Jeg – en spammer

Jeg må bekjenne at jeg i natt har sendt 60 000 spam-mail. Ubevisst. Nei, jeg har verken inngått avtale med spam-djevler eller fått trojaner på maskinen. Også jeg da, som innbiller meg at jeg vet hva jeg holder på med når det gjelder slikt.

Jeg har en server, eller egentlig en Windows PC, stående et annet sted enn der jeg holder til. Jeg kobler meg til med eksternt skrivebord. Det er utviklingsarbeid og noen automatiserte kontrolloppgaver som går hele døgnet. I den forbindelse har jeg hatt IIS “Standard virtuell SMTP-server” installert og gående. Maskinen har stått bak en velkonfigurert router, der kun RDP og HTTP har sluppet inn, men da med IP/port-mapping og ustandard portnumre. Det har dermed ikke vært noe uønsket trafikk inn. Litt trafikk ut, nedlastinger og SMTP (sending av epost).

Så har det vært klart en stund at jeg skulle bytte ADSL-linje. Routeren ble da i grunn også egentlig overflødig, i alle fall for annet enn som brannmur. Midlertidig, for rekonfigurering, ble den fjernet eller rettere – bypasset. PC rett på nettet. Ikke problem med det, om man vet hva det kan bety. Jeg har stadig flere andre slik, og en server. Er man nøye med tingene så er det faktisk greit og ufarlig.

I går ettermiddag ved 16-tiden var jeg innom og koblet over kabelen fra routerporten og direkte til det nye ADSL-modemet. Jeg skiftet også fra fast, lokal IP-adresse til servertildelt (DHCP). En dynamisk DNS satt opp, dessuten. Jeg sjekket at alt var i orden og forlot stedet. Da jeg var hjemme sjekket jeg at jeg fikk koblet opp mot den ok, og tok så kvelden.

Først i dag morges ante jeg ugler i mosen. Det raste inn med 150 leveringsstatus fra SMTP-serveren. Mislykket levering til en drøss ulike, rare adresser, og de fleste sluttet på .tw. Taiwan! Jeg sender da ikke epost dit, og i alle fall ikke fra den maskinen. 99% av det som sendes fra den er til meg, kun meg.

Jeg fikk kastet meg over den og stanset SMTP, men på køen lå hele 8000 mailer. Loggen viste ekstrem aktivitet siden i går – hmm – kl 16. Det eneste denne SMTP-serveren skulle brukes til var jo lokal maildrop fra diverse script med CDO.Message-objekter. Her hadde det vært tilkoblinger utenfra, helt uautorisert. Ikke rart i grunn. Det var pip åpen for alle. Tlimed Windows-brannmuren hadde åpning for alt som hadde med inetinfo.exe (IIS) å gjøre, uvisst hvorfor jeg i sin tid åpnet for det. Det er da ikke nødvendig.

Det er gremmelig, pinlig, og jeg er rasende på min egen sløvhet. At jeg virkelig har latt den stå slik miskonfigurert, selv trygt bak routeren. 67 tusen linjer i siste loggfila i SMTPSVC1. Det er til å spy av.

Det eneste positive var at den var satt opp til såkalt smart-delivery. Det vil si at den har forsøkt direkte levering til mottakerdomenenes MX først, før den gikk over til min leverandørs SMTP-server. Ellers hadde jeg vel vært utestengt derfra, på grunn av massiv “relaying”. 60 000 er vel riktignok en dråpe i havet av all spammen der ute, men likevel. Det er 60 000 for mange, fra min side.

Det er nå fikset, selvfølgelig. Jeg ber med dette Internett om unnskyldning. Det skal ikke gjenta seg.