Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 39 replies
  • Subscribers 1 subscriber
  • Views 23614 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

SMTP being hijacked - trying to block sender

steagle
Looks like over the weekend we got hijacked and now I have spammers from Italy using our SMTP relay to send thousands of emails. I have added their domains to the sender blacklist filter and the expression filter, but the emails continue to pour through. Obviously, I'm not using the right tool to stop them. I've got a list of the domains they're using - does anyone know how I can block these guys? Thanks!

edit: Also realized this could be a malware intrusion on one of our workstations - we are currently scanning all machines with Malwarebytes to see if we can find the culprit. Just in case this is not the issue and we indeed have been hijacked, any tips for dealing with this would be highly appreciated. 
____

ASG220
Firmware 7.501
Pattern Version 22662


This thread was automatically locked due to age.
Parents
  • 0
    Oh, yes, I am scanning relayed messages. I have added servizi.it to the Expression Filter as well as a few of the other most frequent addresses I've seen in the live SMTP log. At least the messages don't seem to be going out, but they are still flooding the Astaro every second. 

    Here's a header from a spam mail. FYI, these messages aren't being quarantined by the Astaro - they're going into the SMTP Spool and sitting there for 48hrs unless I manually clear them.

    Return-path: 
    Received: from [77.92.95.63] (port=37402 helo=User)
     by smtp.origprod.com with esmtpa (Exim 4.69)
     (envelope-from )
     id 1QvLru-00086P-2M; Sun, 21 Aug 2011 21:12:11 -0700
    From: "CartaSi"
    Subject: Abbiamo rilevato attivit� irregolari sul tuo conto
    Date: Mon, 22 Aug 2011 07:12:10 +0300
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
     boundary="----=_NextPart_000_00F4_01C2A9A6.39464B3E"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Reply
  • 0
    Oh, yes, I am scanning relayed messages. I have added servizi.it to the Expression Filter as well as a few of the other most frequent addresses I've seen in the live SMTP log. At least the messages don't seem to be going out, but they are still flooding the Astaro every second. 

    Here's a header from a spam mail. FYI, these messages aren't being quarantined by the Astaro - they're going into the SMTP Spool and sitting there for 48hrs unless I manually clear them.

    Return-path: 
    Received: from [77.92.95.63] (port=37402 helo=User)
     by smtp.origprod.com with esmtpa (Exim 4.69)
     (envelope-from )
     id 1QvLru-00086P-2M; Sun, 21 Aug 2011 21:12:11 -0700
    From: "CartaSi"
    Subject: Abbiamo rilevato attivit� irregolari sul tuo conto
    Date: Mon, 22 Aug 2011 07:12:10 +0300
    MIME-Version: 1.0
    Content-Type: multipart/mixed;
     boundary="----=_NextPart_000_00F4_01C2A9A6.39464B3E"
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Mailer: Microsoft Outlook Express 6.00.2600.0000
    X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Children
No Data
Cookie Information Banner