Condividi:        

The (anti-)spam world thread

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

The (anti-)spam world thread

Postdi zello » 19/08/02 14:02

Allora, questo dovrebbe essere un thread su cui accentrare tutte le richieste relative alla problematica spam.
La mia proposta è che nel thread si affrontino in particolare le problematiche relative a:
1) come segnalare uno spammer al/ai suo/suoi provider(s)
2) come rintracciare l'origine di uno spam
3) se volete - discussioni su perché lo spamming è male e perché va combattuto (anche in merito a opinioni opposte, mica siamo nazisti...)
4) eventuali segnalazioni e testing di software utile a porre un freno allo spamming (eventualmente si potrà chiedere ad un moderatore di spostare la segnalazione su apposito forum)
5) varie ed eventuali, preferibilmente senza andare fuori tema, compresi links interessanti in materia (appena ho un attimo comincio a inserirne. Nel frattempo, consulterei http://www.collinelli/antispam per una introduzione, http://www.despammed.com per un servizio gratuito (o quasi: aggiunge qualche riga di pubblicità in fondo alla mail) di filtraggio e inoltro posta, http://www.twinlobber.org.uk/spampal/ per un software gratuito che filtra lo spam in arrivo [manuale tradotto in italiano]).

Dato che il primo fine sarà un'analisi degli headers dei messaggi, si impongono alcune note preliminari:

1) chi vuole far analizzare gli headers, o cmq vuole una verifica di una sua analisi, è pregato - per evitare di fare ulteriore pubblicità allo spammer - di postare unicamente gli stessi, e non il corpo della mail. Per visualizzare gli headers, in Outlook Express basta selezionare un messaggio, fare click con il tasto destro del mouse, e scegliere proprietà. Quindi scegliere secondo tab ("Avanzate"? "Proprietà"? Non ricordo più il titolo). Per altri clients email la procedura è simile, chi li ha installati può postare istruzioni specifiche.
2) questo vuole dire che non si può analizzare - al fine di colpire gli spammers dove fa più male - il corpo della mail in cerca di siti pubblicizzati. Chi vuole fare questo, può postarmi lo spam (corpo compreso) su zello*at*libero*dot*it (headers compresi).
3) L'analisi cercherà - per quanto mi riguarda - di essere il più possibile "didattica", in modo da mostrare il procedimento e rendere la cosa fattibile direttamente dagli utenti. Lo scopo sarebbe di far evolvere il thread, in modo che in futuro gli spam più "banali" - o più bulletproof, la cui segnalazione è una mera perdita di tempo - non siano postati, ma gestiti direttamente da chi li riceve.
4) Se postate indirizzi di posta elettronica, non postateli mai così come sono. Io tendo ad usare la convenzione di piazzarci un *at* al posto di @, ma altri metodi sono ugualmente validi. Gli spammers tendono a filtrare il Web in cerca di indirizzi da aggiungere alle loro liste (mail harvesting) - non rendiamo loro il lavoro più semplice!
5) Ricordate sempre le regole degli spammers
rule #0: fare spamming equivale a rubare
rule #1: gli spammers mentono
rule #2: se pensi che uno spammer dica la verità, consulta la regola #1
rule #3: gli spammers sono stupidi

Questa sorta di premessa è quanto mi viene in mente al momento - siete liberi di proporre, modificare o cancellare alcune di queste regole, naturalmente con l'ok dei moderatori (no, io non sono un moderatore).

Ciao a tutti,

--
zello
Ultima modifica di zello su 24/08/02 14:17, modificato 1 volte in totale.
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Sponsor
 

Postdi BianConiglio » 19/08/02 14:59

Procedura OutlookExpress : Tasto destro - Proprietà - Dettagli

#4 Gli spammers son sempre a caccia

(quindi se postate degli header da analizzare, ricordate che compare anche il volstro indirizzo...direi di modificarlo tutti con mio@indirizzo.it )
BianConiglio
Utente Senior
 
Post: 4710
Iscritto il: 26/12/01 01:00
Località: Varese / Lugano

Postdi Triumph Of Steel » 19/08/02 16:26

Io proporrei di inserire qua nel 3d, una mini-mini guida su come leggere gli headers...
su alcuni siti per esempio, si dilunga nel parlare di cosa è questo, cosa è quest'altro ecc...
questo serve, certo, per chi vuole info + approfondite su vari protocolli.

Sarebbe invece carino postare proprio una procedura molto sintetica, del tipo, leggi questo, fai un ping, copia, incolla, ecc..
passo dopo passo...
e una mail spam di prova per esercitarsi, tipo un HackMe Challange... ma di spam :P ;)
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi zello » 19/08/02 16:56

Bon, quasi quasi comincio io (per ora posto l'header, entro domani lo analizzo. Se qualcuno intanto vuole cominciare a metterci le mani, in <tutorial mode>, si faccia tranquillamente avanti).
Ricevuta fresca fresca. Guarda quanto pr0n gratis mi regalano, e io stupido che caccio via tutto, eh?

Received: from web1.mail.onsiteaccess.net (mail.onsiteaccess.net [209.83.168.38])
by <myMailServer> (8.9.3/8.9.3/[snipped] 1.0) with ESMTP id MAA05696
for <myPrivateMail>; Mon, 19 Aug 2002 12:54:02 +0200 (MET DST)
From: westopper@yahoo.com
Received: from yahoo.com ([209.83.168.62]) by web1.mail.onsiteaccess.net
(InterMail vK.4.03.05.00 201-232-132 license d95ba599407e4c8619f5c2f9cb254eaa)
with ESMTP id <20020819030416.CLJT303.web1@yahoo.com>;
Sun, 18 Aug 2002 23:04:16 -0400
Subject: Inst@nt H@rdcore @ccess
Date: 19 Aug 2002 00:13:15 -0300
Received: from unknown (185.176.53.24) by rly-yk05.mx.aol.com with local; Aug, 05 2002 3:32:53 PM +0300
Received: from unknown (124.215.35.163) by rly-xw01.mx.aol.com with QMQP; Aug, 05 2002 2:44:40 PM +0700
Received: from 155.89.28.179 ([155.89.28.179]) by rly-xw05.mx.aol.com with smtp; Aug, 05 2002 1:35:46 PM +0400
Received: from 30.215.79.204 ([30.215.79.204]) by m10.grp.snv.yahoo.com with SMTP; Aug, 05 2002 12:34:45 PM +0300
MIME-Version: 1.0
Content-Type: text/html
Content-Transfer-Encoding: 8bit
Message-Id: <20020819030416.CLJT303.web1@yahoo.com>
Content-Length: 1743
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi piercing » 19/08/02 17:24

Questo è carino... che ci si fa??? E non è manco il solito porno...

Return-Path: <175821@libero.it>
Received: from smtp5.libero.it (193.70.192.55) by ims3b.libero.it (6.5.028)
id 3D57743C0014750E for mio@indirizzo.it; Mon, 19 Aug 2002 17:58:23 +0200
Message-ID: <3D57743C0014750E@ims3b.libero.it> (added by postmaster@libero.it)
Received: from libero.it (213.140.14.139) by smtp5.libero.it (6.5.028)
id 3D51231101482ED5; Mon, 19 Aug 2002 17:58:23 +0200
From: "WebMaster" <SkyHook>
Subject: E-Book : "Networkers e i prodotti della conoscenza"
Content-Type: text/html
Date: Mon, 19 Aug 2002 17:56:24 +0200
X-Priority: 3
X-Library: Indy 9.0.3-B

Stranicchia nò? Arrivo fino a fastweb... e poi?
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi Nicola » 19/08/02 20:15

Comunque un buon metodo per me per occultare la mail dagli spammers e renderla in chiaro per gli utenti è utente*chiocciola*dominio*punto*it.. considerate che i softwares (gli spider degli spammers) trovano meno facilmente se non per niente queste 'occultazioni'.
Saluti, Nicola
P.S.: Zello sarà mica zello*chiocciola*libero*punto*it invece di *punto*com ??
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 20/08/02 07:28

Piercing, fastweb è l'origine (o un proxy).
Cmq, in maniera estesa:
1) consideriamo solo i Received, dal più recente (il più in alto) al più antico

Received: from smtp5.libero.it (193.70.192.55) by ims3b.libero.it (6.5.028)


Double-hop di libero: libero fa passare le mail quasi sempre attraverso due servers (uno [un pool, in effetti] riceve genericamente la posta destinata a libero.it, e la smista su un altro pool).

Received: from libero.it (213.140.14.139) by smtp5.libero.it (6.5.028)


smtp5.libero.it lo ha ricevuto da 213.140.14.139 (che non è libero.it, è semplicemente qualcuno che ha provato a spacciarsi per libero.it)
Andiamo su http://samspade.org/t e usiamo il tool "whois"
whois -h magic 213.140.14.139
Trying whois -h whois.arin.net 213.140.14.139
European Regional Internet Registry/RIPE NCC (NETBLK-213-RIPE)
These addresses have been further assigned to European users

Indirizzo assegnato all'autorità europea. Torniamo ad usare whois, ma specificando come server "Europe(whois.ripe.net)":
whois -h whois.ripe.net -V194.185.78.66 213.140.14.139
inetnum: 213.140.14.128 - 213.140.14.143
netname: FASTWEB-POP-0109-RESIDENTIAL
descr: Infrastructure for Fastweb's main location
descr: NAT IP addresses for residential customer, public subnet
remarks: In case of improper use originating from our network,
remarks: please mail customer or abuse<at>fastweb.it

Non ci sono altri received: viene da qui.

Usiamo il tool "blackhole list check" (inserendo l'IP di cui sopra), per vedere, usando le liste più diffuse:
1) se è un origine "nota" di spam (e già ha meno senso mandare le notifiche agli abuse, che è chiaro che se ne fregano. Io cmq di solito lo faccio uguale)
2) se è un proxy
Non è listato. Questo NON vuole dire che non sia un proxy, se è un proxy forse le liste non lo hanno ancora controllato. E' un controllo che potremmo fare anche noi (controllare se sono aperte le porte 1080 e 8080, per esempio) - ma comporta un port-scanning, che è una pratica non molto apprezzata dai providers...

Morale: io manderei ad abuse*at*fastweb*dot*it. Allega (copia/incolla in fondo, non inserire un allegato) tutto lo spam, corpo compreso. E se hai tempo:
1) cerca nel corpo un riferimento al sito dello spammer
2) fai un rDNS (usando il tool DNS su samspade, eventualmente) e trova l'indirizzo IP
3) fai un whois sull'IP per vedere chi ospita lo spammer, e notifica l'abuse
4) fai un whois sul dominio dello spammer (se il sito è http://www.spammer.com, fai un whois spammer.com), ottieni i DNS (i server responsabili della traduzione da indirizzo ad IP per quel dominio), trovane gli IP (con un rDNS), guarda a chi appartengono (con un whois sull'IP), e notifica il relativo abuse.
5) nel caso l'abuse non sia indicato nel record del database (è un caso che per fastweb ci sia stato), dato un dominio puoi ottenerlo facendo un whois a whois.abuse.net. Così, per ottenere l'abuse di unqualchesito.com, fai un whois unqualchesito.com specificando come server whois.abuse.net

Ciao,

--
zello

PS: ovvio, l'indirizzo è quello indicato da Nicola. La fretta gioca scherzi cretini.
[/quote]
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi dado » 21/08/02 09:08

Se ti interessano, ne ho due fresche fresche...

1)

Return-Path: <anonimo_sx@libero.it>
Received: from [63.72.98.2] (HELO 211.114.193.234)
by infinito.it (CommuniGate Pro SMTP 3.5.9)
with SMTP id 9180028 for mio@indirizzo.it; Wed, 21 Aug 2002 05:21:45 +0200
From: Sex anonimus <anonimo_sx@libero.it>
To: Newsletter Sex - Anonimus
Cc:
Subject: [Sex - Anonimus]
Sender: Sex anonimus <anonimo_sx@libero.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Wed, 21 Aug 2002 05.21.43 +0200
X-Mailer: Microsoft Outlook Express 5.00.2615.200
Message-ID: <auto-000009180028@infinito.it>

2)

Return-Path: <akbd_dijm_w_w_s@libero.it>
Received: from smtp4.libero.it (193.70.192.54) by ims4c.libero.it (6.5.028)
id 3D577DA9001A9145 for mio@indirizzo.it; Wed, 21 Aug 2002 03:59:36 +0200
Message-ID: <3D577DA9001A9145@ims4c.libero.it> (added by postmaster@libero.it)
Received: from mw-08q8ia2wln6q (200.63.145.159) by smtp4.libero.it (6.5.028)
id 3D4E4763021720B7 for mio@indirizzo.it; Wed, 21 Aug 2002 03:59:35 +0200
From: Email Lists <bases@emdatabases.com>
To: "mio" <mio@indirizzo.it>
Subject: Sell your product by email
Date: Tue, 20 Aug 02 21:28:08 Hora est. de Sudamérica E.
MIME-Version: 1.0
Content-Type: multipart/mixed;boundary= "----=_NextPart_000_00D3_E1A5A867.DF358980"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 21/08/02 10:16

Oh, vedo che non sono l'unico a rifiutare queste MERAVIGLIOSE offerte di porno

La prima ha solo una linea received, non è neanche divertente...
Received: from [63.72.98.2] (HELO 211.114.193.234)
by infinito.it (CommuniGate Pro SMTP 3.5.9)

Lo spammer si è presentato come 211.114.193.234, ma l'IP era 63.72.98.2

Trying whois -h whois.arin.net 63.72.98.2
UUNET Technologies, Inc. (NETBLK-UUNET63) UUNET63 63.64.0.0 - 63.127.255.255
ISN Corporation (NETBLK-UU-63-72-98-D1) UU-63-72-98-D1
63.72.98.0 - 63.72.98.255

abuse*at*uu*dot*net
Che ha subaffittato a ISN Corporation
postmaster*at*isncorp*dot*com
[il record non c'è nel db degli abuse a http://www.abuse.net. Postmaster è una casella obbligatoria, e quindi dovrebbe esistere. Se rimbalzasse, si potrebbe iscriverlo in una blacklisk rfc-ignorant. Eventualmente dimmi qualcosa]
Con blackhole list check trovi che è un open http proxy. Puoi chiedere che lo chiudano.
Chissà se 211.114.193.234 è effettivamente chi c'è dietro il proxy, che in tal caso non sarebbe molto anonimizzante (non ho possibilità di verificarlo, e non è neanche semplice). Listato è listato (in due liste per spam). E' un IP coreano. Possibilissimo, però non lo segnalerei perché:
1) non siamo sicuri, e, soprattutto
2) è inutile segnalare alcunché in Corea - ammesso che capiscano l'inglese, se ne fregano nella maniera piu' totale
Se hai voglia, notifica a abuse*at*libero*dot*it che lo spammer potrebbe star usando un loro account come dropbox, o cerca un link al sito pubblicizzato e notifica chi lo ospita.

Ok, numero 2:

Received: from smtp4.libero.it (193.70.192.54) by ims4c.libero.it (6.5.028)

Ormai lo sapete anche voi: double hop di libero...
Received: from mw-08q8ia2wln6q (200.63.145.159) by smtp4.libero.it (6.5.028)

E questa è l'origine (nessun altro Received:)
Chi è 200.63.145.159?
whois -h whois.arin.net 200.63.145.159
Latin American and Caribbean IP address Regional Registry
Che brutto inizio...
Comunque, proviamo con lacnic.net
whois -h whois.lacnic.net 200.63.145.159
owner: Telintar S.A.
ownerid: AR-TESA4-LACNIC
address: Tucuman 1 4th floor
address: Buenos Aires, Capital Federal 1001
Gli argentini arrivo quasi a capirli. Bisogna pur mangiare. Questo non toglie che:
postmaster*at*infonegocio*dot*com
noc*at*telintar*dot*net*dot*ar
postmaster*at*telintar*dot*net*dot*ar
è giusto che lavorino, un po. Anche perché sono listati per il momento solo da FiveTen (che è piuttosto aggressiva, come lista), ma hanno scansato Spews (che è comunque la lista di riferimento). Qualche possibilità di redenzione ce l'hanno, direi.
Subject: Sell your product by email

Interessante. Quasi quasi gli scrivo.

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 21/08/02 11:02

Eccone due:
1) Received: (qmail 17647 invoked from network); 18 Aug 2002 22:22:24 -0000
Received: from unknown (HELO buddy.siteprotect.com) (64.26.0.87)
by mail.supereva.it with SMTP; 18 Aug 2002 22:22:24 -0000
Received: from yahoo.com ([66.110.31.209])
by buddy.siteprotect.com (8.9.3/8.9.3) with SMTP id RAA29324
for <mio@indirizzo.it>; Sun, 18 Aug 2002 17:22:10 -0500
Message-Id: <200208182222.RAA29324@buddy.siteprotect.com>
From: "AB Sanni" <us_bawa@yahoo.com>
To: <mio@indirizzo.it>
Subject: Business Proposal (Urgent)
Sender: "AB Sanni" <us_bawa@yahoo.com>
Mime-Version: 1.0
Content-Type: text/plain; charset="ISO-8859-1"
Date: Sun, 18 Aug 2002 23:21:58 -0700
Reply-To: "AB Sanni" <s_bawa@yahoo.com>
Content-Transfer-Encoding: 8bit
2) Received: (qmail 27410 invoked from network); 19 Aug 2002 21:12:14 -0000
Received: from unknown (HELO buddy.siteprotect.com) (64.26.0.87)
by mail.supereva.it with SMTP; 19 Aug 2002 21:12:14 -0000
Received: from mx4.aruba.it (mx4.aruba.it [62.149.128.133])
by buddy.siteprotect.com (8.9.3/8.9.3) with SMTP id QAA27164
for <mio@indirizzo.it>; Mon, 19 Aug 2002 16:12:12 -0500
Date: Mon, 19 Aug 2002 16:12:12 -0500
Message-Id: <200208192112.QAA27164@buddy.siteprotect.com>
Received: (qmail 31371 invoked from network); 19 Aug 2002 21:12:00 -0000
Received: from unknown (HELO Ibwuadn) (80.116.230.40)
by mx4.aruba.it with SMTP; 19 Aug 2002 21:12:00 -0000
From: beenzeria <beenzeria@beenzeria.com>
To: mio@indirizzo.it
Subject: A good tool
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=HXQB2rm3z5612N0yj4167EUbh8T
e qui dentro la mail c'è scritto This is a good tool I hope you would like it. con un bel virus...
Ciao zello buon lavoro..... ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 21/08/02 11:46

Scusa se sono breve, ho un po' fretta ora.
Received: from yahoo.com ([66.110.31.209])

Seh, yahoo.com mio nonno.
TOC*at*HYPERIA*dot*COM
info*at*21ctl*dot*com -> eviterei, mi sa che è lo spammer stesso, ma non ne sono sicuro. Se ne fossi sicuro NON avrei messo *at* e *dot*, ma direttamente @ e .
abuse*at*Teleglobe*dot*net->l'unico che volendo può fare qualcosa, probabilmente.
postmaster*at*21ctl*dot*com -> vedi nota su info, però questo ha almeno valore statistico (è pur sempre il postmaster)
Nonostante 66.110.31.209 sia listato solo da SpamCop (che è come dire quasi niente), 21ctl.com è listato per altri IP praticamente da tutti (manca solo nella mia lista della spesa e nell'elenco telefonico). Mi sa che i casi sono 2:
1) è lo spammer stesso: gli IP assegnati sono 66.110.31.0 - 66.110.31.255, è strano che ci siano più spammers su un massimo di 254 indirizzi
2) è amico-amico degli spammers...

Il secondo:
con un bel virus...

Probabilmente il sender manco sa di avercelo, e quindi l'abuse non può fare nulla. Puoi al massimo chiedere a telecom italia di avvertire il suo utente. In questo caso la posta ha fatto - direi - questo giro qui:
TelecomItalia(80.116.230.40)->mailserver aruba(62.149.128.133)*->mailserver pc-facile
questa linea
Received: (qmail 31371 invoked from network);

è una linea che il mailserver qmail inserisce per dire che esiste, è autentica ma non serve ad un emerito tubo.
80.116.230.40 è:
netname: Telecom-Adsl
descr: Telecom Italia
descr: Accesso ADSL BBB
remarks: Please send abuse notification to abuse-bbb*at*telecomitalia*dot*it
Ma, ti ripeto, non è considerato abuse**

Note:
* perché un server aruba.it gestisca la posta di Telecom è per me un mistero totale.
** a parte questo, praticamente nulla è considerato un abuse da Telecom Italia, ammesso e non concesso che qualcuno legga la casella abuse.

Ciao,

--
zello
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Nicola » 21/08/02 11:52

Prima di tutto GRAZIE!!! ... Poi.....
zello ha scritto:Note:
* perché un server aruba.it gestisca la posta di Telecom è per me un mistero totale.

Io so che ARUBA vende adsl e 56k e ISDN ma rivende il servizio Telecom con la loro assistenza... Se ti può esser d'aiuto... ;)
Ciao, Nicola
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi piercing » 21/08/02 14:07

Come gli hanno fatto bene ste vacanze... nonostante qualche fischetto alle orecchie... 8)

Come sempre vado un pochino OT...

Mi è aumentato a dismisura lo spam da dopo ferragosto...

su account di libero soprattutto...

Passato da 1 mail ogni due giorni circa... a tre al giorno... anche sugli account "riservati"... cioè quelli che non metto su internet... con i quali mando solo le email...

Avete notato qualcosa del genere??

Non ditemi che ero fortunato prima!!!

Zello... una domanda...
come mai lo spam si concentra sui grossi provider??
Sulle email aziendali... che comunque sono pubbliche... e sono anche pubblicizzate su internet non mi è mai arrivato nulla... e dico mai.... e sono in giro almeno da un paio di anni...
Ma cosa fanno in pratica? Provano tutte le stringhe alfanumeriche?? Se li passano da una società a un altra?? Li rubano dagli elenchi dei provider?? Se fosse colpa di spider appositi sarei colpito anche sulle aziendali... invece mai nulla... neanche per sbaglio...
Tu che puoi.... dacci una luce 8) (vabbè che gli spammer sono stupidi.. ma provare tutte le chiavi alfanumeriche... bah!!!)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi zello » 21/08/02 14:41

Avete notato qualcosa del genere??

Fai tu. Dovrebbero averlo notato tutti - lo spam è in costante aumento. D'altra parte, la misura non è ancora colma, dato che la reazione normale della gente non è filtrare la posta, oppure pagare per un servizio di filtri, ma premere canc. JHD, cioé Just Hit Delete...

Zello... una domanda...
come mai lo spam si concentra sui grossi provider??

E' vero solo in parte. Diciamo che una parte dei grossi providers - di solito quelli in difficoltà finanziarie, a volte anche quelli che non sanno fare il loro lavoro - se ne fregano del livello del servizio, "tanto sono grandi", oppure trovano conveniente incassare gli assegni degli spammers e fare finta di niente (fino a che non si rivelano assegni cabrio). Fino a che le bl che li listano non sono talmente grosse che nessuno praticamente accetta posta dalla rete (per fare un esperimento: apriti una mail con wanadoo in Francia e prova a spedire una mail in America, a chi vuoi. Vediamo se arriva).
Gli spammers - intendo gli spammers professionisti, non i ragazzini - sanno presso chi stanno aprendo un account, e sanno di quanta copertura possono usufruire. E quindi tendono a concentrarsi sui providers "bulletproof".
Le reti piccole, di solito, se sono bulletproof finiscono per dipendere troppo dal denaro degli spammers, che non è mai molto. Quando salta - o scappa - lo spammer, oppure quando si trovano blacklistate tanto da avere solo spammers nella rete isolati dal resto di Inet, finiscono per fallire.

Sulle email aziendali... che comunque sono pubbliche... e sono anche pubblicizzate su internet non mi è mai arrivato nulla

Neanche a me. E neanche virus. Il ché significa, presumibilmente, che il mio postmaster - o il postmaster dell'upstream - fanno un ottimo lavoro di filtri (un servizio veramente professionale).

Ma cosa fanno in pratica? Provano tutte le stringhe alfanumeriche?? Se li passano da una società a un altra?? Li rubano dagli elenchi dei provider?? Se fosse colpa di spider appositi sarei colpito anche sulle aziendali... invece mai nulla... neanche per sbaglio...

Qui - http://www.faqs.org/faqs/net-abuse-faq/harvest/ - trovi una bella faq in inglese per capire come fanno. In breve:
- filtrando il traffico su Usenet
- dalle mailing list(anche rubandoli)
- dalle pagine web
- da form web (dove magari si autorizza la cessione dei dati)
- tramite un identd daemon (difficile)
- direttamente dal web browser
- da IRC o dalle chat in generale
- da demoni finger (non ce n'è quasi più)
- dai contact point nelle registrazioni di domini
- provando combinazioni casuali
- da servizi di pagine gialle (tipo bigfoot)
- varie ed eventuali, compreso il social engineering
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi piercing » 21/08/02 14:58

Il ché significa, presumibilmente, che il mio postmaster - o il postmaster dell'upstream - fanno un ottimo lavoro di filtri


Ti parlo di Aruba... che dubito che faccia il minimo servizio!! Uso i loro "disservizi" per la posta aziendale... che mi posso stare a sbattere a tenere UP un server solo per quello??
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi zello » 21/08/02 15:37

Aruba è molto migliorata nell'ultimo anno, ma dubito che dipenda da questo. Mi sa che è veramente fortuna.
Ma non è una fortuna invincibile.
Prova a postare su it.test usando quell'account, aspettiamo una decina di giorni, e vediamo cosa succede.
...
...
...
...
...
...
...
...
Non farlo, sto scherzando.

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi dado » 21/08/02 23:39

Confermo: spam aumentato proporzionalmente negli ultimi tempi. Che palle. Altra email...

Return-Path: <stephanie-82@libero.it>
Received: from [208.166.82.124] (208.166.82.124) by mail.tiscali.it (6.5.026)
id 3D5215210036FCDA for mio@indirizzo.it; Wed, 21 Aug 2002 16:35:59 +0200
Message-ID: <3D5215210036FCDA@mail-8.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: Stephanie <stephanie-82@libero.it>
To: Newsletter Stephanie
Cc:
Subject: [Stephanie]
Sender: Stephanie <stephanie-82@libero.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Wed, 21 Aug 2002 16.34.25 +0200
X-Mailer: QUALCOMM Windows Eudora Version 5.1

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 21/08/02 23:57

Vabbé, un'unica linea Received:
Received: from [208.166.82.124] (208.166.82.124) by mail.tiscali.it (6.5.026)

Samspade.org/t, lanciami i componenti!
Codice: Seleziona tutto
Trying whois -h whois.arin.net 208.166.82.124
Cable & Wireless USA (NETBLK-CW-10BLK) CW-10BLK  208.128.0.0 - 208.175.255.255
MonadNet Corporation (NETBLK-CW-208-166-80) CW-208-166-80
 208.166.80.0 - 208.166.87.255
Dublin Christion Acadamy (NETBLK-MNAT-DUBCHSTACDMY) MNAT-DUBCHSTACDMY
208.166.82.96 - 208.166.82.127

Ehi, quanta gente.
From bottom-up
abuse*at*monad*dot*net
postmaster*at*monad*dot*net
per Dublin Christion Academy e monad net
abuse*at*cw*dot*net
per Cable & Wireless (non una bella storia di spam fighting, ma neanche totalmente clueless, se mi ricordo bene)
Vediamo di che razza di host stiamo parlando...
Codice: Seleziona tutto
Osirus Relays List (OSIRUS):
(2002/08/17) Open Proxy: http(8080)
Wide-open HTTP proxy on port 8080 (discovered 2002-06-27)

Tombola. Un proxy aperto, abusato almeno da fine giugno. Considerando che la rete della Dublin Christion Academy ha sì e no un centinaio di indirizzi a disposizione (il ché si tradurrà in al massimo 15 computer in rete), direi che certa gente andrebbe esaminata (anche con un elettroencefalogramma), prima di assegnarle degli IP...

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Mikizo » 22/08/02 20:48

Ciao zello, mi sembra di aver capito che ti diverti, per cui:

N.1
Return-Path: <millyrosa@lycos.it>
Received: from md2.ksolutions.it ([194.153.172.186]) by mta1.alephint.it
with ESMTP id <20020812080911.TGDG6592.mta1@md2.ksolutions.it>
for <mioindirizzo@katamail.com>;
Mon, 12 Aug 2002 10:09:11 +0200
Received: from 204.71.65.253 ([200.199.140.130])
by md2.ksolutions.it (Mirapoint)
with SMTP id ANX72724;
Mon, 12 Aug 2002 10:05:25 +0200 (CEST)
Message-Id: <200208120805.ANX72724@md2.ksolutions.it>
From: Marta R <millyrosa@lycos.it>
To: Undisclosed.Recipients
Subject: [Sex peach]
Sender: Marta R <millyrosa@lycos.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Mon, 12 Aug 2002 10.06.08 +0200
X-Mailer: Microsoft Outlook Build 10.0.2616

N.2
Return-Path: <anonimo_sx@libero.it>
Received: from md2.ksolutions.it ([194.153.172.186]) by mta3.alephint.it
with ESMTP id <20020822171322.RJPP6512.mta3@md2.ksolutions.it>
for <mioindirizzo@katamail.com>;
Thu, 22 Aug 2002 19:13:22 +0200
Received: from 210.204.53.253 ([210.204.53.253])
by md2.ksolutions.it (Mirapoint)
with SMTP id APE58562;
Thu, 22 Aug 2002 19:13:09 +0200 (CEST)
Message-Id: <200208221713.APE58562@md2.ksolutions.it>
From: Sex anonimus <anonimo_sx@libero.it>
To: Newsletter.Sex.-.Anonimus
Subject: [Sex - Anonimus]
Sender: Sex anonimus <anonimo_sx@libero.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Thu, 22 Aug 2002 19.14.16 +0200
X-Mailer: MIME-tools 5.503 (Entity 5.501)


PS: C'era la 3 ma è uguale ad una arrivata a dado
PPSS: Quanto sesso in questi giorni!!!
FFSS: Che mi hai portato a fare sopra a Posillipo se non mi vuoi più bene?
PPPSSS (serio): reinstallando, ho abolito definitivamente SpamPal, è mooooolto più facile cancellare lo spam che gesatie il software (poi magari è colpa mia, non so)
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Postdi Mikizo » 22/08/02 23:21

Per quanto mi riguarda, mi hanno beccato solo l'account di katamail (che ha due anni, e cmq mi arriva spam solo da un paio di mesi).
Per il resto, ancora pulito...
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Prossimo

Torna a Sicurezza e Privacy


Topic correlati a "The (anti-)spam world thread":


Chi c’è in linea

Visitano il forum: Nessuno e 64 ospiti