Spammere bruger mig som afsender

sæt et filter på

Hej,

Du skal være ked af det, jeg er også med på den vogn !!!

Du kan gøre dig selv en tjeneste hvis du kører med * alias på din mail adresse, fjern det og opret kun de adresser du bruger.

Så modtager du i hvert til fald nok ikke alle bounce meddelserne.

Du kan jo begynde at backtrace mailen og finde den IP der bliver sendt fra, men du får sikkert ikke meget ud af det !!!

Først og fremmest - luk for vedkommendes adgang til din maskine - brug en firewall eller f.eks. PeerGuardian, og blokér den IP.

Jeg er selv meget konsekvent overfor spammere; jeg har intet filter, men blokerer al adgang fra domænet når jeg modtager noget. Hvis det er nogen der er blevet 'misbrugt', too bad - ain't my crime. Jeg blokerer for spammere og sniffere i min firewall, i PeerGuardian, og så får de da osse lige en entry i min HOSTS fil hvis jeg kan, sammen med et par 1000 reklameservere.

> Først og fremmest - luk for vedkommendes adgang til din maskine - brug en
> firewall eller f.eks. PeerGuardian, og blokér den IP.

Hvad ville det nytte? Spammeren har jo aldrig været i kontakt med min maskine, og bouncemeddelelserne kommer jo fra alle mulige steder i verden som spammeren har sendt til.

Det eneste du kan gøre er at skifte mail adresse. Sørg for at "passe" godt på den nye i fremtiden.

Det lyder værre end det er. Når først du har sendt til de personer du ønsker kontakt med i fremtiden, bliver der hurtigt ro.

JP

Sorry - misforstod lige noget. Det er noget rigtigt skidt, at det er dit domæne, der bliver misbrugt.

Hvilken reply to adresse bruges der? Bounce beskederne ... hvilken e-mail sendes de til? Som der er skrevet, så luk for den adresse (fjern evt. *-mail).

Hvilket domæne drejer det sig om (altså dit)?
Hvilke reklamer udsendes der? Har du evt. en kopi?

JP

> Hvilken reply to adresse bruges der?

Der er ingen Reply-To-header, men From-adressen er forskellig fra mail til mail. De har nok bare brugt delen før "@" på en masse tilfældige adresser.

> Bounce beskederne ... hvilken e-mail sendes de til?

Den samme som From-adressen, som altså kan være alt muligt forskelligt.

> Som der er skrevet, så luk for den adresse (fjern evt. *-mail).

Da der ikke bare er et bestemt alias jeg kan lukke for ville jeg blive nødt til at fjerne catch-all, hvilket jeg helst kun vil gøre som sidste udvej. De sidste nogle dage har det været nede på et par hundrede bounces (!) om dagen, men hvis der kommer endnu et udbrud som i sidste uge vil jeg selvfølgelig blive nødt til at slå catch-all fra.

> Hvilket domæne drejer det sig om (altså dit)?

jonasj.dk

> Hvilke reklamer udsendes der? Har du evt. en kopi?

"Feel younger, get rid of wrinkles, have more energy!", "The best online Casino on the Internet. Make cash!", "Make your balls and penís larger and get more satisfaction.", og så videre.

De er næsten alle sammen bygget op efter det samme mønster: Øverst er der en centreret linje tekst som ovenstående eksempler. Nedenunder den et link med tekst som "Read about it here" eller "Click to find out more". Derunder et stort reklamebillede, og nederst et Unsubscribe-link. Hvilke domæner linksne peger på varierer fra link til link.

Her er er eksempel:

Received: from smt.sprintrpg.ems.vsnl.net.in ([24.26.223.244] unverified) by hfefcu-exch.HFEFCU.COM with Microsoft SMTPSVC(5.0.2195.5329);
    Fri, 4 Jul 2003 04:27:12 -1000
Subject: =?iso-8859-1?B?RndkOiBicm9rZW4gbGluaw==?=
Date: Fri, 04 Jul 2003 20:27:45 +0600
MIME-Version: 1.0
Message-ID: <3F058EE1.A9281467@jonasj.dk>
User-Agent: Mozilla/5.055 (Windows; U; NT4.0; U; NT4.0; en-us) Gecko/25250101
X-Accept-Language: en
From: "Gene McIntyre" <genemcIntyreer@jonasj.dk>
To: ekeaunui@hfefcu.com
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Return-Path: genemcIntyreer@jonasj.dk
X-OriginalArrivalTime: 04 Jul 2003 14:27:13.0550 (UTC) FILETIME=[5C96E2E0:01C34238]

    <html>

   
<BODY bgcolor="#ffffff">
   
 
<p align="center"><font face="verdana"><WJ>
The best online Cas<!--bv7R9zpS5ra9Zlh8VR-->ino on the Internet. Make cash!<br>
<a href="http://www.in-boxes-offer.biz/cp/index.php?s=415">Read about it <KAV>h<Z>ere<br>
<br><img src="http://www.inboxesoffer.biz/cp/mailers/body02.jpg" border=0></a><br><br><br>

<a href="http://www.in-box-offer.biz/cp/unsubscribe.php?s=415">No more please</a>
</font></p> </body>   
</HTML>

Hvis du finder afsenderen, og du får brug for et tæskehold, så melder jeg mig, de svin skal ikke slippe godt fra det.

Slå afsenderens IP nummer op, og find ud af hvem IP rangen tilhører. Kontakt hans ISP og bed ham lukke for kontoen pga. misbrug. Hvis IP tilhører et firma, så skal du kontakte den organisation, der er ansvarlig for uddeling af IP numre og bede dem inddrage det.

JP

politianmeldelse kan sagtens komme på tale...

Jeg melder mig også på tæskeholdet!

> Slå afsenderens IP nummer op, og find ud af hvem IP rangen tilhører.

De stammer alle fra forskellige IP-adresser og fra domænerne .de, .nl, .uk, .net, .se, .com, .sg og .at og sikkert flere.

Det er vel modtagernes IP'er? Det interessante er selvfølgelig at finde kilden.
En WHOIS på in-boxes-offer.biz gi'r følgende:
WHOIS information for in-boxes-offer.biz:

[whois.melbourneit.com]
Domain Name:                                IN-BOXES-OFFER.BIZ
Domain ID:                                  D4781470-BIZ
Sponsoring Registrar:                        ENOM, INC.
Domain Status:                              ok
Registrant ID:                              91CB277C11E9A38F
Registrant Name:                            Kapil Garg
Registrant Address1:                        st Michel Street
Registrant City:                            Gudibanda
Registrant Postal Code:                      561209
Registrant Country:                          India
Registrant Country Code:                    IN
Registrant Email:                            kapilmarketingguru@rediffmail.com
Administrative Contact ID:                  91CB277C11E9A38F
Administrative Contact Name:                Kapil Garg
(...)
Technical Contact ID:                        91CB277C11E9A38F
Technical Contact Name:                      Kapil Garg
Technical Contact Address1:                  st Michel Street
Technical Contact City:                      Gudibanda
Technical Contact Postal Code:              561209
Technical Contact Country:                  India
Technical Contact Country Code:              IN
Technical Contact Email:                    kapilmarketingguru@rediffmail.com
Created by Registrar:                        ENOM, INC.
Last Updated by Registrar:                  ENOM, INC.
Domain Registration Date:                    Wed Jun 04 07:11:46 GMT 2003
Domain Expiration Date:                      Thu Jun 03 23:59:59 GMT 2004
Domain Last Updated Date:                    Sun Jun 08 11:16:02 GMT 2003

Prøv at lave en whois (www.whois.net) på de forskellige reklamer - ovenstående stammer tydeligvis fra en fyr i Indien - det ku' jo være at de andre osse gjorde? Og du har rigeligt med beviser til at få lukket vedkommendes adresse, skulle jeg mene.

hmmm mon eksperten er havnet i hans mailfilter... :/

Hvis jeg havde ment modtagernes IPer havde jeg sagt det. De oprindelige mails bliver tilsyneladende afsendt fra forskellige steder - spammeren spoofer vel sin IP når han kontakter de relays som han benytter sig af.

Her er headerne på fire tilfældige spams. Dette er ikke headersne på den bouncebesked jeg får tilbage, det er headersne på spammailen som de så ud da modtagerens server returnerede dem til mig. Som du kan se er den tidligste Received-linje forskellig på dem alle sammen - ny IP hver gang. Det ville da være dejligt hvis jeg bare kunne lave et enkelt whoisopslag og finde navn og adresse på spammeren, men så simpel er verden nu engang ikke.


------------------------------------------------


Received: from LGEREL-SE2Q.imss.lge.com ([156.147.1.149])
          by lgekrmhub01.lge.com (Lotus Domino Release 5.0.12HF2)
          with ESMTP id 2003081606564541:3261113 ;
          Sat, 16 Aug 2003 06:56:45 +0900
Received: from mailrelay2.lge.com (localhost [127.0.0.1])
    by LGEREL-SE2Q.imss.lge.com (Postfix) with ESMTP id 35AC4190216
    for <Jabak|jabak@lge.co.kr>; Sat, 16 Aug 2003 06:48:59 +0900 (KST)
Received: from [156.147.1.147] (anibal_gordon_bw@jonasj.dk) by
          mailrelay2.lge.com (Terrace MailWatcher)
          with ESMTP id 2003081606:49:32:717897.11577.23
          for <Jabak|jabak@lge.co.kr>;
          Sat, 16 Aug 2003 06:49:31 +0900 (KST)
Received: from [24.60.75.195] (anibal_gordon_bw@jonasj.dk) by
          lgesmtp.lge.com (Terrace MailWatcher)
          with ESMTP id 2003081606:43:41:692754.20837.42
          for <Jabak|jabak@lge.co.kr>;
          Sat, 16 Aug 2003 06:43:41 +0900 (KST)
To: Jabak|jabak@lge.co.kr
Subject: =?ISO-8859-1?b?SSB0b29rIHRoZXM=?=e & my coc=?ISO-8859-1?b?ayBncmV3?= 3'!!
From: "Anibal Gordon" <anibal_gordon_bw@jonasj.dk>
Date: Fri, 15 Aug 2003 14:51:58 -0700
MIME-Version: 1.0
Message-ID: <faa901c36377$0ae6cfa5$6d217072@viomry3>
X-TERRACE-SPAMRATE: g=-39.52 l=-19.20 YET spam-rated.                         
X-MIMETrack: Itemize by SMTP Server on LGEKRMHUB01/LGE/LG Group(Release 5.0.12HF2 | March
17, 2003) at 08/16/2003 06:56:45 AM,
    Serialize by Router on LGEKRMHUB01/LGE/LG Group(Release 5.0.12HF2 | March
17, 2003) at 08/16/2003 06:56:46 AM
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_02E5_9B41D99F.36A6A66F"




----------------------------------------------------------


Received: from cc.jyu.fi ([211.46.24.10])
          by pluton.sgs.com (Lotus Domino Release 5.0.11)
          with ESMTP id 2003081508462702:30121 ;
          Fri, 15 Aug 2003 08:46:27 -0400
Subject: =?ISO-8859-1?B?V2FudCA=?=Bigger Pe=?ISO-8859-1?B?bmlzIGFuZCBQb3c=?=er Erection=?ISO-8859-1?B?cz8=?=
Date: Fri, 15 Aug 2003 13:49:27 +0100
To: alv@sgs.com
Message-ID: <31ed01c3632b$49b11cb2$8b5d5447@3uwypj2>
MIME-Version: 1.0
From: "Willa Cunningham" <wcunningham_mg@jonasj.dk>
X-MIMETrack: Itemize by SMTP Server on USNYC02/New York/US/SGS(Release 5.0.11  |July 24, 2002) at
08/15/2003 08:46:37 AM,
    Serialize by Router on USNYC02/New York/US/SGS(Release 5.0.11  |July 24, 2002) at
08/15/2003 08:46:40 AM
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_091F_17E1BED3.BC72309D"


----------------------------------------------------------------


Received: from hrads.com ([65.170.34.101])
          by svr_notes.hrads.com (Lotus Domino Release 5.0.9a)
          with ESMTP id 2003081612112381:1503 ;
          Sat, 16 Aug 2003 12:11:23 -0400
Received: from [218.90.153.86] (HELO jumprope.ca)
  by hrads.com (CommuniGate Pro SMTP 4.0.6)
  with ESMTP id 5812628 for abartley@hrads.com; Sat, 16 Aug 2003 12:12:44 -0400
Message-ID: <993e01c36411$2ce45f20$2d2eeb2b@oh9e4x3>
From: "Guadalupe Holloway" <hollowaynk@jonasj.dk>
To: abartley@hrads.com
Date: Sat, 16 Aug 2003 10:14:53 -0600
MIME-Version: 1.0
Subject: =?ISO-8859-1?b?VGhhdHMgd2hhdCA=?=i heard
X-MIMETrack: Itemize by SMTP Server on svr_notes/GBE(Release 5.0.9a |January 7, 2002) at
08/16/2003 12:11:23 PM,
    Serialize by Router on svr_notes/GBE(Release 5.0.9a |January 7, 2002) at 08/16/2003
12:11:24 PM
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_015A_116374C7.BE27425A"


----------------------------------------------------------------


Received: from mail.candle.com ([172.16.172.15])
          by n-smtpmta.candle.com (Lotus Domino Release 5.0.12)
          with SMTP id 2003081307305995:55750 ;
          Wed, 13 Aug 2003 07:30:59 -0700
Received: from customermx1.sef.pnap.net (63.251.161.37) by mail.candle.com (6.5.007)
        id 3F35642C00014427 for alex_paransky@candle.com; Wed, 13 Aug 2003 07:43:44 -0700
Received: from chello062179014002.chello.pl ([62.179.14.2] helo=aristotle.algonet.se)
    by customermx1.sef.pnap.net with esmtp (v3.35.1)
    id 19mweP-0006cs-00
    for <alex_paransky@candle.com>; Wed, 13 Aug 2003 07:30:59 -0700
To: alex_paransky@candle.com
MIME-Version: 1.0
Message-ID: <0c3e01c361a7$e7b60427$a1f41618@1lf9l91>
Subject: Maybe we can t=?iso-8859-1?b?cnk/?=
Date: Wed, 13 Aug 2003 07:34:16 -0700
From: "Monique Correa" <correavd@jonasj.dk>
X-MIMETrack: Itemize by SMTP Server on N-SMTPMTA/Candle(Release 5.0.12  |February 13, 2003) at
08/13/2003 07:30:59 AM,
    Serialize by Router on N-SMTPMTA/Candle(Release 5.0.12  |February 13, 2003) at
08/13/2003 07:31:02 AM,
    Serialize complete at 08/13/2003 07:31:02 AM
Content-Type: multipart/alternative;
    boundary="----=_NextPart_000_096D_ED85C71C.F3AEDE83"

kontakt in-boxes-offer.biz og hør hvad de har at sige til sagen. relevant info fra in-boxes-offer.biz:

Should you have any questions about our games, odds, payouts, or security measures, please do not hesitate to contact us, anytime of day or night, 365 days a year by e-mail, or by dialing toll free from the U.S.

1-800-824-3175 or by dialling +61 293693458 directly.

Our experienced, professional support staff will be happy to assist you, and it shows!!

The Casino Zeal operates through the gaming licence holder Doleplex, based in Cyprus at:

4th floor
Costis Palamis
Nocosia
Cyprus