<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body text="#000000" bgcolor="#FFFFFF">

    That is not a actual User on the system except as admin file owner

    right? and it appears to be coming from outside the server...<br>

     I have no accounts with 'User' as the user name. <br>

    I don't believe I have a open relay. They use different IP's so

    blocking is not really a option sine they use it once then use

    another..<br>

    Using localhost.localdomain as a forged header i assume to fool

    spamassassin..<br>

    <br>

    Below is header from me to a test account on the same server.<br>

    <br>

     Received: from [192.168.0.11] (cpe-666-688-111-203.austin.res.com

    [666.688.111.203]) <br>

    (authenticated bits=0) by fs.mailserver.com (8.13.8/8.13.8) with

    ESMTP id s0D56s3B013948 (version=TLSv1/SSLv3

    cipher=DHE-RSA-AES256-SHA bits=256 verify=NO) for <a class="moz-txt-link-rfc2396E" href="mailto:x@xxx.com"><x@xxx.com></a>;

    Sun, 12 Jan 2014 23:06:56 -0600

    Message-ID: <a class="moz-txt-link-rfc2396E" href="mailto:52D37472.5000709@xxx.com"><52D37472.5000709@xxx.com></a><br>

     i've never seen localhost.localdomain using local mail... <br>

    <br>

    Thanks to all.. i'll look further..<br>

    <br>

    <br>

    <div class="moz-cite-prefix">On 1/12/2014 12:38 PM, Chuck Tetlow

      wrote:<br>

    </div>

    <blockquote cite="mid:20140112183344.M87065@tetlow.net" type="cite">

      <meta content="text/html; charset=ISO-8859-1"

        http-equiv="Content-Type">

      <meta content="OPENWEBMAIL" name="GENERATOR">

      It appears that someone has a valid username/password on your

      server, and is using the SMTP-Auth to relay e-mail.

      <br>

      <br>

      So, first and easiest thing to do to stop it is firewall out that

      address.  At the command line, enter:

      <br>

      iptables -I acctin 1 -s 200.111.101.0/24 -j DROP

      <br>

      That will stop the scumbag from relaying any e-mail through you,

      even if he changes his IP to another in his network.

      <br>

      <br>

      Then you've got to figure out which account on your server is

      being used.  That's a little harder - and takes time sorting

      through the logs to find.  Although sometimes you can spot it by

      going through the management GUI and looking at USAGE reports on

      which domain/user is sending the most e-mail/using the network the

      heaviest.

      <br>

      <br>

      Once you've figured out which account is being used, simply change

      the password.  That should stop it.  Worse case, delete that

      account.  I had one just like it two weeks ago, and even

      suspending the account didn't prevent him from relaying through

      the server.  So I just deleted the account which put a end to it.

      <br>

      <br>

      <br>

      <br>

      Chuck

      <br>

      <br>

      <font size="2">

        <br>

        <b>---------- Original Message -----------</b>

        <br>

        From: David Hahn <a class="moz-txt-link-rfc2396E" href="mailto:blueonyx@sb9.com"><blueonyx@sb9.com></a> <br>

        To: BlueOnyx General Mailing List

        <a class="moz-txt-link-rfc2396E" href="mailto:blueonyx@mail.blueonyx.it"><blueonyx@mail.blueonyx.it></a> <br>

        Sent: Sun, 12 Jan 2014 11:51:22 -0600 <br>

        Subject: [BlueOnyx:14253]  Stopping User at

        localhost.localdomain Spam <br>

        <br>

        > I Hi all hope all is well, <br>

        > I can't seem to stop some spam. I have the from address

        (*@icicibank.com) <br>

        > Blacklisted in the GUI but it always gets through. <br>

        > <br>

        > Here are the headers: <br>

        > <br>

        > Return-Path: <a class="moz-txt-link-rfc2396E" href="mailto:customer.care@icicibank.com"><customer.care@icicibank.com></a> <br>

        > Received: from localhost.localdomain ([200.111.101.6]) <br>

        >     by fs.xxx.com (8.13.8/8.13.8) with ESMTP id

        s0CFCENu001942 <br>

        >     (version=TLSv1/SSLv3 cipher=DHE-RSA-AES256-SHA bits=256

        verify=NO) <br>

        >     for <a class="moz-txt-link-rfc2396E" href="mailto:x@xxx.com"><x@xxx.com></a>; Sun, 12 Jan 2014 09:12:16 -0600

        <br>

        > Received: from User (localhost.localdomain [127.0.0.1]) <br>

        >     by localhost.localdomain (8.13.8/8.13.8) with SMTP id

        s07GUSDv031525; <br>

        >     Tue, 7 Jan 2014 13:30:30 -0300 <br>

        > Message-Id:

        <a class="moz-txt-link-rfc2396E" href="mailto:201401071630.s07GUSDv031525@localhost.localdomain"><201401071630.s07GUSDv031525@localhost.localdomain></a> <br>

        > From: "ICICI Bank"<a class="moz-txt-link-rfc2396E" href="mailto:customer.care@icicibank.com"><customer.care@icicibank.com></a> <br>

        > Subject: ICICI ALERT: Important Security Message <br>

        > <br>

        > Logs: <br>

        > Jan 12 09:12:15 fs sendmail[1942]: STARTTLS=server,

        relay=[200.111.101.6], version=TLSv1/SSLv3, verify=NO,

        cipher=DHE-RSA-AES256-SHA, bits=256/256 <br>

        > Jan 12 09:12:16 fs milter-greylist: s0CFCENu001942: addr

        200.111.101.6 from <a class="moz-txt-link-rfc2396E" href="mailto:customer.care@icicibank.com"><customer.care@icicibank.com></a> rcpt

        <a class="moz-txt-link-rfc2396E" href="mailto:xt@xxx.com"><xt@xxx.com></a>: autowhitelisted for 72:00:00 <br>

        > Jan 12 09:12:19 fs sendmail[1942]: s0CFCENu001942:

        from=<a class="moz-txt-link-rfc2396E" href="mailto:customer.care@icicibank.com"><customer.care@icicibank.com></a>, size=1195619, class=0,

        nrcpts=1,

        msgid=<a class="moz-txt-link-rfc2396E" href="mailto:201401071630.s07GUSDv031525@localhost.localdomain"><201401071630.s07GUSDv031525@localhost.localdomain></a>,

        proto=ESMTP, daemon=MTA, relay=[200.111.101.6] <br>

        > Jan 12 09:12:19 fs sendmail[1956]: s0CFCENu001942:

        to=<a class="moz-txt-link-rfc2396E" href="mailto:x@xxx.com"><x@xxx.com></a>, delay=00:00:03, xdelay=00:00:00,

        mailer=local, pri=1226110, dsn=2.0.0, stat=Sent <br>

        > <br>

        > It looks like the 'Received: from User

        (localhost.localdomain [127.0.0.1])' might be the reason it

        bypasses the spam a/v and spamassassin. <br>

        > <br>

        > Any suggestions would be helpful. <br>

        > <br>

        > -- <br>

        > Thank you <br>

        > David Hahn <br>

        > ---- <br>

        > Hey Super Users! - su <br>

        > Get E Mail Alerts when sites or services are up or down. <br>

        > Remotely Monitor Website and/or Service Absolutely Free in

        seconds. <br>

        > <a moz-do-not-send="true" target="_blank"

          href="http://mon.pagekeeperservice.com/">http://mon.pagekeeperservice.com</a>

        <br>

        > <br>

        > _______________________________________________ <br>

        > Blueonyx mailing list <br>

        > <a class="moz-txt-link-abbreviated" href="mailto:Blueonyx@mail.blueonyx.it">Blueonyx@mail.blueonyx.it</a> <br>

        > <a moz-do-not-send="true" target="_blank"

          href="http://mail.blueonyx.it/mailman/listinfo/blueonyx">http://mail.blueonyx.it/mailman/listinfo/blueonyx</a>

        <br>

        <b>------- End of Original Message -------</b>

        <br>

      </font>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Thank you

David Hahn

----

Hey Super Users! - su

Get E Mail Alerts when sites or services are up or down.

Remotely Monitor Website and/or Service Absolutely Free in seconds.

<a class="moz-txt-link-freetext" href="http://mon.pagekeeperservice.com">http://mon.pagekeeperservice.com</a></pre>

  </body>

</html>