<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Brandon Hoppe wrote:

<blockquote cite="mid200603211556.k2LFueGZ000940@dlep30.itg.ti.com"

 type="cite">

  <meta http-equiv="Content-Type" content="text/html; ">

  <meta name="Generator" content="Microsoft Word 11 (filtered)">

  <style>

<!--

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:#606420;

        text-decoration:underline;}

pre

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

tt

        {font-family:"Courier New";}

span.EmailStyle17

        {font-family:Arial;

        color:windowtext;}

@page Section1

        {size:8.5in 11.0in;

        margin:1.0in 1.25in 1.0in 1.25in;}

div.Section1

        {page:Section1;}

-->

  </style>

  <div class="Section1">

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">A virus on a users

machine from an outside domain keeps

sending email to a user on my domain. MailScanner is detecting the

virus and

removing it. But the problem is that I get these emails atleast once an

hour.

It always comes from the same place. It disguises itself as though the

email

comes from my domain, but the full headers shows it comes from another

domain.

For example:</span></font></p>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">&nbsp;</span></font></p>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">&nbsp;</span></font></p>

  <pre><tt><font face="Courier New" size="2"><span

 style="font-size: 10pt;">Full headers are:</span></font></tt></pre>

  <pre><tt><font face="Courier New" size="2"><span

 style="font-size: 10pt;">&nbsp;</span></font></tt></pre>

  <pre><tt><font face="Courier New" size="2"><span

 style="font-size: 10pt;"> Return-Path: &lt;&#129;g&gt;</span></font></tt></pre>

  <pre><tt><font face="Courier New" size="2"><span

 style="font-size: 10pt;"> Received: from test-domain.com (cpe-24-170-49-168.stx.res.rr.com </span></font></tt></pre>

  <pre><tt><font face="Courier New" size="2"><span

 style="font-size: 10pt;">[24.170.49.168])</span></font></tt></pre>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">&nbsp;</span></font></p>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">&nbsp;</span></font></p>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">My domain is named

test-domain.com. I am not on RoadRunner

so the rr.com address above is where its originating from. </span></font></p>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">&nbsp;</span></font></p>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">What&#8217;s the best way to go

about blocking this domain

or sub-domain so that I stop receiving the notices of detected virus

emails

from MailScanner. </span></font></p>

  <p class="MsoNormal"><font face="Arial" size="2"><span

 style="font-size: 10pt; font-family: Arial;">&nbsp;</span></font></p>

  </div>

</blockquote>

<br>

What MTA are you using. I'm using PostFix and have a check_helo_access

rule that rejects email falsely claiming to be from within my domain.<br>

</body>

<FONT COLOR = "Gray">

<br />-- 

<br />This message, including any attachments, is intended solely for the use of the named

<br />recipients(s) and may contain confidential and/or privileged information. Any

<br />unauthorized review, use, disclosure or distribution of this communication is expressly

<br />prohibited. If you are not the intended recipient, please contact the sender by reply

<br />e-mail and destroy any and all copies of the original message. Thank you for your

<br />cooperation.

<br />-- 

<br />This message has been scanned for viruses and

<br />dangerous content by

<b>Secure Resource</b>, and is

<br />believed to be clean.

<br />MailScanner thanks <a href="http://www.transtec.co.uk/">transtec Computers</a> for their support.

</html>