Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6012 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP Attack?

risaac
So for the past couple of months I have noticed our business DSL get completely saturated and basically stop working.  This behavior lasted for a couple of hours and then stopped.

Now it's back with a vengeance.  For the past 3 days our internet has been fully saturated.  I did a wireshark on the external interface and with my little knowledge of wireshark it looks like several yahoo mail servers are sending significant amounts of data our way.  To give you an example we are a 10 person company and our SMTP log for TODAY ONLY is 100MB.

I looked through the log and it looks like a directory harvest attack since all the emails are coming to unkownuser@ourdomain.com.  

Another interesting item is that on the dashboard, if I look at the throughput graph, it shows that my External Interface "Out" is what is spiking up to 648Kb (our upload is only 384Kb).  I initially thought that this might be a virus on one of the machines on the LAN but the internal interface traffic is negligible (21Kb).  However with the info I gathered today I started thinking that maybe Astaro is sending undeliverable messages back to the spammers?  If have tried looking for a way to verify this but couldn't find it.

Lots of thoughts and I am really hoping that someone out there may have encountered this in the past.

We are running ASG 7.502.

Thanks in advance!


This thread was automatically locked due to age.
  • 0
    If all the spam comes from Yahoo, you should try to contact them.
    Send them your IP address and domain name. So they can find the accounts sending the spam and delete them.

    Think abuse [A-T] yahoo [d-o-t] com should work for that. Or they have a form somewhere at their webpage.
  • 0
    With that volume, it could be an attack by a bot-net using forged "From:" addresses.  If you aren't sure how to read the headers, please post two here - taking care to disguise your own IP and domain.  We can go through them and leave a "How-to" for future Astaro users with the same problem.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you Bob!  I just saw this so I apologize for the delay in response.  We are continuing to be attacked.  I have included an screen capture of the summary report showing the offending servers...You will notice (and this is the scariest part) that the Astaro is actually sending out A LOT of packets on its own...Almost like it is responding to the attack.  We have enough download speed to handle the attack but the upload is killing us.  If there is a way to make the Astaro silent that would be ideal!

    Thanks Whity!  I tried to write to yahoo! and they basically told me that its not their problem and that I should try to figure out what the offending ISP is of the spammer and talk to them.  Definitely not very helpful.

    Here is a bit of the log...

    This is just one of the many pieces of SPAM: 
    2010:02:13-04:03:55 Astaro_ASG exim[20706]: 2010-02-13 04:03:55 id="1003" severity="info" sys="SecureMail" sub="smtp" name="email rejected" srcip="93.157.167.64" from="svflq%40yahoo.com" to="svfluid%40mydomain.com" size="-1" reason="rdns_helo" extra="RDNS missing"

    2010:02:13-04:03:55 Astaro_ASG exim[20706]: 2010-02-13 04:03:55 H=(microsof-062e73) [93.157.167.64]:2501 F= rejected RCPT : No RDNS entry for 93.157.167.64

    2010:02:13-04:03:55 Astaro_ASG exim[20706]: 2010-02-13 04:03:55 SMTP connection from (microsof-062e73) [93.157.167.64]:2501 closed by DROP in ACL

    2010:02:13-04:03:55 Astaro_ASG exim[12254]: 2010-02-13 04:03:55 Connection from [95.170.219.61]:26325 refused: too many connections from that IP address

    2010:02:13-04:03:55 Astaro_ASG exim[12254]: 2010-02-13 04:03:55 Connection from [117.18.229.27]:40720 refused: too many connections from that IP address


    Lots of these as well... 
    2010:02:13-04:00:42 Astaro_ASG exim[15291]: 2010-02-13 04:00:42 11ofhX-0003FT-24 d.mx.mail.yahoo.com [209.191.88.254]: Broken pipe


    here is a bit from wireshark...
    Get a piece of SPAM from yahoo! 
    301	2.481991	67.195.168.230	my.mail.server	TCP	smtp > 54946 [ACK] Seq=1 Ack=15929 Win=60816 Len=0 TSV=3392162710 TSER=909752583


    Astaro replies with... 
    302	2.482978	my.mail.server	67.195.168.230	SMTP	C: 8X54uRe9FOLT51OV+o | nBHaTeippBcdIyq90VeW+PCfs3zLn+PZDFV5TvTKvYqq5x2s4cOf8kEc51RfnG1opvRHkBGHY1+C | inANwtxATVIrlQKKDipWCqxP//aefr/UTtt2AQbFTFuHJmdTA5HxTbmKMSzuANhDzPxZ4DnEgBoG | T9eGOgZO148b8dky95O+tDyd5FlaUDnm7S2Ye+NaRWz9ZKsctUH5gd3LY8fjqN42m3BgrisP3n1f | kDL+cVeUxXOHHv91ecjcHLt7IP8jSAwXytuVEvHiSqrIwPXt1aKywdIsrSI+2RPxAbtfgVHw/Hkq | Idl1AlWrUwBCP5+zmbOEh1X1te1FILe2PXZ/8m7zojnSn/zJvTarT6v1wMEv60MO03l8HTG8XJ1X | dBxRa9WivqbCEFFaGG1VKFXwPQCxR4WL9LjFVflXTC0H5f9Vl46qHNAhhycYuI5sv0fBmqnpAdqT | yDwGV8XWtPve3opfCLVELxolwM+QfxVrSMlp6NS8e7zRpOq4p2MHs+KiPlsdn4c8KyWzw8nhbutu | PDvP1Hxjq4iXPHxmGD0OvQ7G4F4OdQ7+qxHUWHKr0vsU2a9/H2hbC69uPZfOvfwaMix9JjvPvWKA | fvKr2HtRihv6mn5mOL5Xw9W4je/hisajgMCAAqkAAAAADHIEAAD6NwEAAQEhAFMDpkYAAFkkX40i | pKkJFTFE6AeA4AWAAAKAGAEAJf//pFBICRTCoDFwVoXo5DOjjQ3OOSemIBNHaOYpxUCQ7DwKZA0j | Zh7+GZPMLSfgbMNxUsVKZLBuFQ5t2E65g8as71UOCQ7DthCjC5pgDYVTDI0hS1eqUl1QNIDtYnWZ | nY7S2kJch3vrXgQ78dh+s7DOosiWFuQKGebvVlIwh+JMRdJCnbRz/FqiZLybJJRiwqkJPUEBCZBw | OTRQHDTY7TU1MMYTAGsTeVFWqVj4PMRcJx7UuF8JieSw1Qk2sokIrCBeVEGoCJqLuK29My6lYFLU | UAU3v4gmACqUPpKAtLK2HSWRKJtMDTE+00C+9CeEdHQ02TbwoCMPTM93glln8lWlgGhcLg/6Z1cW | mLtNMGYqDPO46+mhRUuESw+v6lnKabci8002aqRcDUtaqoCjq7Iq47TAAgOxmx+he2CAFmJJJdC2 | cx/lMwy6Kcy2KCLJGRqIjd+ssIyX8TFdJOIoBLJNJNMJqZGF8NpiBXufVcBcSSgZsM4cGZ+FaFza | DSsTM7fv10MoKVFMLATMBymAQm+ec5ZUGCoZdYpjyUCCIhGoS1G9VHRFxFG1hPPWSeylMuljneiP | h9abchrzThn6UuvWbxYWEcLoKx23TKATiNWymwB4G+3OYuJDpItZJwBoFmSLeE3/TAWEXKhJZYTI | DebzeyjCwj2wrDg/GLUNUuut


    The wireshark capture is filled with these...Any thoughts would greatly help!
  • 0
    Make sure you have 'Use BATV' checked in the 'Advanced anti-spam features' on the 'Advanced' tab.  It doesn't look like that's an issue at present, but the attacker could switch tactics and begin bombarding you with fake returned emails.

    It does look like you are being attacked by a botnet with forged "From:" addresses.

    I'm with the people from Yahoo, your wireshark stuff doesn't convince me that the attack really is coming from Yahoo; I see Russia, Iraq and Bangladesh!   Why don't you create an exception for yahoo.com and activate it for a few minutes so you can capture some of these in your quarantine.  Then we could look at them and see where they're really coming from.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I checked and we are using BATV.  

    What is the best way to set up that exception so that they go into quarantine?

    Skip: RDNS
    Sender addresses:  *@yahoo.com
  • 0
    Yeah - I'd just click all of the skips.  You can watch the live log and turn it off after you've captured a dozen or so.  I think anything that's not to a valid user will get stuck in the Astaro, but that may depend on the settings in your mail server.  If nothing gets captured, then briefly put yahoo.com into the expression filter, and that definitely will capture them in the quarantine.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to risaac
    So here is a screenshot of our dashboard.  Notice the "out" on the "external" interface?  We are limiting this with the "WAN optimizer" feature otherwise it would take up our entire WAN...

    The point of this is to show that the outbound traffic of the External interface doesn't have anything to do with the internal traffic or for that matter the amount of traffic coming in.  I can shutdown our mail server and this will still saturate our WAN.

    Do you think that these are simply responses to the SPAM?  Any thoughts on this?  

    I will try to get some emails in quarantine and will post them shortly.

    Thanks!
  • 0
    Hi, that the outgoing traffic is higher seems very odd...

    Can you shutdown or disconnect all the computers in the office, including the mail server, and run a sniffer?

    note that iftop, tcpdump, and ngrep are available on the console, if that helps.

    Barry
  • 0

    • When winter comes you maybe have a good point to ponder in choosing between comfort and fashion for footwear. Most shoes and ugg ladies boots designed for comfort, are not always in for fashion, and those that are fashionable are not that comfortable. The arrival of winter most would opt for comfort and warmth than being trendy With Ugg boots. However, one can definitely go out in fashion while staying fully insulated from the cold.
    • Not all boots can be worn during winter and fall without sacrificing fashion. In order to give a sense of fashion, some of them are given thin materials that are next to useless when it comes to dealing with plummeting temperature. Others have excess insulation that usually makes the feet to sweat too much and may encourage fungus to settle in.
    • Traction-wise, others are designed poorly with slick soles and heels resulting to significant loss of traction which is very dangerous in icy or snowy situations. Too rigid soles, on the other hand, can create the feeling of rigidity in walking and may make walking a challenge .considering safe and comfy during winter and fall demands boots with good insulation and traction. That means looking for those kinds with excellent comfort and fashion balance designs. The answer is Ugg ladies boots. [size=2][img=498,307]www.ugsell.com/.../ugg_new_boots.jpg
    [/img][/size]
    • Choosing the right Ugg boots depends on one's taste. If one prefers an overall protection for the feet, choosing the classic tall boots would be an excellent option. Should one opt to go for those that only cover until the bottom of the calf; short boots are the right choice. For people who may want to sacrifice a little degree of comfort without fully discarding them and yet remains in style, getting the classic cardy boot is the best choice. While it may look like a pair of normal knit shoes and may not be a great choice for really harsh weather, it certainly makes a statement if worn during normal cold days.
    • Children also benefits from the comfort and fashion sense that these products bring. Even toddlers have their unique and sheepskin designs. This creates a settling feeling for parents knowing that their kid's feet are fully protected and comfortable during cold periods. Most of them are built with kid safety in mind. Emphasis is given on making sure more traction to the soles is attained for those still learning to walk.
    • In general, they are designed for all ages. Most of them are uni*** so it is common to see a mix-up of users sporting the same exact model. Facing fall and winter is no longer that worrisome if Ugg boots are around.
Cookie Information Banner