Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2571 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Big problem with spam..

amaruz
Hello everyone,

I have problem with spam on astaro, its look like someone from local network or public send spam true astaro server.

First in spool in mail manager we have tons of Waiting for delivery (spooled): messages i clean that messages all messages sending from accountupdate@aero.dreamhost.com and send to yahoo mails.. now i loook for log files and in SMTP proxy log interested to 240mb. IN log files there a 100000 lines similar like this:


2009:12:17-08:57:13 astaro exim[20321]: 2009-12-17 08:57:13 1NKJ17-0003bu-2g == accountsupdate@aero.dreamhost.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host 
2009:12:17-08:57:13 astaro exim[20323]: 2009-12-17 08:57:13 1NKJ4C-0004Fy-25 == accountsupdate@aero.dreamhost.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host 



how i can stop this spam becouse we have now server on black lists and have problem.

one more think i will put spam mail you can see whats is in. 


Message Headers and Body:

Received: from OUR DOMAN server and exchange ([192.168.131.3]:38074) by astaro.***** with esmtp (Exim 4.69) (envelope-from ) id 1NIO8b-0002if-0S; Wed, 09 Dec 2009 16:07:33 +0100
Received: from User ([192.168.131.1]) by OUR ISA SERVER with Microsoft SMTPSVC(6.0.3790.3959); Wed, 9 Dec 2009 16:08:30 +0100
From: "Abbey Bank PLC"
Subject: Online Account Upgrade Notification
Date: Thu, 10 Dec 2009 01:37:29 +1030
MIME-Version: 1.0
Content-Type: text/html; charset="_iso-2022-jp$ESC"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Bcc:
Return-Path: accountupdate@aero.dreamhost.com
Message-ID: 
X-OriginalArrivalTime: 09 Dec 2009 15:08:30.0718 (UTC) FILETIME=[77D939E0:01CA78E1]


  
    
      

    
 

  


 Dear Abbey customer,


During our regularly scheduled account maintenance and verification procedures,
  we have detected a slight error in your billing information.


This might be due to either of the following reasons:


1. A recent change in your personal information (i.e.change
  of address).

  2. Submiting invalid information during the initial sign up
  process.

  3. An inability to accurately verify your selected option of
  payment due to an internal error within our processors.


Please update and verify your information by clicking the link below: 


https//myonlineaccounts.abbeynational.co.uk/CentralLogonWeb/Logon?action=prepare

If your account information is not updated within 12 hours
  then your ability to access your account will become restricted.


Thank you



The Abbey Bank Group 


Please do not respond to this email as your reply
will not be received.

  
    
      

 
        

        

Accounts Management As outlined in our 
User Agreement, Abbey  will 

periodically send you information about site changes and 
enhancements. 


        

Visit our Privacy Policy and User 


        



      

 

      





Please if you have any suggestion also question i will answer. thanks


This thread was automatically locked due to age.
  • 0
    All you can do is find the PC that's sending those phishing emails and clean it.

    Astaro does not do anti-spam on out-going email.  In addition to an Astaro at the perimeter of the network, we recommend that every PC be protected by anti-virus.  Company policy should be explicit concerning personal use of company PCs and having non-company-owned PCs inside the network or being allowed to join the domain.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    you need a in depth security model [[;)]] Astaro alone won't be enough [[;)]]
  • 0
    You could easily blacklist 192.168.131.1 from smtp.
    And/Or add "server15.hostbizua.kiev.ua" to the expression filter as I see thats in the message body.

    Then find the user and string them up by their thumbs for the entire company to see and make an example of them.
  • 0 in reply to joequick
    You could easily blacklist 192.168.131.1 from smtp.
    And/Or add "server15.hostbizua.kiev.ua" to the expression filter as I see thats in the message body.

    Then find the user and string them up by their thumbs for the entire company to see and make an example of them.




    Hello i put this in expression filter and try send mail from my mail to gmail mail with txt accountsupdate@aero.dreamhost.com or something else from filter but  mail going and its received to gmail. Do I make some mistake ?! maybe i make wrong expression filter.


    Why you think that i put 192.168.131.1 isa server to blacklist ?! I dont know can that make problem but i can try [;)]  we will see.. anyway thanks a lot for all advices..
  • 0
    Couple of things, if the user is sending the mails themselves, and asking the Astaro to simply relay it for them, that is a configuration issue which can be easily fixed, and prevented against for the future. 
         -Under the "relaying" tab of the SMTP proxy, you can remove any (network)-wide references like "internal network" and place only the IP address of your mail server there. This will disallow anything but the actual mail server from being able to use the proxy to forward a message. If the client is however using the mail server of your company to send spam with their own user account, then you'll have to do your corrections on the mail server itself.

    Lastly, if the client is infected and possesses its own "mail server" you should use packet filters to prevent outgoing SMTP on port 25 for them.
  • 0 in reply to joequick
    You could easily blacklist 192.168.131.1 from smtp.
    And/Or add "server15.hostbizua.kiev.ua" to the expression filter as I see thats in the message body.

    Then find the user and string them up by their thumbs for the entire company to see and make an example of them.


    Its look like RBLs (Realtime blackhole lists) help i put 192.168.131.1 to black list and i that is proxy ISA server whan i do scan of proxy on public port 25 is opend.

     220 ISA SERVER PUBLIC Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Fri, 18 Dec 2009 14:16:12 +0100

    requires HELO  YES
    allows VRFY username verification  YES
    allows EXPN forwarding expansion  NO
    allows bogus From: header  YES
    allows simple mail relaying  YES
    may allow UUCP mail relaying  YES
    allows other mail relaying  NO
    can mail to postmaster  NO
    can mail to webmaster  NO
    can mail to abuse (RFC 2142)  NO


    what you think is this potential vulnerably ?
  • 0
    can anyone exsplane me what this mean ?!?

    2009:12:20-23:10:32 astaro exim[16528]: 2009-12-20 23:10:32 1NKCz6-0008Jb-0j accountsupdate@aero.dreamhost.com: error ignored
    2009:12:20-23:10:32 astaro exim[16528]: 2009-12-20 23:10:32 1NKCz6-0008Jb-0j Completed
    2009:12:20-23:10:46 astaro exim[16539]: 2009-12-20 23:10:46 1NKIbr-0001De-1N aero.dreamhost.com [208.113.144.23]:25 Connection timed out
    2009:12:20-23:10:46 astaro exim[16538]: 2009-12-20 23:10:46 1NKIbr-0001De-1N == accountsupdate@aero.dreamhost.com R=dnslookup T=remote_smtp defer (110): Connection timed out
    2009:12:20-23:10:46 astaro exim[16538]: 2009-12-20 23:10:46 1NKIbr-0001De-1N ** accountsupdate@aero.dreamhost.com: retry timeout exceeded
    2009:12:20-23:10:46 astaro exim[16538]: 2009-12-20 23:10:46 1NKIbr-0001De-1N accountsupdate@aero.dreamhost.com: error ignored
    2009:12:20-23:10:46 astaro exim[16538]: 2009-12-20 23:10:46 1NKIbr-0001De-1N Completed
    2009:12:20-23:10:52 astaro exim[16546]: 2009-12-20 23:10:52 1NMSWL-0002dC-0z aero.dreamhost.com [208.113.144.23]:25 Connection timed out
    2009:12:20-23:10:52 astaro exim[16545]: 2009-12-20 23:10:52 1NMSWL-0002dC-0z == accountsupdate@aero.dreamhost.com R=dnslookup T=remote_smtp defer (110): Connection timed out
    2009:12:20-23:10:58 astaro exim[16553]: 2009-12-20 23:10:58 1NKK1h-0002Gi-0N aero.dreamhost.com [208.113.144.23]:25 Connection timed out
    2009:12:20-23:10:58 astaro exim[16552]: 2009-12-20 23:10:58 1NKK1h-0002Gi-0N == accountsupdate@aero.dreamhost.com R=dnslookup T=remote_smtp defer (110): Connection timed out
    2009:12:20-23:10:58 astaro exim[16552]: 2009-12-20 23:10:58 1NKK1h-0002Gi-0N ** accountsupdate@aero.dreamhost.com: retry timeout exceeded
    2009:12:20-23:10:58 astaro exim[16552]: 2009-12-20 23:10:58 1NKK1h-0002Gi-0N accountsupdate@aero.dreamhost.com: error ignored
    2009:12:20-23:10:58 astaro exim[16552]: 2009-12-20 23:10:58 1NKK1h-0002Gi-0N Completed
Cookie Information Banner