Neki od racunara (mozda i vise) su zarazeni, dzaba im Avast ili bilo sta, ako korisnik otvara i klikce na sve sto mu se nudi kao free (karikiram malo).
Da je neki pametniji ruter umesto HG520 (npr MikroTik) mogao bi da pratis konekcije iz mreze prema Internetu. Uglavnom zarazeni racunari prave veliki broj konekcija prema nasumicno odabranim IP adresama.
Takodje, proveri da nije ukljucen WiFi bez ikakve zastite (opste poznato nepisano pravilo, takvih SSID-ova po gradu koliko hoces, na izvol'te) i da se neko ne kaci i eventualno spamuje.



Ajd postavi header neke od tih poruka, apsolutno nemoguca situacija.

Mislim da je tema više za Zaštitu nego za Windows mreže. Ako nisi siguran da li imaš spam bot, a ne šeta ti se od računara do računara da bi ručno pokretao specijalizovane skenere, može ti pomoći Dr.Web CureNet!, mene je nekoliko puta spasao u sličnim situacijama. Instaliraš ga na jednom računaru, uneseš mu parametre mreže, i onda skenira sve ostale, i vrlo brzo dobiješ spisak svih sumnjivih. Sasvim dovoljan ti je trial mode koji možeš pronaći na sajtu, i kad dobiješ rezultate, onda se samo skoncentrišeš na te na kojima je pronađeno nešto.

Ako te ne mrzi da se šetaš od kompa do kompa, onda ti preporučujem da na svaki instaliraš MalwareBytes AntiMalware pa da ih skeniraš, jer to što Avast ne prijavljuje ništa ne znači da nečeg nema, a "više očiju više vidi, odnosno više ušiju više čuje"...

Što se spam-ova tiče, da li si siguran da su ti NDR-ovi pravi? Nije nikakav problem da ja na svoje emailove stavim tvoju adresu ili bilo čiju kao adresu pošiljaoca, i ako taj email ne prodje vratice se tebi, a ne meni, iako ga ti nisi nikad ni poslao nego ja. Uzgred, mnogi spameri koriste NDR kao trik da prevare antispam filtere - upakuju svoj spam kao NDR, pošalju ga kao takvog, a onda antispam filter propusti to misleći da je legitimna poruka...

Nisam nesto preterano vican e-mail tehnologijama pa evo jedan header od poruke koja je vracena:

Return-Path: <[email protected]>
Received: (qmail 15964 invoked by uid 506); 22 Oct 2011 05:43:30 -0500
Received: from 208.81.6.163 by mail.autobahn.mb.ca (envelope-from <[email protected]>, uid 503) with qmail-scanner-1.25
(uvscan: v4.3.20/v5030. spamassassin: 3.0.3.
Clear:RC:1(208.81.6.163):.
Processed in 0.514579 secs); 22 Oct 2011 10:43:30 -0000
Received: from unknown (HELO smtp1.autobahn.mb.ca) (208.81.6.163)
by mail.autobahn.mb.ca with SMTP; 22 Oct 2011 05:43:30 -0500
Received: from mail-42.sezampro.rs (HELO c-Everest.sezampro.rs) (77.105.0.42)
by smtp1.autobahn.mb.ca (qpsmtpd/0.32) with SMTP; Sat, 22 Oct 2011 04:44:51 -0500
Received: from 77.105.36.40.sezampro.rs [77.105.36.40] by SezamPro with SMTP; Thu, 20 Oct 2011 15:09:42 +0200
MIME-Version: 1.0
X-Mailer: AfterLogic WebMail Lite PHP
X-Originating-IP: 41.138.171.32
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
From: [email protected]
Subject:
Date: Thu, 20 Oct 2011 15:10:07 +0200 (CEST)
Content-Type: text/plain;
charset="utf-8"
Content-Transfer-Encoding: Quoted-Printable


Ja ovde ne vidim niti jednu adresu koja ukazuje na to da je poruka dosla preko Telekomovih IP adresa sto bi koliko ja znam trebalo da bude jer ne koristimo Orion za net. Pri tom 2000 poruka za jedan dan nije malo a ne vidim nikakvu aktivnost na mrezi (bar prema lampicama na ruteru i switchewima jer drugacije trenutno ne mogu). Voleo bih da stavim neki drugi ruter ali ga nemam a ovi nece da uloze a traze resenje problema... Srbija... Sto se tice Wirelessa licno sam ukljucio WPA-PSK/WPA2-PSK sa sifrom od 18 karaktera :)

P.S. Po svemu sto sam do sada procitao mislim da ti mailovi uopste i ne dolaze sa moje mreze ali cu svakako pokusati jos sa ovim softverima sto ste mi predlozili...

Nemoj da te prvi deo headera zavara - svaki mail server ima mogućnost da izbriše ili izmeni header pre njega, tako da postoji velika verovatnoća da je negde stvarno i obrisan prvi deo putanje, tako da izgleda kao da je poruka došla sa Oriona. Međutim,

kaže da je poruka došla iz Nigerije. Proveri da li i u ostalim porukama postoji ovo polje u zaglavlju, i proveri sa koje IP adrese stižu

U ostalim su adrese 41.71.145.20, 41.138.183.165, 41.138.171.32, itd... Sta to znaci da ipak nisu sa mojih racunara poruke? Pretpostavljam posto ovo traje vec skoro mesec dana da bi nalog bio blokiran zbog spamovanja da je sa mojih adresa, medjutim jos uvek nije nista blokirano...

Ako stvarno nije sa mojih racunara jel postoji iikakva mgucnost resavanja problema osim da zovem Orion jer njihov odgovor je bio ovaj:


Postovani,

Logujuci se na Vas nalog preko moj.oriontelekom.rs sa Vasim korisnickim imenom i lozinkom mozete u opciji Servisi/Email/Antispam zastita ukljuciti filtriranje kako bi se odbranili od SPAMA.

Serveri Orion telekoma takodje imaju filtere za odbranu od spam poruka ali nikad ne mozete biti potpuno sigurni od takve vrste zloupotreba.

Najbolja prevencija za problem koji se Vama javlja jeste da ne ucesstvujete u cirkuralnim mailing grupama i ne registrujete Vasu mail adresu na sajtove koji Vam nisu poznati, jer na taj nacin posiljaoci ovakvih poruka dospevaju do Vase email adrese.

Za sve dodatne informacije stojimo Vam na raspolaganju.


To mi i nije neka pomoc...

Odakle ti pretpostavka da neki od racunara "izgleda" salje spam poruke?
Iz ovog headera koji si postavio ne vidi se nista konkretno.
Prilicno si nejasno opisao ceo ovaj problem.

SezamPro IP adresa 77.105.36.40 koju vidis u zaglavlju je adresa njihovog webmaila. Neko je maznuo nekome lozinku i sa njegovog naloga iz webmaila stanca spam poruke, a kaci se iz Nigerije. Ako je to tvoja email adresa, proveri logove pristupa webmail servisu sa tvog naloga, ako tako nesto postoji kod SezamPRO-a, i naravno, promeni lozinku, i proveri sve racunare sa kojih pristupas webmailu na keyloggere...

Ne znam sta bi vise trebao da opisem. Stizu mi mejlovi sa neisporucenim porukama. Prva pretpostavka mi je naravno da je neki od racunara na mrezi zarazen i salje mejlove ko blesav. Posle pregleda poruka dosao sam do zakljucka da ipak mozda ne idu mejlovi sa moje mreze. U hederu se vidi da nijedan mejl nije otisao sa pristupnih linija Telekom ADSL-a vec sa IP adresa Sezampro-a i Nigerije...




Nisam siguran da mogu da proverim na Sezamu logove za pristup Webmailu ali cu probati da ih kontaktiram opet i pitam jel to izvodljivo da ne bih lutao po sajtu... Lozinka je cini mi se vec menjana, nisam siguran, probacu opet da je zamenim...

Ali pre promene obavezno skeniraj sve racunare, sa kojih se pristupa tom webmailu, na keyloggere i slicnu gamad. Preporucujem MalwareBytes AntiMalware ili Dr. Web, prvi se instalira a drugi samo skines, pokrenes i obrises ga kad zavrsi, pa ti biraj...