Spamování z IP adresy se zablokovaným Portem 25???
Napsal: 19 dub 2008 00:17
Zdravím a rád bych požádal o radu v záležitosti, která nás již delší dobu trápí. Přesouvám sem téma, které jsem před časem řešil na jiném místě tohoto fóra (viz ZDE).
Naše organizace, Římskokatolická farnost Cheb, má pro svoji farní knihovnu v rámci "Projektu internetizace knihoven" zřízenu službu "Data P1/C" od O2. Na vstupním routeru Prestige 650RE3 je připojena místní počítačová síť, která má IP adresu 80.188.41.127. Tato adresa se z neznámých důvodů opakovaně dostává na antispamové blacklisty (viz např. http://www.blacklistalert.org/?q=80.188.41.127) a naše pošta, kterou pomocí Outlook 2007 posíláme přes SMTP server našeho poskytovatele (relay.iol.cz) je blokována některými mailovými servery (především je to akutní na Seznam.cz), které pro filtraci spamu tyto blacklisty používají.
Po intenzivní spolupráci s firmou, která instalovala a spravuje naši síť, můžeme konstatovat, že všechny naše počítače jsou čisté. Navíc jsme učinili experiment, který by toto konstatování měl stoprocentně potvrdit: Na víkend jsme celou naši síť natvrdo fyzicky odpojili od internetu, přičemž před tím jsme požádali o výmaz či učinili ruční výmaz z některých toto umožňujících blacklistů. Během tohoto víkendu jsme se však na několika z těchto blacklistů opět objevili jako šiřitelé spamu!
Nyní nám naše počítačová firma pro jistotu ještě na výstup sítě nainstalovala D-Link DIR 100, na kterém zablokovala Port 25 a zároveň zde nechala běžet log pro zjištění případných pokusů se na tento Port připojit a odesílat nějakou havěť.
Ačkoli je takto naše síť pro SMTP komunikaci zablokována již od čtvrtka 17. 4. 2008 a ačkoli se na zmíněném logu od té doby žádné pokusy použít Port 25 neobjevily, na několika blacklistech se naše IP adresa obět během pátku 18. 4. 2008 objevila jako šiřitel spamu.
Zde jsou konkrétní příklady:
CBL http://cbl.abuseat.org/lookup.cgi?ip=80.188.41.127
IP Address 80.188.41.127 is currently listed in the CBL.
It was detected at 2008-04-18 15:00 GMT (+/- 30 minutes), approximately 7 hours ago.
It has been relisted following a previous removal at 2008-04-18 08:02 GMT
ATTENTION: This IP is infected with, or NATting for a computer infected with a high volume spam sending trojan - it is participating in a botnet.
Manitu http://www.dnsbl.manitu.net/lookup.php? ... 188.41.127
The IP address 80.188.41.127 is listed in ix.dnsbl.manitu.net because of receiving spam from there via mail2.i-t-partner.de at 2008-04-18 17:18:09+0200 and will be removed within about 72 hours after the last spam email has been detected.
WPBL http://www.wpbl.info/cgi-bin/detail.cgi ... 188.41.127
Record detail for 80.188.41.127
uid Timestamp Good seen Spam seen
1942 2008-04-18 13:37:19 0 1
psblsuriel http://psbl.surriel.com/listing?ip=80.188.41.127
2008-04-18 07:11:50.877329 received spamtrap mail
2008-04-18 07:11:52.198711 received spamtrap mail
2008-04-18 07:11:52.976792 received spamtrap mail
2008-04-18 07:11:56.798115 received spamtrap mail
2008-04-18 07:11:57.813663 received spamtrap mail
2008-04-18 07:11:58.935725 received spamtrap mail
2008-04-18 07:11:59.413199 received spamtrap mail
2008-04-18 07:11:59.472132 received spamtrap mail
2008-04-18 07:12:00.273582 received spamtrap mail
Z posledně jmenovaného blacklistu bylo možné stáhnout i konkrétní podobu jím zachycených spamů (připojuji níže).
Je nějakým způsobem vůbec možné, aby IP adresa, na které je blokován Port 25 (nebo která je dokonce natvrdo odpojena od sítě) byla takto spamově "aktivní"?
Velmi budeme vděčni za jakoukoli radu, protože nám (i našim odborným poradcům) nad touto situací již zůastává rozum stát.
S pozdravem
Petr Hruška
spolufarář Řk farnosti Cheb
www.farnostcheb.cz
PS: Níže připojuji zmíněný log spamů z naší IP adresy zachycených na psbl.surriel.com v době, kdy jsme již 20 hodin před tím měli zablokován Port 25:
From laitinie1956@FLASHWEBSITE.COM Fri Apr 18 07:02:32 2008
Delivery-date: Fri, 18 Apr 2008 07:02:32 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <laitinie1956>)
id 1JmoMS-00011v-27
for victim@smtp.example; Fri, 18 Apr 2008 07:02:32 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:29 +0200
Subject: Techniques to cumming back to back
From: Romines <laitinie1956>
To: "victim@smtp.example" <victim>
Thread-Topic: Techniques to cumming back to back
Thread-Index: AcihVHU5r54FDKDYRyWHTIJeV8+2lQ==
Mime-version: 1.0
boundary="B_5425457012_72099"
--B_5425457012_72099
charset="US-ASCII"
Make her happy with your new giant gun http://www.bueahtniij.com
--B_5425457012_72099
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Techniques to cumming back to back</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>Make her happy with your new giant gun </SPAN>http://www.poweoie.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_7011570723_91388--
From lalgebra_1953@FLASHWEBSITE.COM Fri Apr 18 07:02:25 2008
Delivery-date: Fri, 18 Apr 2008 07:02:25 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <lalgebra_1953>)
id 1JmoMK-0000zV-Og
for victim@smtp.example; Fri, 18 Apr 2008 07:02:25 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:22 +0200
Subject: Make her yours today
From: Hudson <lalgebra_1953>
To: "victim@smtp.example" <victim>
Thread-Topic: Make her yours today
Thread-Index: AcihVHDbjj2OX5g2TzO+hkqq5jZ8yg==
Mime-version: 1.0
boundary="B_6378151946_27630"
--B_6378151946_27630
charset="US-ASCII"
Make her happy with your new giant gun http://www.posejaang.com
--B_6378151946_27630
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Make her yours today</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>Make her happy with your new giant gun </SPAN>http://www.buettek.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_4753030504_08170--
From k{ytt|ar_1986@FLASHWEBSITE.COM Fri Apr 18 07:02:23 2008
Delivery-date: Fri, 18 Apr 2008 07:02:23 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <k>)
id 1JmoMI-0000zV-RU
for victim@smtp.example; Fri, 18 Apr 2008 07:02:23 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:20 +0200
Subject: Make her yours today
From: Zhaopin <k>
To: "victim@smtp.example" <victim>
Thread-Topic: Make her yours today
Thread-Index: AcihVG+64xHPVMCnSgCF/VBYdrAi4g==
Mime-version: 1.0
boundary="B_2089175758_20691"
--B_2089175758_20691
charset="US-ASCII"
She will achieve pleasure easily when you are this big http://www.bueahtniij.com
--B_2089175758_20691
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Make her yours today</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>She will achieve pleasure easily when you are =
this big </SPAN>http://www.poreeajg.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_3810381346_92858--
From lag-bed@FLASHWEBSITE.COM Fri Apr 18 07:02:21 2008
Delivery-date: Fri, 18 Apr 2008 07:02:21 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <lag>)
id 1JmoMH-0000zV-0m
for victim@smtp.example; Fri, 18 Apr 2008 07:02:21 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:18 +0200
Subject: Blow her away with this
From: onkar <lag>
To: "victim@smtp.example" <victim>
Thread-Topic: Blow her away with this
Thread-Index: AcihVG6fyqBnH5t2TiuTwS5McFRkAA==
Mime-version: 1.0
boundary="B_9844623527_44374"
--B_9844623527_44374
charset="US-ASCII"
Make her happy with your new giant gun http://www.piikeaig.com
--B_9844623527_44374
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Blow her away with this</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>Make her happy with your new giant gun </SPAN>http://www.nuueitao.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_4376241950_84422--
Naše organizace, Římskokatolická farnost Cheb, má pro svoji farní knihovnu v rámci "Projektu internetizace knihoven" zřízenu službu "Data P1/C" od O2. Na vstupním routeru Prestige 650RE3 je připojena místní počítačová síť, která má IP adresu 80.188.41.127. Tato adresa se z neznámých důvodů opakovaně dostává na antispamové blacklisty (viz např. http://www.blacklistalert.org/?q=80.188.41.127) a naše pošta, kterou pomocí Outlook 2007 posíláme přes SMTP server našeho poskytovatele (relay.iol.cz) je blokována některými mailovými servery (především je to akutní na Seznam.cz), které pro filtraci spamu tyto blacklisty používají.
Po intenzivní spolupráci s firmou, která instalovala a spravuje naši síť, můžeme konstatovat, že všechny naše počítače jsou čisté. Navíc jsme učinili experiment, který by toto konstatování měl stoprocentně potvrdit: Na víkend jsme celou naši síť natvrdo fyzicky odpojili od internetu, přičemž před tím jsme požádali o výmaz či učinili ruční výmaz z některých toto umožňujících blacklistů. Během tohoto víkendu jsme se však na několika z těchto blacklistů opět objevili jako šiřitelé spamu!
Nyní nám naše počítačová firma pro jistotu ještě na výstup sítě nainstalovala D-Link DIR 100, na kterém zablokovala Port 25 a zároveň zde nechala běžet log pro zjištění případných pokusů se na tento Port připojit a odesílat nějakou havěť.
Ačkoli je takto naše síť pro SMTP komunikaci zablokována již od čtvrtka 17. 4. 2008 a ačkoli se na zmíněném logu od té doby žádné pokusy použít Port 25 neobjevily, na několika blacklistech se naše IP adresa obět během pátku 18. 4. 2008 objevila jako šiřitel spamu.
Zde jsou konkrétní příklady:
CBL http://cbl.abuseat.org/lookup.cgi?ip=80.188.41.127
IP Address 80.188.41.127 is currently listed in the CBL.
It was detected at 2008-04-18 15:00 GMT (+/- 30 minutes), approximately 7 hours ago.
It has been relisted following a previous removal at 2008-04-18 08:02 GMT
ATTENTION: This IP is infected with, or NATting for a computer infected with a high volume spam sending trojan - it is participating in a botnet.
Manitu http://www.dnsbl.manitu.net/lookup.php? ... 188.41.127
The IP address 80.188.41.127 is listed in ix.dnsbl.manitu.net because of receiving spam from there via mail2.i-t-partner.de at 2008-04-18 17:18:09+0200 and will be removed within about 72 hours after the last spam email has been detected.
WPBL http://www.wpbl.info/cgi-bin/detail.cgi ... 188.41.127
Record detail for 80.188.41.127
uid Timestamp Good seen Spam seen
1942 2008-04-18 13:37:19 0 1
psblsuriel http://psbl.surriel.com/listing?ip=80.188.41.127
2008-04-18 07:11:50.877329 received spamtrap mail
2008-04-18 07:11:52.198711 received spamtrap mail
2008-04-18 07:11:52.976792 received spamtrap mail
2008-04-18 07:11:56.798115 received spamtrap mail
2008-04-18 07:11:57.813663 received spamtrap mail
2008-04-18 07:11:58.935725 received spamtrap mail
2008-04-18 07:11:59.413199 received spamtrap mail
2008-04-18 07:11:59.472132 received spamtrap mail
2008-04-18 07:12:00.273582 received spamtrap mail
Z posledně jmenovaného blacklistu bylo možné stáhnout i konkrétní podobu jím zachycených spamů (připojuji níže).
Je nějakým způsobem vůbec možné, aby IP adresa, na které je blokován Port 25 (nebo která je dokonce natvrdo odpojena od sítě) byla takto spamově "aktivní"?
Velmi budeme vděčni za jakoukoli radu, protože nám (i našim odborným poradcům) nad touto situací již zůastává rozum stát.
S pozdravem
Petr Hruška
spolufarář Řk farnosti Cheb
www.farnostcheb.cz
PS: Níže připojuji zmíněný log spamů z naší IP adresy zachycených na psbl.surriel.com v době, kdy jsme již 20 hodin před tím měli zablokován Port 25:
From laitinie1956@FLASHWEBSITE.COM Fri Apr 18 07:02:32 2008
Delivery-date: Fri, 18 Apr 2008 07:02:32 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <laitinie1956>)
id 1JmoMS-00011v-27
for victim@smtp.example; Fri, 18 Apr 2008 07:02:32 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:29 +0200
Subject: Techniques to cumming back to back
From: Romines <laitinie1956>
To: "victim@smtp.example" <victim>
Thread-Topic: Techniques to cumming back to back
Thread-Index: AcihVHU5r54FDKDYRyWHTIJeV8+2lQ==
Mime-version: 1.0
boundary="B_5425457012_72099"
--B_5425457012_72099
charset="US-ASCII"
Make her happy with your new giant gun http://www.bueahtniij.com
--B_5425457012_72099
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Techniques to cumming back to back</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>Make her happy with your new giant gun </SPAN>http://www.poweoie.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_7011570723_91388--
From lalgebra_1953@FLASHWEBSITE.COM Fri Apr 18 07:02:25 2008
Delivery-date: Fri, 18 Apr 2008 07:02:25 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <lalgebra_1953>)
id 1JmoMK-0000zV-Og
for victim@smtp.example; Fri, 18 Apr 2008 07:02:25 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:22 +0200
Subject: Make her yours today
From: Hudson <lalgebra_1953>
To: "victim@smtp.example" <victim>
Thread-Topic: Make her yours today
Thread-Index: AcihVHDbjj2OX5g2TzO+hkqq5jZ8yg==
Mime-version: 1.0
boundary="B_6378151946_27630"
--B_6378151946_27630
charset="US-ASCII"
Make her happy with your new giant gun http://www.posejaang.com
--B_6378151946_27630
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Make her yours today</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>Make her happy with your new giant gun </SPAN>http://www.buettek.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_4753030504_08170--
From k{ytt|ar_1986@FLASHWEBSITE.COM Fri Apr 18 07:02:23 2008
Delivery-date: Fri, 18 Apr 2008 07:02:23 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <k>)
id 1JmoMI-0000zV-RU
for victim@smtp.example; Fri, 18 Apr 2008 07:02:23 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:20 +0200
Subject: Make her yours today
From: Zhaopin <k>
To: "victim@smtp.example" <victim>
Thread-Topic: Make her yours today
Thread-Index: AcihVG+64xHPVMCnSgCF/VBYdrAi4g==
Mime-version: 1.0
boundary="B_2089175758_20691"
--B_2089175758_20691
charset="US-ASCII"
She will achieve pleasure easily when you are this big http://www.bueahtniij.com
--B_2089175758_20691
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Make her yours today</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>She will achieve pleasure easily when you are =
this big </SPAN>http://www.poreeajg.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_3810381346_92858--
From lag-bed@FLASHWEBSITE.COM Fri Apr 18 07:02:21 2008
Delivery-date: Fri, 18 Apr 2008 07:02:21 -0400
Received: from [80.188.41.127]
by mail.victim.example with esmtp (Exim 4.63)
(envelope-from <lag>)
id 1JmoMH-0000zV-0m
for victim@smtp.example; Fri, 18 Apr 2008 07:02:21 -0400
User-Agent: Microsoft-Entourage/12.1.0.080305
Date: Fri, 18 Apr 2008 13:02:18 +0200
Subject: Blow her away with this
From: onkar <lag>
To: "victim@smtp.example" <victim>
Thread-Topic: Blow her away with this
Thread-Index: AcihVG6fyqBnH5t2TiuTwS5McFRkAA==
Mime-version: 1.0
boundary="B_9844623527_44374"
--B_9844623527_44374
charset="US-ASCII"
Make her happy with your new giant gun http://www.piikeaig.com
--B_9844623527_44374
charset="US-ASCII"
<HTML>
<HEAD>
<TITLE>Blow her away with this</TITLE>
</HEAD>
<BODY>
<FONT><FONT><SPAN>Make her happy with your new giant gun </SPAN>http://www.nuueitao.com
</SPAN></FONT></FONT></FONT>
</BODY>
</HTML>
--B_4376241950_84422--
