OVH Community, your new community space.

Spam via OVH-servers verstuurd?


Sjowhan
29-01-10, 10:47
Citaat Oorspronkelijk geplaatst door Raymon
Received: from ns205337.ovh.net (ns205337.ovh.net [94.23.26.61])

Dat doet er toe. Die 10.x is slechts een interne server van gmail die je ziet.
Ik wist 't eigenlijk ook wel, 10.x is een van de block ipadressen die gebruikt kunnen worden voor het interne netwerk.

Overigens nog niets vernomen van de abuse-afdeling van OVH.

Raymon
29-01-10, 02:02
Received: from ns205337.ovh.net (ns205337.ovh.net [94.23.26.61])


Dat doet er toe. Die 10.x is slechts een interne server van gmail die je ziet.

Sjowhan
28-01-10, 13:58
Citaat Oorspronkelijk geplaatst door Raymon
Ik mag hopen dat dat niet kan idd, als die servers open relays zijn was het nog enigszins te verklaren. Als het geen open relays zijn is iemand met een account op die servers dus spam aan het versturen, wat het bewust spammen maakt.
Heb weer van een host die ik hier al gemeld heb, opnieuw spam gekregen (woensdag):
Code:
Received: by 10.204.118.201 with SMTP id w9cs65905bkq;
        Wed, 27 Jan 2010 11:13:06 -0800 (PST)
Received: by 10.142.4.41 with SMTP id 41mr504791wfd.123.1264619584966;
        Wed, 27 Jan 2010 11:13:04 -0800 (PST)
Return-Path: 
Received: from ns205337.ovh.net (ns205337.ovh.net [94.23.26.61])
        by mx.google.com with SMTP id 15si282200pzk.20.2010.01.27.11.13.02;
        Wed, 27 Jan 2010 11:13:04 -0800 (PST)
Received-SPF: pass (google.com: domain of selamat4@ns205337.ovh.net designates 94.23.26.61 as permitted sender) client-ip=94.23.26.61;
Authentication-Results: mx.google.com; spf=pass (google.com: domain of selamat4@ns205337.ovh.net designates 94.23.26.61 as permitted sender) smtp.mail=selamat4@ns205337.ovh.net
X-Priority: 3 (Normal)
From: 
Date: Wed, 27 Jan 2010 20:13:22 +0400
Vreemd is, dat als ik een whois op het 10.*-ipadres doe, het blijkbaar een zogenaamde 'blackhole' is van IANA (degene die ipadres-blocks vrijgeven zeg maar)

Raymon
26-01-10, 13:24
Ik mag hopen dat dat niet kan idd, als die servers open relays zijn was het nog enigszins te verklaren. Als het geen open relays zijn is iemand met een account op die servers dus spam aan het versturen, wat het bewust spammen maakt.

Sjowhan
26-01-10, 13:21
Citaat Oorspronkelijk geplaatst door Raymon
Antwoorden allemaal nog steeds op poortje 25
Precies, maar als je via een (willekeurige) afzender (bijv via telnet) naar jezelf probeert te versturen, zal de server een foutmelding geven.
Twijfel dus af en toe ook of mijn 'gezever' wel geheel correct is..

Sjowhan
26-01-10, 13:20
Citaat Oorspronkelijk geplaatst door zydron
Dat is een best wel lange lijst.
Wat doen die "gele adressen" eigenlijk?

Maar goed, zorg dat je eigen server er niet instaat, is niet echt al te handig.
eerste wat ik deed, is kijken of mijn ip er in staat (wat dus niet het geval was, ik configureer die services zelf, en ik gebruik geen controle paneel).
Klik maar op die 'SBL-nummers" vooraan. Het blijkt dat de ipadressen in een zgn. "Register Of Known Spam Operations (ROKSO)" staat.

Vaak betekend dit dat de manier van spam die verstuurd wordt via dat ipadres (of werd), al eerder bekend is, en het ipadres waarvan de spam verstuurd wordt, geregisteerd is in de database.

Raymon
26-01-10, 13:19
Citaat Oorspronkelijk geplaatst door Sjowhan
Van 6 januari sowieso.

De hosts die momenteel nog 'alive' zijn;
ns300427.ovh.net (spam verstuurd op 06-01-2010)
ns353119.ovh.net (spam verstuurd op 11-01-2010)
ns205337.ovh.net (spam verstuurd op 11-01-2010, 12-01-2010, 15-01-2010, 23-01-2010 en vanochtend 25-01-2010).

Ik heb deze hosts ook zojuist (weer) doorgestuurd naar de abusedesk, maar nogmaals; volgens mij doen ze er niets aan..
Antwoorden allemaal nog steeds op poortje 25

Raymon
26-01-10, 13:12
Citaat Oorspronkelijk geplaatst door Betatester123
Blijkbaar overmacht.

De rate waarmee servers geregistreerd worden is groter dan die worden afgesloten.
De 'bad guys' zijn vaak in het voordeel.
Als ik jouw redenering volg zeg ik: Werkt dus niet, die setup fee...

zydron
26-01-10, 08:48
Dat is een best wel lange lijst.
Wat doen die "gele adressen" eigenlijk?

Maar goed, zorg dat je eigen server er niet instaat, is niet echt al te handig.
eerste wat ik deed, is kijken of mijn ip er in staat (wat dus niet het geval was, ik configureer die services zelf, en ik gebruik geen controle paneel).

Sjowhan
25-01-10, 22:13
Ook op spamhaus is al een behoorlijke lijst gegenereerd met ovh-ipadressen;
http://www.spamhaus.org/sbl/listings.lasso?isp=ovh.net

Sjowhan
25-01-10, 22:05
Citaat Oorspronkelijk geplaatst door Betatester123
Blijkbaar overmacht.

De rate waarmee servers geregistreerd worden is groter dan die worden afgesloten.
De 'bad guys' zijn vaak in het voordeel.
Dat klopt, maar ze kunnen er wel wat aan doen.

Er is bijvoorbeeld een lijst (in ieder geval in NL) beschikbaar van creditcards-nummers die oneigenlijk zijn verkregen; dit is al een controlepunt die OVH zou moeten gebruiken.
Maargoed, waarschijnlijk zien ze liever dollar-tekens in hun ogen, dan dat ze een beetje aan de veiligheid van de consumenten denken..

Edit:
Security.nl had trouwens onlangs wel een artikel over malware-hosting online gezet, waar OVH ook in genoemd wordt (link: http://www.security.nl/artikel/31967...re_domein.html)

Betatester123
25-01-10, 17:38
Blijkbaar overmacht.

De rate waarmee servers geregistreerd worden is groter dan die worden afgesloten.
De 'bad guys' zijn vaak in het voordeel.

Sjowhan
25-01-10, 13:30
Citaat Oorspronkelijk geplaatst door Betatester123
OVH staat in de top 3 van 's werelds grootste spam netwerken.

Probleem is bekend bij de support.
Ze proberen het op te lossen door de eenmalige kosten van de kimsufi servers te verhogen.

Als je er wat aan wilt doen:
Gmail heeft een uitstekend spam filter ^^
Zoiets had ik inderdaad al gelezen . Gmail vangt inderdaad deze spam wel af, maar vind 't niet kunnen van een (europese) hoster dat ze niet ingrijpen..

Sjowhan
25-01-10, 13:29
Citaat Oorspronkelijk geplaatst door Raymon
Simpele test die je kan doen: Antwoord er nog een mailagent (telnetten naar poort 25) op de ip's waar je spam van kreeg? Zo ja; dan heeft OVH ze niet afgesloten.
Van 6 januari sowieso.

De hosts die momenteel nog 'alive' zijn;
ns300427.ovh.net (spam verstuurd op 06-01-2010)
ns353119.ovh.net (spam verstuurd op 11-01-2010)
ns205337.ovh.net (spam verstuurd op 11-01-2010, 12-01-2010, 15-01-2010, 23-01-2010 en vanochtend 25-01-2010).

Ik heb deze hosts ook zojuist (weer) doorgestuurd naar de abusedesk, maar nogmaals; volgens mij doen ze er niets aan..

Raymon
25-01-10, 00:51
Simpele test die je kan doen: Antwoord er nog een mailagent (telnetten naar poort 25) op de ip's waar je spam van kreeg? Zo ja; dan heeft OVH ze niet afgesloten.

Betatester123
24-01-10, 22:29
OVH staat in de top 3 van 's werelds grootste spam netwerken.

Probleem is bekend bij de support.
Ze proberen het op te lossen door de eenmalige kosten van de kimsufi servers te verhogen.

Als je er wat aan wilt doen:
Gmail heeft een uitstekend spam filter ^^

Sjowhan
24-01-10, 21:29
Hallo,

Het valt me naar mijn gmail account een aantal keren deze maand al 7x spam verstuurd is via een kimsufi- of ovh.net machine/ipadres.
Ik heb al een keer dit doorgestuurd naar de abuseafdeling, maar ik hoor er absoluut niets over.

Waar kan ik het wl aangeven en wordt er daadwerkelijk wat mee gedaan?