[termiit999]

Lugu järgmine:

Meil on 3 meiliaadressi ja domeen ühe kohaliku teenusepakkuja juures. Ühele meilile hakkas eelmisel pühapäev
al tuhansed meile tulema veateate vormis nagu sellelt aadressilt oleks kuhugi saadetud.

(This message was created automatically by mail delivery software.
A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:
Domain xxxxxxxxxxx has exceeded the max emails per hour (100/100 (100%)) allowed. Message discarded.)

arvutit skännisime erinevate tõrjetega, kasu ei olnud.) Saatsime noodi teenusepakkujale. Meilide mass lakkas 5.30,hommikul vastus teenusepakkujalt veidi hiljem siis ,:


Oleme avastanud, et teie hallatava e-posti konto xxxxxxxxx kaudu on välja saadetud spämmkirju. Antud kirjad on välja saadetud kasutades e-posti kontole määratud kasutajaandmeid, mille parool on ainult kasutajale endale teada ja mis ei ole meie poolt määratud.

Seoses käesolevaga oleme omalt poolt muutnud e-posti konto parooli, leiate selle kirja lõpust. Soovi korral võite antud parooli ära muuta, kuid kindlasti mitte endise vastu! Lisaks oleme hetkel piiranud ka virtuaalserveri kontolt väljasaadetavate kirje hulka, kuniks probleem laheneb.

Teil tuleks välja selgitada põhjus, kuidas oli võimalik Teie kasutajaandmete kuritavitamine kolmandate osapoolte poolt. Tõenäoliselt saab olla kaks põhjust - kas Teie arvuti, kus kasutate antud e-posti aadressi, on nakatunud mõne viiruse või pahavaraga, mis kogub antud andmeid või on antud e-posti aadressi ja parooli kombinatsiooni kasutatud mõnel veebileheküljel, kust on kasutajaandmed lekkinud.

Kui olete põhjuse avastanud ja kinnitate, et probleem on lahendatud, palun vastake antud kirjale ja saame taastada endise väljasaadetavate kirjade mahupiirangu. Korduvate probleemide ilmnemisel omame õigust piirata terve virtuaalserveri konto toimimist.






Kusjuures meie enda poolt paroolivahetusest tolku ei olnud.


Ja nüüd reedel hakkas päeval jällegi meilide vool tulema, parooli vahetamisest kasu ei olnud
Lakkas täna 5.30 hommikul
Teenusepakkuja vastus jällegi:



Tere,

Kui kirju saadetakse meie serveri kaudu ja need pole Teie enda poolt saadetud, siis meie saame ainult kinnitada, et kirju saab saata ainult teades postkasti kasutajaandmeid - muid võimalusi ei eksiteeri.

Seega, palun proovige parooli uuesti muuta ja kindlasti ärge kasutage parooli, mida kusagil mujal olete kasutanud.





16.00 paiku hakkas jällegi spämmi tulema ja paroolivahetusest pole kasu . Ka viirused ei tule skänniga välja.

Teised 2 meiliaadressi pole probleemi
Minu arvamus on, et jama on teenusepakkuja serveris aga kindel ei julge olla.

Onkellelgi ideid?

[Pailaps]

Ma küsiks, mis ip tagant saatmised toimuvad. Tõenäoliselt on meiliaadress seotud mõne keskkonna, YT, Facebook vms kaudu, mille kaudu e-posti parooli vahetades ligi pääsetakse.

Ma käivitaks Linux USB bootable pealt arvuti ja muudaks parooli sealt.

[A.S.]

Parooli vahetasid mingi veebilehitsejaga, sellele äkki mingi plugin vms. külge tekkinud? Ega viirustõrje säherdusele naljalt ei reageerigi.

Või mis erinevus nendel kolmel aadressil on ja kuidas kirjade saatmine üldse käib? Kõiki kasutatakse ühe ja sama tarkvaraga, ühes ja samas arvutis, ühtegi aadressi kuhugi sisselogimiseks ei kasutata, ...
 

[termiit999]

2 aadressi on ainult ühes arvutis , veebilehitsejast ei logita sisse. Nendega ei ole ka muresid opsysteem win 10. Kasutatakse ainust office outlook, + ipad, kuhu on samuti installitud office outlook
Kõnealune aadress kasutatakse samuti arvutis win 10 , lisaks iphone 8 oma meiliprogrammiga. Arvutis office outlook ja vahest ka google chrome kaugulogib webmaili sisse. Parooli vahetas jah chromega webmailis.

[netmaster]

mis webmail?
Kui mu mälu ei peta, siis mingisugustega oli see jama, et sisselogimisel kasutati küpsiseid mis kestsid väga pikka aega ja isegi peale seda, kui kasutaja parooli ära muutis. Uuesti sisselogimist nõuti alles avalehele minekul, samas kui vanade küpsistega sai tegelikult maile saata (täidetud vormi sumbittides) ka peale seda, kui parool muudetud oli.

Teine variant on see, et kuskil arvutis või telefonis on mingi pahalane, mis uue parooli kohe kuhugi saadab.

Kui peale parooli vahetust spamm lakkab mõneks ajaks, siis pigem teine variant.

[termiit999]

[Max Powers]

Millist spämmi välja saadab?

[termiit999]

Alates alastipiltide teea
Mast, kuni mingite connectioni loomise võimaldamisest. Lai valik yhesõnaga. Saadetud kirju ei leia, pigem on mail delivery failed pealkirjad kõik, returning message to sender , mis sisse tulevad

[netmaster]

[A.S.]

Ju siis mõeldakse seda, et SMTP/POP3 ei toimi, ainult IMAP. Kuigi SMTP kaudu saab ju suvaliselt kirju välja saata, suvalisest arvutist, suvalise saatja aadressiga.

[elukaz]

Võta suvaline võõras arvuti ja incognito modes vaheta pass ära.

Kui spämm peatub siis hakka ükshaaval oma seadmetega sisse logima, suurema ajavahega kui varem spämmi taastumine aega võttis. Sedasi ühekaupa lähenedes saad teada mis seade lekib.

Siis otsast peale ja proovid selles seadmes muid sisselogimisviise kasutada. Kui kõik lekivad siis keylogger vms siis vii spetsialisti kätte.

[termiit999]

[ThedEviL]

Variant 1, lase kõik seadmed puhtaks ehk format ja iiföönile tehase seadete taastamine.
Variant 2:
1. Võta üks arvuti, mida sa tead et ei ole kindlasti ühegi elukaga pihta saanud. Või lase ketas puhtaks ja win nullist peale.
2. Vaheta ära meili parool.
3. Käi ainult selle arvutiga postkastis. Isegi telefoniga ei lähene.
4. Kui midagi ei juhtu, võta nüüd teine seade, kust sa varem postkastis käisid, logi sisse.
5. oota mõnda aega ja kui midagi ei juhtu mine step 4. Kui midagi juhtub step 6
6. Lase see arvuti puhtaks.

Teine variant kuidas parool võib lekkida, on kui sa ei kasuta postkasti lähenemisel krüpteeritud ühendust ja saadad teksti vormis parooli ning ära on häkitud hoopis mingi võrguseade.

[A.S.]

Tähendab, ise sa lekkinud parooli vahetada ei saa? Või saad? Kui saad, vaheta selle korras arvutiga (mis kahte toimivat aadressi kasutab) parool ära. Ja kasuta mõnda aega vaid ühte tarkvara, seega iphone 8, chrome jms. jura jäta korraks rahule.

[termiit999]

[A.S.]

[termiit999]

[netmaster]

[termiit999]

[netmaster]

[termiit999]

Okei proovime.
Kas kirjade saatmine peaks näha ka olema webmailis või outlookis? Meilpole igatahes.

[netmaster]

[termiit999]

[elukaz]

Loe uuesti. Kui spämm peatub siis...

Kui teenusepakkuja passi vahetas siis ju peatus? Kas ise tuli tagasi või keegi ikka kuskilt logis uue passiga sisse vahepeal?

Oot kuidas uus pass üldse saadeti?

[termiit999]

[elukaz]

Kuidas postkasti said kui pass oli vahetatud? Või tuli teise aadressi peale (nakatunud masinasse?)

Ega probleem ise ei lahene, loe hommikul värske peaga soovitused uuesti läbi

[A.S.]

[Betamax]

[Bilderberg]

[termiit999]

Eile sai lõpuks telefonist veebiliidses kaudu logides vahetatud pass, spämmi voog ei peatunud hommikul 5.44 on vaibunud ja siiani vaikne
Ootame, vaatyame, mis juhtub, kuskilt mujalt ei ürita logida. Või kas oleks mõistlik täiesti puhtast arvutist veelkord pass vahetada ja edaspidi ainult selle kaudu siseneda ?
Spämmil on süsteemsus, kui algab 15.44 , lõpeb 5. 44 hommikul. Kui algab 15.39, lõpeb 5.39 hommikul

IMAP on kasutusel

Teenusepakkuja on vastanud:

Konkreetst on näha, et kirjad on välja saadetud xxxx@.xxxx. ee kasutajaandmetega. Seega, kui kinnitate, et olete muutnud antud kausutaja parooli unikaalse vastu ja kirjade väljasaatmine on jätkunud peale seda, siis peab küsimus olema siiski Teie või antud kasutaja seadmetes, kust on see parool mingil viisil "lekkinud"

[Max Powers]

[termiit999]

[eestim33s]

Kui see teema sind ka piisaval määral mõjutab, siis soovitan operaatori ära vahetada.
Teine võimalus on olemasoleva operaatori poolt võtta kasutusele 2-Factor authentication, IP whitelist, et konto ligipääs oleks rohkem kaitstud.
Ei soovita operaatoreid, kes pakuvaid ainult kasutajanime+parool või läbi suhtlusplatvormide (facebook, twitter, linkedin, jne) konto sünkimise turvataset.

[A.S.]

[termiit999]

[A.S.]

Loodetavasti sa päris nulli ei piiranud neid, sest sellisel juhul pole seal ilmselt midagi vaadata.

[termiit999]

[A.S.]

Kui sa ise neid sissetulevaid endiselt näed, mitte pole tühi logi, siis küll jah.

[termiit999]

eile vahetasime puhtast arvutist cPanelist passi ära ja väljuvad meilid lahti, siiani probleeme pole.
Jätkuvalt oleks tänulik mõne sellise teema arstimise asjatundja kontaktide üle.

[montez]

Minul on olnud päev, kus tuli 1300+ veateadet kirjadest, mida ei saadetud kohale ja tulid "minule" tagasi. Mina neid ei saatnud. Venelane üüris serveri, tegi minu domeenile alamdomeeni ja sellele e-maili aadressi nr aadress@lisadomeen.domeen.ee ning siis saatis spami kirju. Minu postkasti tulid veateated igast peatatud kirjast. Kirjad võisid jõuda nõrgalt turvatud postkastide kasutajatele, kus server ei kontrollinud saatja õigsust. Minul oli kasutusel e-maili turvamine saatja andmete äramääramisega: domeeni juures SPF kirje(väljuvad kirjad määratud IP-ga), DKIM(digitaalse allkirja info) ja DMARC(määrad reegli kirjale, millel SPF või DKIM ei ole õiged - karantiin, edastamine või blokeerimine).
Soovitan enda domeeni kontrollida eelpool viidatud andmete turvalisuse mõttes https://dmarcian.com/ sest muidu võib olla nagu terviseamet.ee-ga, mille kiri tuli viirusega, kelleltki kolmandalt. Kuni e-maili parooli lekkiv seade pole teada, võib eeldada ka muude andmete lekkimist sh isiklikud failid. Eelnevalt soovitatud lahendus, et otsi lekkivat seadet ükshaaval seadmetes parooli vahetades ja siis spami saatmist oodates, tundub minule julm. Tõenäoliselt lekkisid ka teised paroolid, näiteks sotsiaalmeedia. Mina eemaldaksin seadmetest e-maili tarkvarad ja veebilehitsejad, sest tõenäoliselt võiks sellega koos ka pahalane kaduda. Paigaldaksin need uuesti, minimaalsete lisadega. Seejärel teeksin postkaste juurde, igale nakatumise kahtlusega seadmele oma UNIKAALSE algusega postkast. Seejärel ootaks, kas mõne juurdetehtud e-maili konto parool lekib jällegi. Kuni selle ajani, kasutaks 3. postkasti sellest viimasest seadmest, millest vahetatud parool ei lekkinud.

[kaabakas]

Teenusepakkuja käest tuleb küsida maililogisid spämmikirjade kohta. Seal on kirjas milline kasutaja, milline mailiklient, milline ip spämmi saatis. Sama infot tuleb otsida ka kirjade päisest. Selle info põhjal saab 99% kindlaks teha, kuskohas probleem asub. Et teenuspakkuja selles suunas sammugi ei teinud, ei näita teda tingimata heas valguses.
Kui asitõendid näitavad konkreetsele enda valduses olemale seadmele, siis see seade saab formati või factory reseti. Viirused on osavamad kui viirusetõrje ja sa ei saa kunagi kindel olla, et pahalase arvutist tõrjega kätte saad. Päästa võid seadmest dokumendid, aga mitte downloadi kausta ja seadeid ja kasutajaprofiile ja installereid ja selliseid asju.
Kui asitõendid näitavad enda valdustest väljapoole, nõuad teenusepakkujalt tehnilist kontakti klienditeenindaja asemel ja lahendad temaga koos edasi.
Lisaks, ära alahinda oma töötajate võimet lugeda oma töömaile samas arvutis kus tema noorem põlvkond porri vahib ja csgo pirab. Sellises küsimuses tõe välja selgitamine ei pruugi lihtne olla. Tuleb kodus maili lugemine jõulupreemia ära jätmise ähvardusel ära keelata seni kuni probleem laheneb.