CEST)
>> From: Hugo van der Kooij <hvdkooij op vanderkooij.org>
>> Reply-To: linux op lists.nllgg.nl
>> To: Linux mailinglist <linux op lists.nllgg.nl>
>> Subject: [linux] OT: SPAM versterker gedetecteerd.
>>
>> Hoi,
>>
>> KPN heeft een schat van een SPAM versterker staan. Het kreng vreet alles
>> met SMTP en spuugt dan naar de fake afzender. En met een totale waardeloze
>> melding want waar de echte afzender zat laat de log onvermeld.
>>
>> Ik kan me geen betere reclame bedenken om Microsoft Exchange te promoten
>> als een perfect veilige email server.
>>
>> Totdat het tegendeel bewezen wordt is kpnxchange.com dus welkom in mijn
>> blacklist.
>>
>
> Hoi,
>
> Tja dat is een probleem. Ik heb hier m'n eigen email server opgetuigd
> met anti-spam en anti-virus software. Op de een of andere manier
> zorgt de spam feed die ik hier binnen krijg voor een belachelijke
> hoeveelheid mailer-deamon meldingen :
>
>
> ------------------------------------------------------------------------
> Date: 22 Jun 2007 23:25:26 -0000
> From: MAILER-DAEMON op stokkie.net
> To: postmaster op stokkie.net
> Subject: failure notice
>
> Hi. This is the qmail-send program at stokkie.net.
> I tried to deliver a bounce message to this address, but the bounce bounced!
>
> <bkfk op utdallas.edu>:
> 129.110.10.17 does not like recipient.
> Remote host said: 450 <bkfk op utdallas.edu>: Recipient address rejected: User
> unknown in relay recipient table
> Giving up on 129.110.10.17.
> I'm not going to try again; this message has been in the queue too long.
> ------------------------------------------------------------------------

Frapant is dat deze servers daadwerkelijk relaying doen. Want ik krijg 
eerst een SMTP attempt voor de spam maar die schiet ik af op de onbekende 
namen. Daarna krijg ik de bounce.

De bounce messages ben ik aan gewend. Maar die bevatten altijd een hint 
waar het bericht orgineel vandaan komen. Dat laat KPN hier na.

Het blijkt dat KPN de Planet gebruiker in ieder geval deze 'service' 
biedt. Want ik kreeg later een fake wanadoo bericht door van een Planet 
netwerk adres (81.205.212.85):

Jun 21 15:48:38 faramir postfix/smtpd[14745]: connect from hpsmtp-eml14.kpnxchange.com[213.75.38.114]
Jun 21 15:48:38 faramir postgrey[4034]: delayed 82 seconds: client=hpsmtp-eml14.kpnxchange.com, from=k.hirschstein op wanadoo.nl, to=hugo op vanderkooij.org
Jun 21 15:48:38 faramir postfix/smtpd[14745]: CD4DE1BC0B2C: client=hpsmtp-eml14.kpnxchange.com[213.75.38.114]
Jun 21 15:48:38 faramir postfix/cleanup[14767]: CD4DE1BC0B2C: hold: header Received: from hpsmtp-eml14.kpnxchange.com (hpsmtp-eml14.kpnxchange.com [213.75.38.114])??by faramir.hugo.vanderkooij.org (Postfix) with ESMTP id CD4DE1BC0B2C??for <hugo op vanderkooij.org>; Thu, 21 Jun  from hpsmtp-eml14.kpnxchange.com[213.75.38.114]; from=<k.hirschstein op wanadoo.nl> to=<hugo op vanderkooij.org> proto=ESMTP helo=<hpsmtp-eml14.kpnxchange.com>
Jun 21 15:48:38 faramir postfix/cleanup[14767]: CD4DE1BC0B2C: hold: header Received: from hpsmtp-eml03.kpnxchange.com ([213.75.38.103]) by hpsmtp-eml14.kpnxchange.com with Microsoft SMTPSVC(6.0.3790.1830);?? Thu, 21 Jun 2007 15:47:15 +0200 from hpsmtp-eml14.kpnxchange.com[213.75.38.114]; from=<k.hirschstein op wanadoo.nl> to=<hugo op vanderkooij.org> proto=ESMTP helo=<hpsmtp-eml14.kpnxchange.com>
Jun 21 15:48:38 faramir postfix/cleanup[14767]: CD4DE1BC0B2C: hold: header Received: from wanadoo.nl ([81.205.212.85]) by hpsmtp-eml03.kpnxchange.com with Microsoft SMTPSVC(6.0.3790.1830);?? Thu, 21 Jun 2007 15:47:12 +0200 from hpsmtp-eml14.kpnxchange.com[213.75.38.114]; from=<k.hirschstein op wanadoo.nl> to=<hugo op vanderkooij.org> proto=ESMTP helo=<hpsmtp-eml14.kpnxchange.com>
Jun 21 15:48:38 faramir postfix/cleanup[14767]: CD4DE1BC0B2C: message-id=<HPSMTP-EML03gv3SuY20002d422 op hpsmtp-eml03.kpnxchange.com>Jun 21 15:48:39 faramir postfix/smtpd[14745]: disconnect from hpsmtp-eml14.kpnxchange.com[213.75.38.114]

Het ontraceerbare karakter van de bounces van deze service is mijn 
grootste probleem. Er spettert garbage uit hun server maar ik kan niet 
traceren wie hun de rommel aanlevert. En dan is het dus domweg hun 
rommel en hun probleem.

> Robert
> PS. Heeft iemand onlangs nog eens geprobeerd om een whois query uit te voeren?
>    probeer eens :
>
>    whois yahoo.com
>    whois aol.com
>    whois hotmail.com
>    whois microsoft.com

Niks mis mee. Maar ik gebruik whois normaal alleen voor IP lookups. Maar 
ondersteun je wel recursive queries?

$ whois yahoo.com
[Querying whois.internic.net]
[Redirected to whois.markmonitor.com]
[Querying whois.markmonitor.com]
[whois.markmonitor.com]
MarkMonitor.com - The Leader in Corporate Domain Management
......<Normale YAHOO listing>.....

Hugo.

-- 
 	hvdkooij op vanderkooij.org	http://hugo.vanderkooij.org/
 	    This message is using 100% recycled electrons.

 	Some men see computers as they are and say "Windows"
 	I use computers with Linux and say "Why Windows?"
 		(Thanks JFK, for the insight.)



More information about the Linux mailing list