Spam med navne i mit domæne som afsender

5 views
Skip to first unread message

Jesper Dybdal

unread,
Jan 31, 2002, 5:23:51 AM1/31/02
to
Siden kl. ca. 7 i morges har jeg modtaget ca. 500 stk. mailserversvar
(plus nogle hundrede som blev afvist af ORDB) på forsøg på at spamme med
diverse opdigtede navne i mit domæne som afsender.

Der er vel ingen reel chance for at få stoppet det? Nogle af beskederne
har tilstrækkelig med info om den oprindelige spam til at jeg kan finde
en IP-adresse - men den jeg fandt var en dial-up i prodigy.net, og det
nytter næppe meget af klage over den.

Jeg modtager normalt hvadsomhelst (at) dybdal.dk, men har nu
(midlertidigt?) lavet en positivliste i postfix' regexp_access, så de
bliver afvist allerede på "rcpt to"-tidspunktet (og det gør post til
rigtige navne som jeg måtte have glemt at jeg har brugt jo så desværre
også).

Selv hvis jeg permanent holder op med at tage imod et hvilket som helst
navn i domænet, vil min server jo normalt tage imod alligevel, og så
skulle forsøge at sende en fejlreaktion tilbage (hvis der ellers er
afsender på, hvad der heldigvis ikke er her). Det vil belaste min
stakkels lille Linuxboks og 256 kbps-linie en del.

Er der nogen der har erfaringer med den slags? Går det over nogenlunde
hurtigt, eller bliver sådan en spammer ved med at bruge ens domænenavn?

Det eneste positive i sagen er at han trods alt ikke har brugt navne som
webmaster og postmaster som afsender - det ville være slemt at skulle
lukke dem.

--
Jesper Dybdal, Denmark.
http://www.dybdal.dk (in Danish).

Jesper Dybdal

unread,
Jan 31, 2002, 7:58:32 AM1/31/02
to
Klaus Ellegaard <kl...@ellegaard.dk> wrote:

>Jesper Dybdal <jdu...@u7.dybdal.dk> writes:
>
>>Er der nogen der har erfaringer med den slags? Går det over nogenlunde
>>hurtigt, eller bliver sådan en spammer ved med at bruge ens domænenavn?
>

>ellegaard.dk blev misbrugt i to ugers tid lige efter nytår. De
>holdt altså rimelig hurtigt op igen.

Det er jeg glad for at høre!

>Smid noget RBL-filtrering på af en art (ordb.org er en god ting).
>Så får man stort set ikke noget post, for det er naturligvis de
>åbne relays, der prøver at rapportere undeliverables.

Jeg har faktisk ordb på, og den fanger nogle, men kun godt en fjerdedel
af dem.

Jesper Dybdal

unread,
Jan 31, 2002, 8:13:38 AM1/31/02
to
Jeg skrev:

>Siden kl. ca. 7 i morges har jeg modtaget ca. 500 stk. mailserversvar
>(plus nogle hundrede som blev afvist af ORDB) på forsøg på at spamme med
>diverse opdigtede navne i mit domæne som afsender.

Hvor almindeligt er den slags? Bør man generelt holde sig fra at
acceptere post til hvadsomhelst@domæne for at undgå det, eller har jeg
bare været ekstremt uheldig at de har valgt mit domæne?

Hvis det er almindeligt, så må der jo også være mange ofre blandt
kunderne hos de webhoteludbydere der leverer sådan en
default-modtager-mekanisme.

Thomas Strandtoft

unread,
Jan 31, 2002, 8:56:04 AM1/31/02
to
Jesper Dybdal wrote:

> >Siden kl. ca. 7 i morges har jeg modtaget ca. 500 stk. mailserversvar
> >(plus nogle hundrede som blev afvist af ORDB) på forsøg på at spamme med
> >diverse opdigtede navne i mit domæne som afsender.
>
> Hvor almindeligt er den slags? Bør man generelt holde sig fra at
> acceptere post til hvadsomhelst@domæne for at undgå det, eller har jeg
> bare været ekstremt uheldig at de har valgt mit domæne?

Det er udelukkende et spørgsmål om du opdager det eller ej. I mit
mailprogram er det et spørgsmål om at jeg skal ændre én linie for
at kalde mig fx. thomas(at)dybdal. Herefter kan jeg poste til folk
og de vil tro jeg har noget med dig at gøre. Skriver jeg til
ugyldige adresser ryger mailserversvarene retur til dig, ikke
mig..

Hvis du accepterer hvadsomhelst@domæne kommer du til at se de
mailserversvar thomas(at)dybdal modtager. Vælger du kun at se svar
til gyldige dybdal adresser kan der gå længe før du opdager jeg
misbruger dit domænenavn. Du forhindrer ikke spammeren i misbruget
ved at slå accept af hvadsomhelst@domæne fra, du slipper bare for
at se på reaktionerne..

> Hvis det er almindeligt, så må der jo også være mange ofre blandt
> kunderne hos de webhoteludbydere der leverer sådan en
> default-modtager-mekanisme.

Når det drejer sig om spam er vi vel alle ofre..

--
Hygge..
Thomas

Also a carnut? Check out:
<ftp://tommy.roeplukker.dk/pub/> - danish users only
<ftp://strandvaskeren.dyndns.dk> - dk + international

Jesper Dybdal

unread,
Jan 31, 2002, 9:07:40 AM1/31/02
to
Thomas Strandtoft <thomas.s...@anderledes.dk> wrote:

>Du forhindrer ikke spammeren i misbruget
>ved at slå accept af hvadsomhelst@domæne fra, du slipper bare for
>at se på reaktionerne..

Ja, men det jo også reaktionerne der primært generer mig. Jeg har fx
fået ca 1600 reaktioner fra mailservere indtil nu i dag - og de første
500 nåede at slippe ind i min postkasse inden jeg fik sat en stopper for
det.

>> Hvis det er almindeligt, så må der jo også være mange ofre blandt
>> kunderne hos de webhoteludbydere der leverer sådan en
>> default-modtager-mekanisme.
>
>Når det drejer sig om spam er vi vel alle ofre..

Ja. Men hvis dette (altså mange hundrede reaktioner) ofte skete for
webhotelkunder som måske ikke har den helt store grad af forstand på
e-post-teknik, så ville jeg tro dels at vi hørte noget mere om det, dels
at stilen med at modtage hvadsomhelst@domæne ville være mindre populær.

Det jeg pt. overvejer, er om jeg skal tage bøvlet nu med at få fjernet
denne accept af hvadsomhelst@domæne fra alle de domæner jeg kører
postserver for eller løbe risikoen for mere akut bøvl næste gang et af
de domæner bliver offer.

Niels Callesře

unread,
Jan 31, 2002, 11:18:52 AM1/31/02
to
Jesper Dybdal wrote in
<news:ljgi5u4vrkhdqg53l...@dtext.news.tele.dk>:

> Hvor almindeligt er den slags? Bør man generelt holde sig fra at
> acceptere post til hvadsomhelst@domæne for at undgå det, eller har
> jeg bare været ekstremt uheldig at de har valgt mit domæne?

Tendensen er desværre, at det sker oftere og oftere. Jeg har ladet mig
fortælle at det bl.a. skyldes at default-opsætningen i forskellige
typer SMTP-server software nu kontrollerer om Return-Path er angivet
til et eksisterende domæne før den vil forwarde mail. Og da spammerne
jo - som bekendt - er hamrende ligeglade med om de skaber problemer for
andre, så omgår de dette ved simpelthen at angive et domæne der findes
(normalt i et land langt væk - for eksempel Danmark), i stedet for et
"bogus" afsenderdomæne.

Man kan diskuttere om stjerne-alias i det hele taget er en god ide.. i
hvert fald er ovenstående et godt argument for ikke at bruge det. At
det så er forbasket bittert at anvendelsen af egne systemer skal
dikteres ikke af hvad der er praktisk men af en lille gruppe idioters
misbrug af systemerne, det er så en anden ting..

--
Niels Callesøe - nørd light @work
http://www.pcpower.dk/disclaimer.php
pfy[at]nntp.dk
Jeg repræsenterer med denne udtalelse mig selv og ikke TDC Internet.

Poster

unread,
Jan 31, 2002, 8:34:31 PM1/31/02
to
> Siden kl. ca. 7 i morges har jeg modtaget ca. 500 stk. mailserversvar
> (plus nogle hundrede som blev afvist af ORDB) på forsøg på at spamme med
> diverse opdigtede navne i mit domæne som afsender.

Du er blevet ramt af en klassisk "Joe Job". Gå ind på
news.admin.net-abuse.email og du vil se hvad jeg mener.

> Der er vel ingen reel chance for at få stoppet det? Nogle af beskederne
> har tilstrækkelig med info om den oprindelige spam til at jeg kan finde
> en IP-adresse - men den jeg fandt var en dial-up i prodigy.net, og det
> nytter næppe meget af klage over den.

Jo, det nytter i den store sammenhæng. Hvis alle gad at klage, ville kampen
mod spam være langt mere succesfuld. Hvis du har headerne fra den
oprindelige spam, vil jeg råde dig til at poste den på ovennævnte
nyhedsgruppe eller på news.admin.net-abuse.sightings.

Især når du er ramt af en Joe Job, vil jeg mene at der er gode chancer for
at en klage vil nytte. Selv mange ISP'er som ikke tager spam specielt
alvorligt, tager Joe Job alvorligt da det grænser til hacking.

KLAG!

-- Poster

Jesper Dybdal

unread,
Feb 2, 2002, 12:46:17 PM2/2/02
to
"Poster" <pos...@myrealbox.com> wrote:

>Især når du er ramt af en Joe Job, vil jeg mene at der er gode chancer for
>at en klage vil nytte. Selv mange ISP'er som ikke tager spam specielt
>alvorligt, tager Joe Job alvorligt da det grænser til hacking.
>
>KLAG!

Da jeg studerede materialet lidt mere omhyggeligt, viste det sig
at det tilsyneladende altsammen er fra IP-adresser tilhørende
qwest.net. Så nu har jeg klaget til dem.

Jeg modtog rundt regnet 4000 af disse afviste e-breve torsdag,
kun ca. 500 fredag, men 2000 indtil nu i dag. Det er lidt
forbavsende at strømmen varierer sådan.

Jesper Dybdal

unread,
Feb 4, 2002, 3:41:24 PM2/4/02
to
Jeg skrev i torsdags:

>Siden kl. ca. 7 i morges har jeg modtaget ca. 500 stk. mailserversvar
>(plus nogle hundrede som blev afvist af ORDB) på forsøg på at spamme med
>diverse opdigtede navne i mit domæne som afsender.

For det tilfældes skyld at nogen skulle være interesserede i
detaljer om mængderne af disse svar og de navne spammeren har
valgt til den manøvre, så har jeg nu anbragt en redegørelse på
http://www.dybdal.dk/spam

Ask Bjoern Hansen

unread,
Feb 4, 2002, 6:24:51 PM2/4/02
to
Jesper Dybdal <jdu...@u7.dybdal.dk> writes:

> Jeg skrev:
>
> >Siden kl. ca. 7 i morges har jeg modtaget ca. 500 stk. mailserversvar
> >(plus nogle hundrede som blev afvist af ORDB) på forsøg på at spamme med
> >diverse opdigtede navne i mit domæne som afsender.
>
> Hvor almindeligt er den slags? Bør man generelt holde sig fra at
> acceptere post til hvadsomhelst@domæne for at undgå det, eller har jeg
> bare været ekstremt uheldig at de har valgt mit domæne?

Det sker nu og da for mig paa diverse domaener. Paa det sidste har
det dog typisk vaere meget smaa maengder. Der virker som om at nogle
spammere er begyndt at bruge tilfaeldige adresser blandt dem de
spammer som afsendere.

--
ask bjoern hansen, http://ask.netcetera.dk/ !try; do();

Timo Jensen

unread,
Feb 5, 2002, 4:10:54 AM2/5/02
to
"Ask Bjoern Hansen" <a...@netcetera.dk> skrev i en meddelelse news:87lme8x...@onion.valueclick.com...

> Det sker nu og da for mig paa diverse domaener. Paa det sidste har
> det dog typisk vaere meget smaa maengder. Der virker som om at nogle
> spammere er begyndt at bruge tilfaeldige adresser blandt dem de
> spammer som afsendere.
Jeg har her for meget kort tid siden, modtaget to breve af den slags. De er gået til mig, fordi spammeren har skrevet til nogle
forkerte adresser, og jeg står som afsender.

Breven jeg har fået er naturligvis ikke fra mig, men de vedhæftede/quotede mails har mig som afsender.

1. brev:
----- Original message follows -----

Return-Path: <proc...@post1.tele.dk>

Received: by navier.yonsei.ac.kr id JAA242306; Tue, 5 Feb 2002 09:44:36 +0900 (KST)

From: <proc...@post1.tele.dk>

Message-ID: <0000446566e5$00001022$0000...@200.61.71.1>

To: <eva...@iol.ie>

Subject: Enlarge your P E N I S now.. ..0

Date: Mon, 04 Feb 2002 15:34:05 -0500

X-Priority: 1

X-MSMail-Priority: High

Reply-To: hazb...@bluewin.ch

X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)

2. brev:

Return-Path: <proc...@post1.tele.dk>
Received: from navier.yonsei.ac.kr (navier.yonsei.ac.kr [165.132.138.171])
by freenet.mb.ca (8.9.3/8.9.3) with ESMTP id SAA29000
for <awq...@freenet.mb.ca>; Mon, 4 Feb 2002 18:55:23 -0600 (CST)
From: proc...@post1.tele.dk
Received: by navier.yonsei.ac.kr id JAA242306; Tue, 5 Feb 2002 09:44:36 +0900 (KST)
Message-ID: <0000446566e5$00001022$0000...@200.61.71.1>
To: <eva...@iol.ie>
Subject: Enlarge your P E N I S now.. ..0
Date: Mon, 04 Feb 2002 15:34:05 -0500
X-Priority: 1
X-MSMail-Priority: High
Reply-To: hazb...@bluewin.ch
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)


Men hvad kan man gøre? Udover at spammeren tilsyneladende er den samme, så er der ikke meget at gå efter.


--
Timo Jensen
http://www.mlm-life.com fordi MLM er en livsstil.
"Det er bedre at fortryde noget man har gjort, end noget man ikke har gjort"


Morten Birkelund

unread,
Feb 10, 2002, 8:14:01 AM2/10/02
to
"Jesper Dybdal" <jdu...@u7.dybdal.dk> wrote in message
news:d46i5u8qtbqtcso1q...@dtext.news.tele.dk...

> Er der nogen der har erfaringer med den slags? Går det over nogenlunde
> hurtigt, eller bliver sådan en spammer ved med at bruge ens domænenavn?

Jeg har et domæne som har haft problemet i 1 måned nu, der er kommet over
12000 fejl mails tilbage.

Så hvis der er nogen der har nogle gode ide'er eller en guide til hvordan
man stopper det har jeg meget stor interesse.

--
Morten


Jesper Dybdal

unread,
Feb 10, 2002, 9:55:27 AM2/10/02
to
"Morten Birkelund" <mort...@spamcop.net> wrote:

Jeg skrev på news.admin.net-abuse.email, og der var flere der
foreslog at ringe til den udbyder spammen sendes igennem, når det
har vist sig at de ikke reagerer på e-post til abuse-adressen.
Formålet skulle være at få dem til at forstå at det er en slags
DoS-angreb på ens server, og ikke bare alm. spam man vil klage
over - og evt. true med at klage til politi og/eller deres
Internetforbindelsesleverandør (hvad hedder "upstream provider"
på godt dansk?).

Der var også nogen der foreslog at melde dem til politiet via
USAs repræsentation i DK (mit problem kom via en amerikansk
udbyder), med kopi til diverse aviser i USA.

Jeg har ikke gjort nogen af delene, primært fordi det nu er ved
at aftage. Jeg tror de er holdt op med at sende spam med mit
domæne som afsender; de få hundrede reaktioner jeg stadig ser
hver dag lader til at være forsinkede reaktioner på noget der er
sendt for flere dage siden.

Jeg har i alt fået 26000 bounces i løbet af 1½ uge; detaljer på
http://www.dybdal.dk/spam/ .

Peder Vendelbo Mikkelsen

unread,
Feb 10, 2002, 12:49:54 PM2/10/02
to
"Jesper Dybdal" skrev

>(hvad hedder "upstream provider" på godt dansk?).

Netværksleverandør?

> Der var også nogen der foreslog at melde dem til politiet via
> USAs repræsentation i DK (mit problem kom via en amerikansk
> udbyder), med kopi til diverse aviser i USA.

Man kunne vel henvise til:

<URL: http://www.cauce.org/pressreleases/20020125.shtml >

Direct Marketing Association (DMA) er ved at ændre holdning til spam.

Og:

<URL: http://www.cauce.org/legislation/ >

Eventuelt gør opmærksom på EU:

<URL: http://www.euro.cauce.org/en/index.html >

Og implementationen i DK:

<URL: http://www.euro.cauce.org/en/countries/c_dk.html >

Om det så hjælper noget, hvis man ikke lige har en håndgangen advokat
i US, det aner jeg ikke.

Ellers lyder det da som en ide at kontakte ambassaden.

Med venlig hilsen

Peder

Peder Vendelbo Mikkelsen

unread,
Feb 10, 2002, 12:51:57 PM2/10/02
to
"Morten Birkelund" skrev

> Så hvis der er nogen der har nogle gode ide'er eller en guide til
> hvordan man stopper det har jeg meget stor interesse.

Du kan sandsynligvis finde noget god information her:

<URL: http://www.euro.cauce.org/en/links.html >

Med venlig hilsen

Peder

Reply all
Reply to author
Forward
0 new messages