This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

spam from random Hotmail addresses

Hello everyone, 
I have a problem I can 't seem to figure out.

I have a user that got two email today like this one below

From: Futrell Torina 

Date: October 14, 2013 at 2:17:46 PM EDT
To: Brian ***XX From: Futrell Torina 
Date: October 14, 2013 at 2:17:46 PM EDT
To: Brian ***XX 
Subject: Re[:P]ool Cover Technician (East Side)
Feeling bad to e-mail ya out of nowhere however truly Im thinking about
meeting. In case you are experience bored to death let me know. 
You can 24 7 find me on my profile. There is not any charge to become 
listed on thus yep, would like to talk with you! I have tons of images of us
on the to suit your needs, I think you will always be impressed! xoxo 


below this were two nasty selfie pictures.


The email was sent to a common email for our company similar to info@example.com that this user monitors.

the other one is almost exactly the same but with a different hotmail account and a different link "http://tongueo.org "

How do I stop this from happening again?? I can't block all of hotmail!!

and the smtp logs shows they came from two separate servers..

the links all go to the same place eventually, but it goes to a facebook account first, then jumps to "bahoo.be"...Which is some live girls video chat site.

I have added some expressions to the "expressions filter list" but that's all I can think of...

any ideas would be greatly appreciated!
thanks
bill12780


This thread was automatically locked due to age.
Parents Reply Children
  • Yes, I did apply in both places..

    Thats a lesson you only have to learn once! hahahaha!

    I have not gotten one of these emails today....yet. 

    and I can't find any where in the smpt log were any were blocked.

    I am still not sure I totally understand how this unit works. So I am not even sure if the blacklist was working if it would show up in the smpt log.

    Will it??? 

    I think we just have to wait and see if more come along. I would however love to see in a log someplace that it was actually blocking them and not that they had just moved on.

    Is there any way to tell other than were I am looking in the Mail Manager? I know there are a TON of other logs!

    thanks again for your help!!!
    bill12780
  • Well it was wishful thinking to expect these to go away...

    Here are the headers for the latest two emails 

    Received: from mail.poolcovers.com (10.0.0.29) by Exchange.poolcovers.local
    (10.0.0.89) with Microsoft SMTP Server (TLS) id 8.3.298.1; Mon, 21 Oct 2013
    04:43:27 -0600
    Received: from dub0-omc3-s13.dub0.hotmail.com ([157.55.2.22]:17371)    by
    mail.poolcovers.com with esmtp (Exim 4.76)     (envelope-from
    )   id 1VYCvE-0007hw-2L       for servicein@poolcovers.com; Mon,
    21 Oct 2013 04:41:17 -0600
    Received: from DUB125-W33 ([157.55.2.7]) by dub0-omc3-s13.dub0.hotmail.com
    with Microsoft SMTPSVC(6.0.3790.4675);         Mon, 21 Oct 2013 03:36:06 -0700
    X-CTCH-RefID: str=0001.0A020208.526504CD.01A5,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    X-TMN: [NV713AOHGn+rJ0gReVneo+WZRLHeo0rd]
    X-Originating-Email: [geozht@hotmail.com]
    Message-ID: 
    Return-Path: geozht@hotmail.com
    Content-Type: multipart/mixed;
                boundary="_c87e7f4b-6cb2-4b4f-82d8-80c9803df393_"
    From: Traverso Windon 
    To: 
    Subject: re:re[[:P]]ool Cover Technician (East Side)
    Date: Mon, 21 Oct 2013 10:36:06 +0000
    Importance: Normal
    MIME-Version: 1.0
    X-OriginalArrivalTime: 21 Oct 2013 10:36:06.0499 (UTC) FILETIME=[59365330:01CECE49]



    Received: from mail.poolcovers.com (10.0.0.29) by Exchange.poolcovers.local
    (10.0.0.89) with Microsoft SMTP Server (TLS) id 8.3.298.1; Sun, 20 Oct 2013
    02:49:13 -0600
    Received: from dub0-omc3-s14.dub0.hotmail.com ([157.55.2.23]:4225)       by
    mail.poolcovers.com with esmtp (Exim 4.76)     (envelope-from
    )    id 1VXofA-0002W6-17        for servicein@poolcovers.com; Sun,
    20 Oct 2013 02:47:05 -0600
    Received: from DUB125-W45 ([157.55.2.7]) by dub0-omc3-s14.dub0.hotmail.com
    with Microsoft SMTPSVC(6.0.3790.4675);         Sun, 20 Oct 2013 01:41:53 -0700
    X-CTCH-RefID: str=0001.0A020209.52639889.003B,ss=1,re=0.000,recu=0.000,reip=0.000,cl=1,cld=1,fgs=0
    X-TMN: [EnfWNVsxGT+mXVcrhdT445xwH6OFMWHI]
    X-Originating-Email: [g97sj7@hotmail.com]
    Message-ID: 
    Return-Path: g97sj7@hotmail.com
    Content-Type: multipart/mixed;
                boundary="_ed3d456d-d00a-414d-99bf-2691b292927a_"
    From: Wisman Heape 
    To: 
    Subject: Re[[:P]]ool Cover Technician (East Side)
    Date: Sun, 20 Oct 2013 08:41:53 +0000
    Importance: Normal
    MIME-Version: 1.0
    X-OriginalArrivalTime: 20 Oct 2013 08:41:53.0805 (UTC) FILETIME=[3A4673D0:01CECD70


    I double and triple checked that I have '*@phx.glb' in my "blacklisted address Patterns"

    Does anyone have any ideas at all?? At this point I am ready to change the email address to something different to get rid of these..

    Thanks for everyone's input...
    thanks
    Bill12780