Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

The (anti-)spam world thread

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi hexen » 15/10/02 17:27

Immagine
Gentile Signore/a,

in relazione alla Sua segnalazione Le comunichiamo che e' stata registrata e
che stiamo prendendo i necessari provvedimenti nei confronti del nostro
abbonato.

Nel mentre voglia accettare le nostre scuse per il disturbo arrecatoLe.

Distinti saluti.


-------------------------------------
Abuse Staff
Seat Pagine Gialle s.p.a.
Area Internet - abuse*at*tin.it
http://tin.virgilio.it


e intanto l'imbecille su edisontel continua... :evil: è inutile che posto gli headers: sono identici a quelli del mio ultimo post

ciao
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Sponsor
 

Postdi zello » 15/10/02 21:01

Piccola nota polemica:

Marco D'Itri (http://www.linux.it/~md/index2.html per chi non sa chi è) difende edisontel a spada tratta (si veda un articolo su inna di questa settimana), ma a me arriva un sacco di m***a da loro. Saranno pure un'azienda serissima, ma postmaster@edisontel.com non esiste (un po' di sana ignoranza di RFC, direi).
Io - che non ho nessuno che mi posta da lì - li ho silenziosamente piazzati in blacklist di spampal (tutto il netblock).

Ma è bello sapere che tin sega qualche account, alle volte.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 16/10/02 13:10

Dado mi ha mandato un W32.Klez.H ( sulla variante non son sicuro)

Gli Headers:

Codice: Seleziona tutto
X-Symantec-TimeoutProtection: 0
Received: (qmail 9780 invoked from network); 15 Oct 2002 21:03:55 -0000
Received: from unknown (HELO buddy.siteprotect.com) (64.26.0.87)
  by mail.supereva.it with SMTP; 15 Oct 2002 21:03:55 -0000
Received: from smtp2.libero.it (smtp2.libero.it [193.70.192.52])
   by buddy.siteprotect.com (8.9.3/8.9.3) with ESMTP id QAA01895
   for <mioforwarder-su-pc-facile.com>; Tue, 15 Oct 2002 16:03:53 -0500
Date: Tue, 15 Oct 2002 16:03:53 -0500
Message-Id: <200210152103.QAA01895@buddy.siteprotect.com>
Received: from Arqhj (62.98.240.50) by smtp2.libero.it (6.5.028)
        id 3DA310EC00339B93 for mioforwarder-su-pc-facile.com; Tue, 15 Oct 2002 23:03:49 +0200
From: dado <dado's-forwarder-su-pc-facile.com>
To: mio-forwarder-su-pc-facile.com
Subject: Japanese lass' sexy pictures
MIME-Version: 1.0
Content-Type: multipart/alternative;
   boundary=X37l7k2M1fvm82



Questo credo che sia l'AntiVirus
Codice: Seleziona tutto
X-Symantec-TimeoutProtection: 0


Questo
Codice: Seleziona tutto
62.98.240.50
è sicuramente InWind..
samspade.org/t
Codice: Seleziona tutto
inetnum:      62.98.240.0 - 62.98.240.255
netname:      WIND-FREE
descr:        Wind Telecomunicazioni spa
country:      IT
admin-c:      NMS18-RIPE
tech-c:       NMS18-RIPE
tech-c:       NMS18-RIPE
status:       ASSIGNED PA
mnt-by:       WIND-MNT
changed:      network*at*mail.wind*dot*it 20020404
source:       RIPE

route:        62.98.0.0/16
descr:        WIND Telecomunicazioni spa
descr:        Global Telecommunication Provider
origin:       AS9034
mnt-by:       WIND-MNT
changed:      network*at*wind*dot*it 20000824
source:       RIPE

person:       Network Management Staff
address:      WIND Telecomunicazioni spa
address:      Via C.G.Viola 48
address:      I-00148 Roma (RM)
address:      Italy
phone:        +39 06 83111
fax-no:       +39 06 83111
e-mail:       abuse*at*inwind*dot*it
nic-hdl:      NMS18-RIPE
changed:      network*AT*wind*DOT*it 20000403
source:       RIPE


tre e-mail per l'abuse :eeh: ?
abuse*at*inwind*dot*it
network*at*inwind*dot*it
network*at*mail*dot*inwind*dot*it ...

ho sentito sui NG che network*at*mail*dot*inwind*dot*it dovrebbe essere giusto..
Ciao
P.S.: Non è che è un utente di !pc-facile ?
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 16/10/02 13:23

ho sentito sui NG che network*at*mail*dot*inwind*dot*it dovrebbe essere giusto..

Per quanto ne so io, dovrebbe essere l'unico a non rimbalzare.

Non è che è un utente di !pc-facile ?

Possibile. Non io, cmq - non è il mio range di IP.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 16/10/02 13:41

meraviglioso! another spam's mail.
Headers
Codice: Seleziona tutto
Received: (qmail 8262 invoked from network); 16 Oct 2002 12:26:08 -0000
Received: from unknown (HELO host3-51.pool8173.interbusiness.it) (81.73.51.3)
  by mail.supereva.it with SMTP; 16 Oct 2002 12:26:08 -0000
Received: from <forwarder-su-people-it-alias-vene-ws>
  by host3-51.pool8173.interbusiness.it (CommuniGate Pro RULES 3.5.9)
  with RULES id 112403; Wed, 16 Oct 2002 14:29:04 +0200
X-Autogenerated: Mirror
X-Mirrored-by: <forwarder-people-it-alias-vene-ws> (Niko)
Received: from [80.247.136.62] (HELO rediffmail.com)
  by host3-51.pool8173.interbusiness.it (CommuniGate Pro SMTP 3.5.9)
  with SMTP id 112402 for mioforwardervenews; Wed, 16 Oct 2002 14:29:02 +0200
From: "DR VICTOR PETER" <odafeng1@rediffmail.com>
To: <mioforwardedivene.ws>
Subject: APPEAL FOR URGENT ASSISTANCE/INVESTMENT
Sender: "DR VICTOR PETER" <odafeng1@rediffmail.com>
Mime-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Content-Transfer-Encoding: 8bit
Date: Wed, 16 Oct 2002 05:26:07 -0700
Reply-To: "DR VICTOR PETER" <infopeters9@tbwt.com>
Message-ID: <auto-000000112402@host3-51.pool8173.interbusiness.it>


80.247.136.62 --> è il sender..
81.73.51.3 ---> mail server Open Relay

al sender accetta tutto ( forse sono io che sono su 62.211.xx.xx. Alice ADSL ? )
al rcpt to invece non mi prende supereva dicendo che non accetta relay
Invece rcpt to:<mio-forwarder-vene-ws>
risponde:
250 mio-forwarder-vene-ws will leave the Internet ( ? )

Cioe' ?

Ciao...
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi dado » 16/10/02 14:30

Nicola ha scritto:Dado mi ha mandato un W32.Klez.H ( sulla variante non son sicuro)


Nico... tranquillo, io sono pulito. Ti fidi?
E' arrivata anche a me da un rui81 e da ToS. L'untore penso proprio sia il primo.

Mi sto divertendo un mucchio... arrivo a sperare mi arrivi spam per far protesta all'abuse e farlo segare. :D
Ne ho appena inviata una all'abuse di Tin.

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 16/10/02 14:36

Non sembra un open relay, non è listato. E' normale che ti prenda il mail from: - l'importante è che non ti prenda il rcpt to: se non è un open relay (dovrebbe rispondere 250 - Relaying not allowed, ma ogni sysadmin può scrivere ciò che gli pare - ne ho visto uno particolarmente simpatico che mi ha risposto 250 - Mail accepted for delivery...)
Perché poi interbusiness faccia consegna posta per un provider nigeriano mi sfugge totalmente, ma un motivo ci sarà...

postmaster*at*asonnet.com - che ovviamente è un alias per /dev/null, ma provare non costa niente
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 16/10/02 15:18

dado ha scritto:
Nicola ha scritto:Dado mi ha mandato un W32.Klez.H ( sulla variante non son sicuro)


Nico... tranquillo, io sono pulito. Ti fidi?


Scusami sono stato moolto impreciso.. in parole povere :D hanno dato dopo i rcpt e mail from un
bel
Codice: Seleziona tutto
data
         From: tuaemailpc-facile

zello ha scritto:Non sembra un open relay, non è listato. E' normale che ti prenda il mail from: - l'importante è che non ti prenda il rcpt to: se non è un open relay (dovrebbe rispondere 250 - Relaying not allowed, ma ogni sysadmin può scrivere ciò che gli pare - ne ho visto uno particolarmente simpatico che mi ha risposto 250 - Mail accepted for delivery...)

Il bello che da il realying not allowed sugli altri domini..
su VENE.ws funziona..
che sia nella lista dei domini autorizzati anche da chi non fa parte del MailServer ( gli utilizzatori autorizzati ) ??

Ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 16/10/02 16:05

Forse è solo che sei su un IP tin, e quindi ti considera "nella rete", e fa relaying per te (anche se è un insertion point un po' fuori dalla norma)
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 16/10/02 16:36

zello ha scritto:Forse è solo che sei su un IP tin, e quindi ti considera "nella rete", e fa relaying per te (anche se è un insertion point un po' fuori dalla norma)


sisisi ma xchè @supereva.it non gli va bene (realying not allowed) mentere @vene.ws gli "gusta" ( indirizzo chiocciola vene.ws leave Internet e arriva ... ) :-? forse perchè è autorizzato solo l'invio al dominio vene.ws ?
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi hexen » 16/10/02 16:45

ecco la m***a di oggi, stavolta con allegato (credo dialer):

Codice: Seleziona tutto
Return-Path: <073428@283407.com>
Received: from rs6000.lewisu.edu ([216.125.6.12] verified)
  by infinito.it (CommuniGate Pro SMTP 3.5.9)
  with ESMTP id 4025616 for ***@iinfinito.it; Wed, 16 Oct 2002 13:51:22 +0200
Received: from ME (nmns01-1208.dial.mns.embratel.net.br [200.242.32.208])
   by rs6000.lewisu.edu (8.9.3/8.9.3) with SMTP id GAA23986;
   Wed, 16 Oct 2002 06:36:23 -0500
Date: Wed, 16 Oct 2002 06:36:23 -0500
From: 073428@283407.com
Message-Id: <200210161136.GAA23986@rs6000.lewisu.edu>
Subject: **SPAM** ---> INCONTRI SEXY <--- IMPERDIBILE!!!
X-Priority: 1 (Highest)
Reply-To: youremail@email.com
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#MYBOUNDARY#"
X-SpamPal: SPAM OSIRU 216.125.6.12         


qui il prg di zello dice che l'ip è 216.125.6.12, mentre per me e per people.it è 200.242.32.208

:?: :?:

PS: zello come hai fatto a blacklistare edisontel?
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi hexen » 16/10/02 17:49

e ancora....
Codice: Seleziona tutto
Received: (qmail 2052 invoked from network); 16 Oct 2002 16:07:48 -0000
Received: from unknown (HELO gladisnet.com) (65.117.175.19)
  by mail.interfree.it with SMTP; 16 Oct 2002 16:07:48 -0000
Received: (qmail 24348 invoked by uid 504); 16 Oct 2002 14:53:43 -0000
Date: 16 Oct 2002 14:53:43 -0000
Message-ID: <20021016145343.24347.qmail@gladisnet.com>
To: ***@interfreee.it
Subject: Ecco i nuovi SMS animati
From: sms@animati.com
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset=iso-8859-1
X-SpamPal: PASS


(ovviamente il sito sarà pieno di dialer)
se non sbaglio il lart va ad abuse*at*qwest.net
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi dado » 16/10/02 17:59

Ahah!! Oggi m'è arrivata un'email kilometrica (Frengo, l'avrai mica scritta tu? :lol: ) e spammosa che mi proponeva la fortuna con mile ca22ate... ovviamente dietro esborso copioso di denaro che mi sarebbe ritornato in milioni di €. La cosa che mi ha fatto più godere è che proveniva dall'Italia... Detto fatto... ecco la risposta dell'abuse!

Gentile Signore/a,

in relazione alla Sua segnalazione Le comunichiamo che e' stata registrata e
che stiamo prendendo i necessari provvedimenti nei confronti del nostro
abbonato.

Nel mentre voglia accettare le nostre scuse per il disturbo arrecatoLe.

Distinti saluti.

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 16/10/02 18:15

Allora, in ordine:

Nico, hai ragione. Guarda un po' qui (è stato laborioso, lo ammetto)
Codice: Seleziona tutto
D:\Programmi\putty>nslookup
Server predefinito:  cns-b.libero.it
Address:  193.70.152.25

> set type=MX
> vene.ws
Server:  cns-b.libero.it
Address:  193.70.152.25
vene.ws MX preference = 10, mail exchanger = mail.vene.ws
vene.ws MX preference = 100, mail exchanger = mail.rdonline.it

e quindi la mail per @vene.ws è consegnata in primis da mail.vene.ws, in secondo luogo da mail.rdonline.it.
Ma chi è rdonline.it?
Codice: Seleziona tutto
> set type=A
> rdonline.it
Server:  cns-b.libero.it
Address:  193.70.152.25

Nome:    rdonline.it
Address:  81.72.178.38

Vediamo un po' di fare rDNS su 81.72.178.38
Codice: Seleziona tutto
> 81.72.178.38
Server:  cns-b.libero.it
Address:  193.70.152.25

Nome:    host38-178.pool8172.interbusiness.it
Address:  81.72.178.38

Magagna finita: interbusiness è valido Mail eXchanger per vene.ws, e quindi il relay è legale.

Per hexen:
qui il prg di zello dice che l'ip è 216.125.6.12, mentre per me e per people.it è 200.242.32.208

E ha ragione people.it, ma non è colpa mia. C'è una dnsbl (non so ancora quale) che mi lista 216.125.6.12 come dialup, e quando vedo un dialup interrompo l'analisi (nessuno consegna mail usando un dialup). Solo che l'entry è sbagliata. Se trovo la dnsbl segnalo l'errore. 200.242.32/24 è SICURAMENTE embratel.net.br (e poi è sempre ME...)
Per l'altra qwest va bene.

Per dado:
non dirmi che non ti diverti. Si vede troppo.
[/code]
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi hexen » 16/10/02 18:31

zello ha scritto:quando vedo un dialup interrompo l'analisi (nessuno consegna mail usando un dialup).

:?: :?:

perché gli spammer a volte non usano dialup? vuoi forse alludere ai server?


200.242.32/24 è SICURAMENTE embratel.net.br


abuse*at*embratel.net.br (a quanto dice abuse.net)
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi dado » 16/10/02 18:43

zello ha scritto: Per dado:
non dirmi che non ti diverti. Si vede troppo.


...come un bambino!! :D

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi dado » 16/10/02 23:31

Zello... per caso conosci l'abuse di

- 64.124.234.10(mail3.super-best-deal.com): Spam source

OrgName: Abovenet Communications, Inc
OrgID: ABVE

NetRange: 64.124.0.0 - 64.125.255.255
CIDR: 64.124.0.0/15
NetName: ABOVENET
NetHandle: NET-64-124-0-0-1
Parent: NET-64-0-0-0-0
NetType: Direct Allocation
NameServer: NS.ABOVE.NET
NameServer: NS3.ABOVE.NET
Comment: ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate: 2000-07-06
Updated: 2001-04-27

TechHandle: NOC41-ORG-ARIN
TechName: Metromedia Fiber Networks/AboveNet
TechPhone: +1-408-367-6666
TechEmail: noc@above.net


:?: :?: :?: :?:

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 17/10/02 07:19

Non personalmente :)

abuse+at+above.net

dado, se hai un dominio e vuoi l'abuse (come in questo caso), prova a tirare un occhio qui - è un database semi-ufficiale degli abuse.

Ciao

[/url]
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi dado » 17/10/02 17:54

Grazie Zello, hai sempre una risposta x tutto! :D

Ho appena scritto ad un abuse coreano... secondo te quante probabilità ho che facciano qcosa? O meglio ancora... che capiscano la mia protesta in inglese? :diavolo:

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 17/10/02 23:44

Coreano?
Coraggio...

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "The (anti-)spam world thread":

email e spam
Autore: Smilecrown
Forum: Sicurezza e Privacy
Risposte: 3

Chi c’è in linea

Visitano il forum: Nessuno e 9 ospiti