Hulp gevraagd - Telenet zegt dat ik spam stuur

[wimpie3]

Ik zit met de handen in het haar.

Vandaag kreeg ik een mailtje van Telenet, dat ik "mijn installatie en netwerk zo snel mogelijk moet controlleren en de malware moet identificeren die verantwoordelijk is voor de gemelde aanvallen". Er werd volgens hen vandaag spam gestuurd van bij mij thuis. Als ik het probleem niet oplos, wordt mijn internet verbinding afgesloten.

Er heeft dus blijkbaar iemand mijn IP doorgegeven als spammer, Telenet heeft het IP opgezocht en aan mij gelinkt, en is zo bij mij terecht gekomen.

Alleen: er was de hele dag niemand thuis. Er stonden geen pc's ingeschakeld.

Zonet heb ik alle pc's nog eens met twee verschillende programma's gescand, maar niets gevonden (wat ik ook wel dacht, we zijn hier allemaal erg voorzichtig met het openen van onbekende bestanden).

Wat nu? is het überhaupt nog wel mogelijk om via malware de SMTP servers van Telenet te misbruiken? Doen die intussen niet aan verplichte authenticatie? Kan ik eventueel poorten blokkeren op m'n firewall?

[Data technicus]

Is het mailtje mss zelf geen spam mail?

Verstuurd vanaf mijn SM-A536B met Tapatalk

[wimpie3]

Neen, komt wel degelijk van [email protected].

[Data technicus]

Kan ook zijn dat zij gewoon dit email adres van Telenet gebruiken om u toch in de val te lokken. Heb al verschillende keren ook mails gekregen waar als afzender [email protected] of [email protected] boven stonden en ook spam waren.

Verstuurd vanaf mijn SM-A536B met Tapatalk

[wimpie3]

Nope, ik heb er al mails mee uitgewisseld. Het is echt.

[Data technicus]

Installeer anders een wireshark en kijk wat er op u netwerk allemaal gebeurd.

Verstuurd vanaf mijn SM-A536B met Tapatalk

[Kenniey]

Wat wordt er dan exact beweerd?

Zijn er zaken nok die via jouw ipadres lopen? Bv iot devices in je netwerk die deel uitmaken van het Mirai botnet? Eigen mailserver draaien? Wat wordt er meegedeeld?

[dupondje]

Kan je de volledige mail eens pasten?
Want
- Je kan op Telenet geen mails sturen zonder gebruik te maken van de relay servers van Telenet.
- Wat dus ook wil zeggen dat het IP adres niet zomaar zichtbaar is

En welke spam zou je dan versturen? Hebben ze 'bewijzen' doorgestuurd? Ten minste met headers en timestamps?

[iceke]

Klant van me had dit vorige week ook gekregen...niks abnormaals gevonden op hun toestellen ( zelfde mailtje, nog geen reactie gekregen van tn met meer info)
Toevallig security cams van den aldi hangen ? Dat is het enige dat we niet nagekeken hebben..

[wimpie3]

Nope, mijn cams komen van Google. Ik heb wel IOT stekkers uit China, maar dat zou straf zijn mochten die plots spam beginnen sturen, dan had half de wereld daar last van...

Het oorspronkelijke mailtje: "Onze interne afdeling Cybersecurity heeft meer dan 6 uur geleden een spammelding van u ontvangen. We vragen u uw installatie en netwerk zo snel mogelijk te controleren en de malware te identificeren die verantwoordelijk is voor deze aanvallen. Als u geen actie onderneemt, zijn wij genoodzaakt uw verbinding te blokkeren totdat de nodige stappen zijn ondernomen."

Ik heb daarop details gevraagd, over welke berichten het ging en hoeveel:

"Helaas niet, enkel logs met de spam. Daarvoor vragen we U een volledige scan uit te voeren."

Dus: u bent schuldig meneer, u hebt te hard gereden, maar we weten niet hoe hard en waar. Maar we gaan uw auto toch in beslag nemen als u te snel blijft rijden.

[devilkin]

- Je kan op Telenet geen mails sturen zonder gebruik te maken van de relay servers van Telenet.

Correctie: dat kan je perfect (ik gebruik geen telenet mail infra).

Als je echter mails wilt verzenden van een Telenet.be email adres dan moet je de Telenet mail servers te gebruiken.

Sent from my SM-X800 using Tapatalk

[raf1]

Als er niemand thuis was, dan zat er een externe spammer op je Wifi.
Wifi-wachtwoord wijzigen.

[Fallschirmjaeger]

Wachtwoord van uw mailbox ook best veranderen.

[wimpie3]

Mijn wifi paswoord raden dat uit 20 tekens bestaat?

Intussen krijg ik op telenet.be al een 403, dat is dus blijkbaar al afgesloten. Werkt prima met 4G maar niet meer via modem.

[dupondje]

- Je kan op Telenet geen mails sturen zonder gebruik te maken van de relay servers van Telenet.

Correctie: dat kan je perfect (ik gebruik geen telenet mail infra).

Als je echter mails wilt verzenden van een Telenet.be email adres dan moet je de Telenet mail servers te gebruiken.

Sent from my SM-X800 using Tapatalk

Bedoel vooral dat je niet zelf mailserver kan spelen en mails sturen naar andere mailservers op poort 25. Andere relays gebruiken kan wel idd, maar een relay zou in principe altijd authenticatie moeten doen.

[CCatalyst]

Als het klopt wat ze beweren, dan ga je toch nog eens moeten nakijken wat er zoal aan je netwerk hangt. Je zou denken dat je dat wel weet, maar er zijn soms verrassingen.

Het kan dan van elk van die toestellen komen.

PC die af staat, is dat ook echt af of eerder in sluimerstand waardoor ze vanop afstand wakker gemaakt kunnen worden, of waarbij ze periodiek wakker worden om zaken te checken

Mobiele toestellen? Android dan vooral?

Nope, mijn cams komen van Google. Ik heb wel IOT stekkers uit China, maar dat zou straf zijn mochten die plots spam beginnen sturen, dan had half de wereld daar last van...

Niet noodzakelijk toch? Op andere plaatsen kan een firewall verhinderen dat er mee gecommuniceerd kan worden. Of je draait een firmware die sterk verouderd is ondanks vele updates. Als er daar een embedded vorm van Linux of BSD op draait, zoals vaak het geval is, kan die perfect spammen.

Alles dat aan je netwerk hangt is verdacht. De realiteit leert wel dat zaken uit China altijd dat ietsje meer verdacht zijn.

[Flippi]

En hoe gaat het slachtoffer dat nu stapsgewijs beginnen uitvlooien als Telenet alle mailverkeer al heeft geblokkeerd?

[Joe de Mannen]

Ik zou toch al begonnen zijn met Telenet via een ander kanaal te contacteren om te checken of het geen spam is.
J.

[ITnetadmin]

Oh, stekkers en andere IoT (bv koelkasten) zijn net *de* grote bron van spam en botnets, omdat mensen ze niet als IT zien, en de producenten er (quasi) nooit updates voor maken.
Als je een goeie firewall hebt, kan je die blokkeren van het internet (incoming en outgoing).
Anders is een geisoleerde VLAN zonder internet access ook altijd een aanrader voor IoT devices.

[wimpie3]

Ja mannekes, merci voor de tips, maar 't is nu ook niet dat ik de boel niet op orde heb. IOT gaat allemaal over aparte VLAN, en via DPI op mijn router zie ik eigenlijk geen enkel verdacht gedrag. Volgens mij is er dus sprake van een vergissing, maar begin dat maar eens recht te zetten als die mensen van Telenet niet meer de moeite doen om te reageren...

Ik heb nu poort 25 via de firewall afgesloten maar ik ben er niet zeker van of dat voldoende is om virussen te beletten om spam uit te sturen.

[Data technicus]

Ik heb nu poort 25 via de firewall afgesloten maar ik ben er niet zeker van of dat voldoende is om virussen te beletten om spam uit te sturen.

Die poort blokkeert telenet toch zelf al.

https://www2.telenet.be/residential/nl/ ... -telenet-/

Verstuurd vanaf mijn SM-A536B met Tapatalk

[CCatalyst]

Ja mannekes, merci voor de tips, maar 't is nu ook niet dat ik de boel niet op orde heb.

Mja, lijkt erop dat je hoe dan ook niet bereid was te aanvaarden dat het probleem aan jou kant zou kunnen liggen. Je bedoeling was dan wellicht ook eerder om te polsen of er nog mensen zijn die dit gehad hebben en het was vals alarm?

Nu, misschien heb je gelijk dat het een vergissing is. Zoniet zal je het wel merken, want die spam stopt doorgaans niet vanzelf.

25 in/uit is inderdaad normaal al geblokkeerd bij TN residentieel (wel nog steeds toegestaan naar de eigen Telenet SMTP server?). Maar men kan gerust andere poorten gebruiken.

[wimpie3]

Als het spammen ook over andere poorten kan, dan is de *enige* oplossing Wireshark inschakelen om het probleem te vinden? Voor IOT apparaten zijn er immers geen virusscanners. Voor indringers op je Wifi ook niet. En dan moet je bovendien net op het moment van een aanval Wireshark hebben ingeschakeld?

[on4bam]

Zeer vreemd allemaal.
Een collega radioamateur (ja, dezelfde) heeft een aantal maanden geleden een probleem gehad met het versturen van mails. Hij kreeg op 1 PC steeds een foutmelding dat zijn mails werden geweigerd wegens spam. Op een andere PC, met ander TN adres werkte alles normaal, dus zijn IP werd niet geblokkeerd. Contact met de helpdesk bracht geen soelaas, de blokkering zou na xx tijd automatisch gereset worden en idd, na een paar dagen kon hij, zonder iets te veranderen, opnieuw mailen. De foutmelding die hij kreeg in Thunderbird was:

Code: Selecteer alles

-- verzenden mislukt.
--De server antwoordde "laurent.telenet-ops.be bizsmtp 195 206 106 62"
"You are blacklisted temporarily".

Mails van de andere PC gingen naar xavier.telenet-ops.be.

Het verschil is dat hij dus een foutmelding kreeg in Thunderbird en geen mail van TN maar mogelijk is er toch een spamdetectie probleem bij TN.

[tmttn]

Ik wil ook graag even inpikken op deze thread... ik had gisteren rond de middag exact hetzelfde aan de hand. Meteen contact opgenomen met Telenet support: "Wij zien hier geen communicatie meneer, deze mail zal waarschijnlijk een phishing mail zijn, u mag deze dus gewoon negeren en verwijderen.".

Vandaag 12:30: all mogelijke manieren van communicatie geblokkeerd: geen internet, geen mobiel internet en geen telefonie meer.

Na 2x bellen naar de telenet klantendienst heb ik uiteindelijk 4 uur later iemand van de Abuse dienst bij Telenet aan de lijn gehad. Deze persoon had nog het lef om te zeggen dat ik 2 dagen de tijd had gehad om het probleem op te lossen, en dat ze nu genoodzaakt waren om de verbinding te blokkeren. Amai... goede service. Als ik de mail van gisteren nu gewoon straal genegeerd had, dan zou ik nog zeggen...

Verder kreeg ik de melding dat ik alle mogelijke geconnecteerde devices de toegang tot mijn netwerk moest ontzeggen, dus ook alle mogelijke IoT devices en dat ze dan terug een monitoring zouden starten. Indien nog steeds spam: hupla, opnieuw geblokkeerd. Maar als ik dan vraag wat de vervolgstappen zijn om mijn devices terug 1 voor 1 terug te connecten... daar hadden ze geen goesting in dit weekend.

[Joe de Mannen]

Da's ook wel heel krom, u afsluiten maar niet helpen met troubleshooten.

J.

[charlez]

Da's ook wel heel krom, u afsluiten maar niet helpen met troubleshooten.

J.

Is hun taak toch niet. Als je het zelf niet kan oplossen, zoek je een professioneel die je hierin kan helpen.

[Data technicus]

Ze hebben toch hun safespot. Wat voor nut heeft dat dan behalve geld uit mensen hun zakken halen dan.

Verstuurd vanaf mijn SM-A536B met Tapatalk

[charlez]

Waar zegt de TS dat hij safespot gebruikt?

[Data technicus]

Waar zegt de TS dat hij safespot gebruikt?

Ik veronderstel toch dat ze een one up abonnement hebben waar dit inbegrepen in zit.

Verstuurd vanaf mijn SM-A536B met Tapatalk

[tmttn]

Waar zegt de TS dat hij safespot gebruikt?

Ik veronderstel toch dat ze een one up abonnement hebben waar dit inbegrepen in zit.

Verstuurd vanaf mijn SM-A536B met Tapatalk

Jep, ik alleszins wel...

Da's ook wel heel krom, u afsluiten maar niet helpen met troubleshooten.

J.

Is hun taak toch niet. Als je het zelf niet kan oplossen, zoek je een professioneel die je hierin kan helpen.

Wat hun taak wel is, is je op een correcte manier informeren en de nodige informatie verschaffen om het probleem op te lossen. 2 droge mails dekken hierin echt niet de lading als je kijkt naar wat voor een impact dit op je heeft als klant. En als je als klant dan support zoekt, dan weet geen enkele medewerker waar het uberhaupt over gaat. Daarbij staat de verantwoordelijke dienst bij Telenet enkel communicatie toe via email, en kan zelfs een support medewerker geen degelijke interne communicatie met deze dienst voeren.

Opnieuw... voor de impact die dit op je heeft als klant: zeer zeer triestig. Ik ben om zelf contact te zoeken met Telenet tot bij een familielid moeten rijden om toegang tot een bruikbare telefoon te verkrijgen en heb van 13u deze middag tot 17u af en aan aan de telefoon gehangen om iets of wat informatie te kunnen krijgen.

Dat de verantwoordelijkheid om het probleem op te lossen aan mijn kant ligt indien het gaat over spamberichten / connecties die vanuit mijn netwerk gestart worden: alle begrip. Maar helaas ben ik sinds gisteren stappen aan het nemen om tot een oplossing te komen en ben ik uiteindelijk nog altijd de grote pineut in het hele verhaal.

[raf1]

Ik begrijp dat je als klant hoge verwachtingen hebt van Telenet. (gebrainwasht door marketing) Maar als die verwachtingen keer op keer niet waargemaakt worden, moet je toch beginnen inzien dat Telenet momenteel (door hebzucht van de Amerikaanse hoofdaandeelhouder) de slechtste internetprovider van België geworden is.
Ander en beter.

[Joe de Mannen]

Dat doet niet ter zake; Hij is er klant, dit is gebeurd zoals het gebeurd is, en Telenet maakt er een potje van, wat ze niet moeten doen.
J.

[raf1]

Vier uur aan de telefoon hangen met je internetprovider die je afgesloten heeft zonder deftige uitleg en nog geen uitzicht op een oplossing?
Ik vind dat niet normaal.
Ik weet niet hoor, maar na zo'n voorval zou mijn bestelling bij een andere provider al gebeurd zijn.

[tmttn]

Even niet uit het oog verliezen dat ik hier vooral de ongoings van de laatste 2 dagen rapporteer, en ik vond het nogal toevallig dat wimpie3 rond exact dezelfde timing als mezelf dit aan de hand heeft.

Voor de rest heb ik eigenlijk voor x aantal jaren niet te klagen gehad over Telenet en ben ik vrij content. Daarbij ben ik verknocht aan de internetsnelheid, en is Telenet de enige internetprovider die dit kan bieden waar ik woon. Dus ja... ik heb reden om over dit specifiek voorval boos, ontevreden, etc. te zijn; maar daarom hoef ik niet meteen te switchen.

[Flippi]

Maar als ik dan vraag wat de vervolgstappen zijn om mijn devices terug 1 voor 1 terug te connecten... daar hadden ze geen goesting in dit weekend.

Dat is wat ik bedoelde met mijn eerdere opmerking:

En hoe gaat het slachtoffer dat nu stapsgewijs beginnen uitvlooien als Telenet alle mailverkeer al heeft geblokkeerd?

[CCatalyst]

Even niet uit het oog verliezen dat ik hier vooral de ongoings van de laatste 2 dagen rapporteer, en ik vond het nogal toevallig dat wimpie3 rond exact dezelfde timing als mezelf dit aan de hand heeft.

Misschien, maar hier zitten uiteraard nog heel wat Telenet klanten mee te lezen - waaronder ikzelf - die geen melding gekregen hebben. In de veronderstelling dat die mails zelf geen ordinaire spamcampagne zijn - details over die melding worden hier blijkbaar maar niet gepost ondanks gevraagd - is er dus wel iets specifiek in uw account waardoor Telenet u wel die melding gestuurd heeft en mij niet (of het ook correct is, daar spreek ik me niet over uit).

Als het een of andere spamcampagne is met geinfecteerde IoT toestellen die recent opgestart werd - pure hypothese he - dan zou het niet zo vreemd zijn dat de timing gelijkaardig is.

Als het spammen ook over andere poorten kan, dan is de *enige* oplossing Wireshark inschakelen om het probleem te vinden? Voor IOT apparaten zijn er immers geen virusscanners.

Zouden we eventueel mogen weten over welke IoT toestellen het gaat in je netwerk? Merk/model?

[Data technicus]

Als u toegang op basis van u ip adres blokkeren zou het dan ook mss niet helpen om u modem voor 24 uur tot 48 uur uit te trekken en dan terug insteken zodat je een ander ip adres krijgt en zo mss wel opgelost is. Of zou er op Mac adres van u modem geblokkeerd worden zodat modem voor tijdje uit trekken niet helpt.

https://www.netweters.be/t5/E-mail/Blac ... d-p/174089

Verstuurd vanaf mijn SM-A536B met Tapatalk

[tmttn]

Data technicus: helaas, ze zetten blijkbaar gewoon je hele pack on hold, dus heb je bijv. One / One Up -> gedaan met alles: internet, mobiele data & telefonie. Dus dat zal vermoedelijk niet op basis van IP zijn.

Misschien, maar hier zitten uiteraard nog heel wat Telenet klanten mee te lezen - waaronder ikzelf - die geen melding gekregen hebben. In de veronderstelling dat die mails zelf geen ordinaire spamcampagne zijn - details over die melding worden hier blijkbaar maar niet gepost ondanks gevraagd - is er dus wel iets specifiek in uw account waardoor Telenet u wel die melding gestuurd heeft en mij niet (of het ook correct is, daar spreek ik me niet over uit).

Als het een of andere spamcampagne is met geinfecteerde IoT toestellen die recent opgestart werd - pure hypothese he - dan zou het niet zo vreemd zijn dat de timing gelijkaardig is.

Het oorspronkelijk mailtje heeft wimpie al redelijk vroeg gepost:

Onderwerp: SPAM
Afzender: [email protected]

"Onze interne afdeling Cybersecurity heeft meer dan 6 uur geleden een spammelding van u ontvangen. We vragen u uw installatie en netwerk zo snel mogelijk te controleren en de malware te identificeren die verantwoordelijk is voor deze aanvallen. Als u geen actie onderneemt, zijn wij genoodzaakt uw verbinding te blokkeren totdat de nodige stappen zijn ondernomen."

<Telenet logootje>

<droge disclaimer>

Toen ik eindelijk tegen het einde van de werkdag iemand van de Abuse afdeling van Telenet aan de lijn kreeg, kon die tenminste wel bevestigen dat deze mails door hen gestuurd waren en dat deze verkeerdelijk door de support medewerkers van de klantendienst als phishing waren weggewuifd.

Jouw laatste remark over de timing: heel goed punt; dat zou natuurlijk heel veel steek houden.

[CCatalyst]

Ah ok. Beetje raar geschreven mail, maar bij gebrek aan link naar een of andere phishing pagina oid veronderstel ik dat het wel legit is. Als het niet legit was, wat zou men dan ooit willen bereiken hiermee (tenzij dit slechts de aanzet is tot een vervolgmailtje dat later komt waar de phishing zal inzitten)? Ik zou wel nog de headers nakijken om te zien of die mail echt wel vanuit Telenet origineert, maar ik ga er van uit dat dat wel zo zal zijn.

Ben dan wel benieuwd of wimpie3 ons wat meer info kan geven over zijn IoT-toestellen.