Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 6982 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Too Much Obvious Spam, What Can Be Done?

CBeyer
Just a sample of the messages (subjects) I received today:


  • LAST-DAY: You currently-have $155 in Walmart-Reward Points: Redeem-Today from Walmart Points Center 
  • Garage door repair services from Garage Door Fixes 
  • New phone features boost productivity from Telephone Systems 
  • Always-Wanted to Drive a Ferrari? Rent-an-Exotic Car from Exotic Car Rental 
  • Hot Vacation-Specials to Costa Rica from Costa Rica Trips 


This comes in every few minutes, not only to me, but the exact messages to everyone in the office (some 80+ employees).

We currently run PureMessage 3.1.3 for Exchange 2010 on Windows Server 2008 R2. This wasn't an issue a few months back, just recently. How do such obvious spam messages get through? Is there any way to combat it? We're talking 30 - 40 messages a day multiplied by 80+ users... Sorry, but that should invalidate your product as a Spam Filter...

Any thoughts, any avenues I can turn to get a resolution to this?


This thread was automatically locked due to age.
Parents
  • 0
    Clay, I looked a little more closely.  This looks like the handiwork of the Russian Mafia.  Each of those domains was registered yesterday at eNom using their WhoisPrivacyProtect service.  It appears that the MX records all relate to servers in Bulgaria.

    There are several things you can do if you want to help get rid of them.  Rather than clicking on any of the links, I would copy them to a browser in a sandbox (Sandboxie is free).

    For one example of each:
    [LIST=1]Report these spams to Sophos Labs.
    • Start the Web Filtering Live Log, put your IP into the Filter box at the top and hit enter.
    • Copy the URL (there are probably numerous copies of the same one) into your sandbox and go to the web page.  It's likely that you will be redirected to the real webpage of the criminals.
    • Using a tool like CentralOps.net, look up the domain Whois of the FQDN in the original URL to get its IP and to confirm that it's a domain that was not registered recently.
    • Do the same for the FQDN of the criminal site.
    • Copy the headers of the email, forward the email to abuse@enom.com (and others as below) and copy the headers above the contents of the email.  I like to put -----Headers----- above them.
    • Add in the 'To:' field abuse@whoisprivacyprotect.com and the network abuse@ addresses found in 4 and 5 above.
    • At the top of your email, request that eNom and WhoisPrivacyProtect suspend the domain and privacy for the registrant in 5.
    • Below that, add the IP addresses found in 4 and 5 so that their abuse systems don't reject your email.
    • Find the originating IP of the email in the header and use the tool in 4 to find the abuse address for it and add it to the 'To:' field.
    • Find the IP of the server from which your UTM received the spam, repeat 10 with it and send.
    [/LIST]
    Do this every morning for new domains.  Within a week, the spams will stop and they will be forced to move from eNom - killing their privacy and time/investment in domain names is what stops them.

    Cheers - Bob
    PS Here's a pic of one I reported in March.  As you can see, swissmail.org's server didn't add the originating IP to the header, and there were two hops before I got to the criminal site.  Even though the Chinese registrar didn't take the action I requested, the site is now without an IP.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Clay, I looked a little more closely.  This looks like the handiwork of the Russian Mafia.  Each of those domains was registered yesterday at eNom using their WhoisPrivacyProtect service.  It appears that the MX records all relate to servers in Bulgaria.

    There are several things you can do if you want to help get rid of them.  Rather than clicking on any of the links, I would copy them to a browser in a sandbox (Sandboxie is free).

    For one example of each:
    [LIST=1]Report these spams to Sophos Labs.
    • Start the Web Filtering Live Log, put your IP into the Filter box at the top and hit enter.
    • Copy the URL (there are probably numerous copies of the same one) into your sandbox and go to the web page.  It's likely that you will be redirected to the real webpage of the criminals.
    • Using a tool like CentralOps.net, look up the domain Whois of the FQDN in the original URL to get its IP and to confirm that it's a domain that was not registered recently.
    • Do the same for the FQDN of the criminal site.
    • Copy the headers of the email, forward the email to abuse@enom.com (and others as below) and copy the headers above the contents of the email.  I like to put -----Headers----- above them.
    • Add in the 'To:' field abuse@whoisprivacyprotect.com and the network abuse@ addresses found in 4 and 5 above.
    • At the top of your email, request that eNom and WhoisPrivacyProtect suspend the domain and privacy for the registrant in 5.
    • Below that, add the IP addresses found in 4 and 5 so that their abuse systems don't reject your email.
    • Find the originating IP of the email in the header and use the tool in 4 to find the abuse address for it and add it to the 'To:' field.
    • Find the IP of the server from which your UTM received the spam, repeat 10 with it and send.
    [/LIST]
    Do this every morning for new domains.  Within a week, the spams will stop and they will be forced to move from eNom - killing their privacy and time/investment in domain names is what stops them.

    Cheers - Bob
    PS Here's a pic of one I reported in March.  As you can see, swissmail.org's server didn't add the originating IP to the header, and there were two hops before I got to the criminal site.  Even though the Chinese registrar didn't take the action I requested, the site is now without an IP.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML