Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 2573 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Big problem with spam..

amaruz
Hello everyone,

I have problem with spam on astaro, its look like someone from local network or public send spam true astaro server.

First in spool in mail manager we have tons of Waiting for delivery (spooled): messages i clean that messages all messages sending from accountupdate@aero.dreamhost.com and send to yahoo mails.. now i loook for log files and in SMTP proxy log interested to 240mb. IN log files there a 100000 lines similar like this:


2009:12:17-08:57:13 astaro exim[20321]: 2009-12-17 08:57:13 1NKJ17-0003bu-2g == accountsupdate@aero.dreamhost.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host 
2009:12:17-08:57:13 astaro exim[20323]: 2009-12-17 08:57:13 1NKJ4C-0004Fy-25 == accountsupdate@aero.dreamhost.com R=dnslookup T=remote_smtp defer (-53): retry time not reached for any host 



how i can stop this spam becouse we have now server on black lists and have problem.

one more think i will put spam mail you can see whats is in. 


Message Headers and Body:

Received: from OUR DOMAN server and exchange ([192.168.131.3]:38074) by astaro.***** with esmtp (Exim 4.69) (envelope-from ) id 1NIO8b-0002if-0S; Wed, 09 Dec 2009 16:07:33 +0100
Received: from User ([192.168.131.1]) by OUR ISA SERVER with Microsoft SMTPSVC(6.0.3790.3959); Wed, 9 Dec 2009 16:08:30 +0100
From: "Abbey Bank PLC"
Subject: Online Account Upgrade Notification
Date: Thu, 10 Dec 2009 01:37:29 +1030
MIME-Version: 1.0
Content-Type: text/html; charset="_iso-2022-jp$ESC"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1081
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1081
Bcc:
Return-Path: accountupdate@aero.dreamhost.com
Message-ID: 
X-OriginalArrivalTime: 09 Dec 2009 15:08:30.0718 (UTC) FILETIME=[77D939E0:01CA78E1]


  
    
      

    
 

  


 Dear Abbey customer,


During our regularly scheduled account maintenance and verification procedures,
  we have detected a slight error in your billing information.


This might be due to either of the following reasons:


1. A recent change in your personal information (i.e.change
  of address).

  2. Submiting invalid information during the initial sign up
  process.

  3. An inability to accurately verify your selected option of
  payment due to an internal error within our processors.


Please update and verify your information by clicking the link below: 


https//myonlineaccounts.abbeynational.co.uk/CentralLogonWeb/Logon?action=prepare

If your account information is not updated within 12 hours
  then your ability to access your account will become restricted.


Thank you



The Abbey Bank Group 


Please do not respond to this email as your reply
will not be received.

  
    
      

 
        

        

Accounts Management As outlined in our 
User Agreement, Abbey  will 

periodically send you information about site changes and 
enhancements. 


        

Visit our Privacy Policy and User 


        



      

 

      





Please if you have any suggestion also question i will answer. thanks


This thread was automatically locked due to age.
Parents
  • 0
    You could easily blacklist 192.168.131.1 from smtp.
    And/Or add "server15.hostbizua.kiev.ua" to the expression filter as I see thats in the message body.

    Then find the user and string them up by their thumbs for the entire company to see and make an example of them.
Reply
  • 0
    You could easily blacklist 192.168.131.1 from smtp.
    And/Or add "server15.hostbizua.kiev.ua" to the expression filter as I see thats in the message body.

    Then find the user and string them up by their thumbs for the entire company to see and make an example of them.
Children
  • 0 in reply to joequick
    You could easily blacklist 192.168.131.1 from smtp.
    And/Or add "server15.hostbizua.kiev.ua" to the expression filter as I see thats in the message body.

    Then find the user and string them up by their thumbs for the entire company to see and make an example of them.




    Hello i put this in expression filter and try send mail from my mail to gmail mail with txt accountsupdate@aero.dreamhost.com or something else from filter but  mail going and its received to gmail. Do I make some mistake ?! maybe i make wrong expression filter.


    Why you think that i put 192.168.131.1 isa server to blacklist ?! I dont know can that make problem but i can try [;)]  we will see.. anyway thanks a lot for all advices..
  • 0 in reply to joequick
    You could easily blacklist 192.168.131.1 from smtp.
    And/Or add "server15.hostbizua.kiev.ua" to the expression filter as I see thats in the message body.

    Then find the user and string them up by their thumbs for the entire company to see and make an example of them.


    Its look like RBLs (Realtime blackhole lists) help i put 192.168.131.1 to black list and i that is proxy ISA server whan i do scan of proxy on public port 25 is opend.

     220 ISA SERVER PUBLIC Microsoft ESMTP MAIL Service, Version: 6.0.3790.3959 ready at Fri, 18 Dec 2009 14:16:12 +0100

    requires HELO  YES
    allows VRFY username verification  YES
    allows EXPN forwarding expansion  NO
    allows bogus From: header  YES
    allows simple mail relaying  YES
    may allow UUCP mail relaying  YES
    allows other mail relaying  NO
    can mail to postmaster  NO
    can mail to webmaster  NO
    can mail to abuse (RFC 2142)  NO


    what you think is this potential vulnerably ?
Cookie Information Banner