Help: Meer dan 200 mails per dag

skywalker · 17 mei 2003, 13:18

Sinds een paar dagen krijg ik op een bepaald email-adres (adres van een bedrijf maar wel gehost op skynet) 200 mails per dag binnen van onbekende personen, met allemaal andere attachments (.com .exe .scr), elke email is ook nog van een andere persoon.

Is hier iets tegen te doen, werken met rules om deze mails te verwijderen helpt niet denk ik, want elke mail heeft een andere afzender.

Een paar voorbeeld headers:

Return-Path: <guenter.glabonia [email protected]>
Received: from Bailei2 (212.95.19.22) by mta01.belbone.be (6.7.015)
id 3E22F1A70047648E for [email protected] ; Fri, 16 May 2003 16:24:39
+0200
Message-ID: <3E22F1A70047648E @mta01.belbone.be> ; (added by
[email protected] ">postmaster@belbone .be )
Date: 16:23:17, 16.05.2003
From: Ethan <guenter.glabonia [email protected]>
To: <[email protected] >
Subject: Re: Quickbox 12HE
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="Uniqu e_Boundary"

Return-Path: <jenlinko@whereow are.com>
Received: from Antoki529 (63.88.75.5) by mta01.belbone.be (6.7.015)
id 3E22F1A70047635F for [email protected] ; Fri, 16 May 2003 16:18:48
+0200
Message-ID: <3E22F1A70047635F @mta01.belbone.be> ; (added by
[email protected] ">postmaster@belbone .be )
Date: 10:18:31 AM, 5/16/2003
From: jenlinko <jenlinko@whereow are.com>
To: <[email protected] >
Subject: moin uk-world
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="Uniqu e_Boundary"

Return-Path: <[email protected] >
Received: from Trioit600 (195.241.154.110) by mta01.belbone.be (6.7.015)
id 3E22F1A700474482 for [email protected] ; Fri, 16 May 2003 14:26:24
+0200
Message-ID: <3E22F1A700474482 @mta01.belbone.be> ; (added by
[email protected] ">postmaster@belbone .be )
Date: 14:10:11, 16-5-2003
From: Isabel <[email protected] >
To: <[email protected] >
Subject: see you tomorrow.
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="Uniqu e_Boundary"

Bedankt voor de eventuele info:

The Oddity · 17 mei 2003, 13:42

Hmm, indien er .exe .scr ea aan hangen, dan zijn dit meestal wel virus mails.

Dit betekent dat jouw emailadres ergens in een listing van een pc zit die besmet is met een virus en waarvan dat virus zich zelf permanent blijft verspreiden.

De afzenders zijn idd steefs anders, maar het adres ip is steeds hetzelfde --> ergens bij Belbone.be.

Ik zou je adviseren ofwel belbone in te lichten op [email protected], indien je dit naar skynet stuurt zullen ze dat fwden naar belbone.

Je kan een regel aanmaken, maar die wordt dan wel heel complex en niet 100% sluitend.. iets a la: Iff(headers include: belbone.be) maaar dan kan je geen enkele mail meer via belbone ontvangen...

Kzou zeggen mail die headers door naar belbone, hopelijk stopt het.
Indien het niet stopt is er maar één oplossing, maar die is wel drastisch: je alias vervangen!

Erik · 17 mei 2003, 14:21

hallo,

amaai vriend 200 mails perr dag hmmm .waarschijnlijk ben jij slachtoffer van een virus dat zich automatisch naar alle e-mail addressen verspreidt die het vind in het adresboek van windows

het beste wat jij kan doen is uw e-mail alias vervangen want die abuse daar kan je lang op wachten hoor en dan is het nog niet zeker of ze der effectief iets aan doen

of wil jij 200 mails per dag deleten ? ik zou naar deze site gaan

https://e-care.skynet.be/Login/index.cf ... &langue=nl

of ge kunt onze skynettool hiervoor ook gebruiken

natuurlijk als je verkiest van naar [email protected] te sturen en te wachten ok dat is jouw keuze maar ik vrees dat ze je aan het lijntje gaan houden

17 mei 2003, 14:35

Het wordt in ieder geval verzonden van binnen het belbone-netwerk, de mailserver heeft open relaying af staan:

Code: Selecteer alles

220 mail.belbone.be ESMTP Sendmail 8.12.9/8.12.9; Sat, 17 May 2003 14:30:50 +020
0 (MET DST)
helo domain.com
250 mail.belbone.be Hello [62.4.x.x], pleased to meet you
mail from: [email protected]
250 2.1.0 [email protected]... Sender ok
rcpt to: [email protected]
550 5.7.1 [email protected]... Relaying denied. IP name lookup failed [62.4.x.x]

Het probleem ligt dus in ieder geval bij iemand die verbindt via belbone...

skywalker · 17 mei 2003, 14:52

Het probleem is dat mail adres gebruikt wordt door het bedrijf om klanten contacten te onderhouden, en dus de alias veranderen is nogal moeilijk.

Als het ip-adres van de afzender steeds hetzelfde is (zoals de eerste mod vertelde), is er dan geen mogelijkheid om zijn echt mail-adres van de afzender te weten te komen.

m.v.g.

Reeds bedankt voor de snelle response van de vorige post

Pi R² · 17 mei 2003, 15:55

ik weet niet welke mail-client je gebruikt, maar er is bij outlook express een mogelijkheid om bijlages in regels te gieten (bij outlook dus waarschijnlijk ook).

klik extra > berichtregels > email

als criteria:

Deze regel toepassen nadat het bericht is aangekomen
Als de regel Van bepaalde personen bevat
en Als het bericht een bijlage heeft

Van bepaalde personen, daar maakt ge @belbone.be van

en dan kan je zeggen :
verplaatsen naar een bepaalde map.

Je maakt dus een nieuwe map aan waarnaar je alles verplaatst. Dan kan je die mails daarin nog eens bekijken. Als er dan nog iets tussen moest zitten dat geen virusmails was, dan kan je die ervantussen halen.

The Oddity · 17 mei 2003, 15:57

Yep,

daarom kan je idd best even contact opnemen met de abuse diensten van Belbone.be. Maar als ik mij niet vergis is dat de interne ISP van Belgacom.. maar er zit daar vanalles op, zowat ook bedrijven en BGC zelf, ea...

Ik zou een deftige klacht indienen via email, form op skynet site en eventueel phone en brieven sturen.. normaal als ge er genoeg tijd en energie in steekt bij BGC kunt ge ze wel dingen doen doen.. maar ik zeg het.. ge gaat er tijd moeten insteken...

Voldoende info bezorgen aan die mensen... sistuatie goed uitleggen.
Veel succes zou ik zeggen. Hou ons op de hoogte.

sky · 19 mei 2003, 13:57

Vandaag reactie gehad van de postmaster van belbone.
Hij vertelde dat het inderdaad ging om een virus mail, nl het FIZZER virus, en hij vertelde ook nog dat er op dit ogenblijk weinig aan te doen was.

Ik denk dus dat ik zal moeten wachten tot die personen het virus hebben kunnen verwijderen, als ze het al weten natuurlijk.

Bedankt voor al de reacties.

Erik · 19 mei 2003, 14:27

hallo,

aha Er komt schot in de zaak .Waarschijnlijk gaat het hier om een zeer onschuldige virusinfectie en ik durf dervoor wedden dat die mensen niet eens weten dat hun pc met een virus is besmet .Hier is wat info (een removal tool )

http://securityresponse1.symantec.com/s ... .tool.html

http://search.symantec.com/custom/us/query.html

The Oddity · 20 mei 2003, 09:49

Hehe,

heb vandaag ook een virus binnengekregen van [email protected]

:D maar NAV had em bij zijn **** alvorens hij binnen was--> np dus.

Sky, wat betreft je probleem, ik zou idd zeggen: even geduld, indien je een persoonlijke reply krijgt van de postmaster, dan schat ik u probleem positief in, want dan hebben ze er toch naar gekeken, en zal er iets aan gedaan worden in hoogste waarschijnlijkheid. Kzou zeggen: hou ons op de hoogte.

20 mei 2003, 10:59

Ik heb eigenlijk nog nooit virussen gehad via mail... En dat ligt niet aan NAV, maar eerder aan het feit dat m'n mailhost de mails eerst al scant voor dat ik ze ontvang, en blijkbaar doen ze dat héél goed :-)

Die [email protected] klinkt heel erg als het Palyh-virus. Mocht iemand het spreekwoordelijke spek aan zijn broek hebben, dan kan je hier een tooltje downloaden om je pc te genezen: http://www.zdnet.be/downl_inter.cfm?id= ... 3331&sit=1

The Oddity · 20 mei 2003, 16:52

Hmmja,

meon, dat is idd een oplossing, een mailscanner op de server dat zou efficient zijn voor een groot aantal internet gebruikers en dat zou een pak problemen minder opleveren. Maar langs de andere kant is dit enige beperking van diensten vind ik dan weer... allez ja.. als je zelf kiest voor een AV op de server dan niet natuurlijk.. maar moest Skynet dat doorvoeren zoals Telenet, dan zou ik daar niet volle 100% happy mee zijn... tenzij je dat per mailbox zou kunnen uitzetten

Reden: een AV of SpamKiller is nooit 100% correct, soms te streng... dus kans dat mail berichten verloren gaan

, langs de andere kant stel twee studenten, wisselen de source code uit van een virus, om iets bij te leren op programmatorisch vlak...--> via mail? ah neen eh, vergeet et,want het mailtje wordt heel grondig gekuist.. zonder dat er eigenlijk gevaar was..

Allez ja.. kwil maar zeggen, alles heeft zijn voor en nadelen...

enne dat virus ivm microsoft: Manx noemt het..

--> is dat van u, maar ondere andere naam...

Arator · 20 aug 2003, 16:54

het zou in ieder geval wel handig zijn dat als er een massale virusplaag opduikt, ze ginder gewoon een knopje induwen om dat allemaal te blokkeren.

Is dan toch een kwestie van service voor de meeste gebruikers op dat moment.
Moeten die studenten maar effe wachten om hun source code door te sturen

is mijn mening hé

The Oddity · 22 aug 2003, 12:51

Voor zover ik gehoord en gelezen heb, gebeurt dit nu wel bij Skynet alleszinds.

Bij extreme uitbraken grijpt de provider in... bvb bij Blaster werden de poorten tijdelijk dichtgezet, bij een extreme mailing, grijpen ze op de server ook in, zodat het niet tot bij de gebruikers komt...

Kdenk dat we daarvoor niet slecht zitten bij Skynet

Edit:

Gevonden op de Skynet Status Page

Om onze klanten te beschermen tegen het Sobig.F virus, werd een tijdelijke antivirus oplossing geactiveerd op onze mailservers.

Dit is volgens mij het bewijs dat er wel degelijk zo gewerkt wordt.