Condividi:        

The (anti-)spam world thread

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi dado » 18/10/02 11:04

Infatti dalla Corea ancora nessuna risposta, neppure in automatico... asiatici del cappero!! :evil:
Oggi ho subito un vero e proprio attacco spammoso: 8 email di spam nel giro di poche ore. Ho fatto partire 6 email verso diversi abuse... e tra le risposte che mi sono arrivate, c'era questa (premetto che è un pò lunga, ma magari può essere utile/illuminante):

Customers receiving spam in their mailboxes (FAQ)


1.What is "unsolicited e-mail" or "spam"?


Unsolicited e-mail is any e-mail message received where the recipient did not specifically asked to receive it. Such e-mails are often sent in bulk e-mail form and are being sent to a large number of addresses at once.


2.What should I do when I receive spam?


Here is a list of things you should do when you receive spam:


You can ask to be removed from their mailing lists, however, in most cases the spammers forge the e-mail headers, use temporary/fake accounts, among other things to avoid the complaints that follow every mailing, so when you request removal, your e-mail will bounce.

You can copy the entire header of the message and send it to SpamCop or ORDB if the headers are not forged and they can determine the source (usually an open relay mailserver) they will list it in their database. (see http://www.ordb.org or http://spamcop.net for more information). Netspace subscribes to the above service, which means our servers will not accept any e-mails from sources listed by ORDB or any of the blacklists we subscribe to. Go to http://www.netspace.net.au/helpdesk/spam/FAQ.shtml to see how you can extract headers from the e-mail. Alternatively, you can visit http://www.3dmail.com/spam. This site allows you to copy the header of the e-mail there, and it will try to track the source for you. If it does find suspicious sources it gives you an option to report them to ORDB.

Browsing filtering software such as NetNanny, Norton Internet Security etc. can help to keep your private information private, and include parental controls. Norton Internet Security also has inbuilt Firewall and Anti-Virus Software. Please visit http://www.symantec.com.au & http://www.netnanny.com for more information about the above mentioned software.

You can install some sort of e-mail filtering software that will check your incoming e-mail and automatically and delete the unwanted messages, however, please be aware that such filtering systems may occasionally delete a legitimate e-mail. For example, a bulk e-mail from a friend sending some sort of information to everyone in his/hers address book. Examples of such software are: Postal Inspector (for MS Outlook), Active E-mail Monitor etc. Go to http://tucows.netspace.net.au/spam95.html for more.

Most e-mail programs can be setup in a way that if an e-mail contains an attachment, the program will only download the header, which then enables you to decide whether you want this file or not. If not, then you can simply just delete it, and the e-mail will be removed from the server. This can save your online modem time because you're not spending your precious time by downloading large attachments, which you did not request. For instructions on how to do this go to http://www.netspace.net.au/helpdesk/spam/FAQ.shtml.

If you only receive spam once in a while, the best course of action is probably just to ignore and delete it.


3.Where do these people get my e-mail address?


There are several ways spammers can obtain your e-mail address. Some of the most common ways are:

Spammers run programs that collect e-mail addresses out of Usenet posting headers

Use web crawling programs that look for mailto: codes in HTML documents

Rip them out of online directory listings, such as "White Pages"

Buy a list from someone who already has one. Please note that Netspace does not sell e-mail addresses to anyone under any circumstances.

Take them without your knowledge when you visit their website. For the latest on web browser security issues, see http://www.cert.org

Collect member names from online "chat rooms"


4.How do I keep my e-mail address off the lists?


If you do a lot of web browsing, be careful about filling out forms, always read the "Terms & Conditions" on the site you are signing up with, so you know exactly how the information you supply will be used. Always download the latest security updates for your software, especially the browser. If you post to newsgroups or use IRC and you don't necessarily want to be contacted via e-mail it may be a good idea to use a fake address or a different e-mail address, such as Hotmail.


5. Can Netspace block spam?


Netspace subscribes to SpamCop, ORDB and DSBL services to minimise the amount of spam coming into our system, which prevents well known spam sources (open relays) from sending to our users. Please see http://spamcop.net, http://www.ordb.org and http://dsbl.org for more information about these services. These databases contain over 200,000 known sources of spam, and they process 150 to 300 million e-mails daily. Unfortunately, some spammers still manage get through the system by faking e-mail headers, which makes it almost impossible to track them.

To show you how effective our system is here are some stats. Netspace delivers about 70,000 messages daily, on average. About 5000 are being rejected because they are blacklisted with SpamCop, ORDB or DSBL. That's 7.1% of all e-mail going through our system. As you can see the system works very effectively and we are doing the best we can to fight it.


If you're not a Netspace customer please send e-mail to abuse-team@netspace.net.au

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Sponsor
 

Postdi hexen » 19/10/02 16:32

Ecco il quotidiano spam:
Codice: Seleziona tutto
Received: (qmail 26338 invoked from network); 19 Oct 2002 10:57:46 -0000
Received: from unknown (HELO websvr-01.sexhost.st) (80.18.23.220)
  by mail.interfree.it with SMTP; 19 Oct 2002 10:57:46 -0000
Received: from XO-Team (dialup-1-1526.elitel.biz [212.183.173.246])
   by websvr-01.sexhost.st (8.11.6/8.11.6) with SMTP id g9JAnCV23291
   for <***@interfree.it>; Sat, 19 Oct 2002 12:49:12 +0200
Message-Id: <200210191049.g9JAnCV23291@websvr-01.sexhost.st>
From: serena.xxx@iol.it
Subject: il mio nuovo sito :-)
To: ***@interfree.it
Content-Type: multipart/alternative;
 boundary="=_NextPart_2rfkindysadvnqw3nerasdf";
   charset="windows-1252"
MIME-Version: 1.0
Date: Sat, 19 Oct 2002 12:58:06 +0200
X-Priority: 3
X-Mailer: Bulk Email EX
X-Mailer: Bulk Email EX
X-SpamPal: PASS       


non so se l'ip sia 80.18.23.220 (interbusiness.it, abuse*at*interbusiness.it)
oppure 212.183.173.246 (elitel.bz, postmaster*at*elitel.bz)

invio il lart a entrambi??
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi Frengo78 » 19/10/02 16:42

il programma di zello dice

Codice: Seleziona tutto
*********
In line: Received: (qmail 26338 invoked from network); 19 Oct 2002 10:57:46 -0000
Useless qmail received line
**********
Analyzing:
Sender (or dispatching mailserver) IP:80.18.23.220
He/she/it has said to be :websvr-01.sexhost.st
Receiving mailserver [by]:mail.interfree.it
Listed in:
*  blackholes.five-ten-sg.com
80.18.23.220 is a dialup, stopping analysis
******************
*****RESULTS******
******************
- 80.18.23.220(host220-23.pool8018.interbusiness.it): Spam source
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum:      80.18.23.208 - 80.18.23.223
netname:      HELVETIA-COMMUNICATION-SRL
descr:        HELVETIA COMMUNICATION SRL
country:      IT
admin-c:      GD177-RIPE
tech-c:       GD177-RIPE
status:       ASSIGNED PA
mnt-by:       INTERB-MNT
notify:       network@cgi.interbusiness.it
changed:      network@cgi.interbusiness.it 20011227
source:       RIPE

route:        80.18.0.0/15
descr:        INTERBUSINESS
origin:       AS3269
notify:       network@cgi.interbusiness.it
mnt-by:       INTERB-MNT
changed:      claudio.ciotola@telecomitalia.it 20010813
source:       RIPE

person:       Giuseppe Dell'Orto
address:      HELVETIA COMMUNICATION SRL
address:      VIA GIUSEPPE RILLOSI, 14
address:      I- 24128  BERGAMO
address:      Italy
phone:        +39 011 2272700
fax-no:       +39 011 2272700
nic-hdl:      GD177-RIPE
changed:      domain@cgi.interbusiness.it 20011227
source:       RIPE



-------------------


Interbusiness direi
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi hexen » 19/10/02 16:44

Frengo78 ha scritto:il programma di zello dice [cut]


ma people.it dice che l'ip è 212.183.173.246 e in effetti fa parte dell primo received in ordine cronologico :)
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi hexen » 19/10/02 18:29

e poi questo:
Codice: Seleziona tutto
Received: (qmail 29628 invoked from network); 19 Oct 2002 17:08:08 -0000
Received: from unknown (HELO helimore1740.com) (63.100.194.218)
  by mail.interfree.it with SMTP; 19 Oct 2002 17:08:08 -0000
From: "DR. SOLA COLE" <socole1@rediffmail.com>
Reply-To: coles1@mail.com
To: ***@interfree.it
Date: Sat, 19 Oct 2002 18:14:42 +0100
Subject: **SPAM** COLE***
X-Mailer: Microsoft Outlook Express 5.00.2919.6900 DM
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
X-SpamPal: SPAM OSIRU 63.100.194.218 


newskies.com, uu.net o wcom.com??
se solo capissi che significano "upstream" e downstream" nell'output del programma...
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi zello » 20/10/02 13:29

ma people.it dice che l'ip è 212.183.173.246 e in effetti fa parte dell primo received in ordine cronologico

E ha ragione, porca puttana. E' la lista di dialups di blackholes.five-ten-sg.com che comincio a pensare che sia un po' inattendibile, è il secondo ip che mi segnala come dialup quando non lo è (e automaticamente questo arresta l'analisi). Facciamo così: chi ha il programma installato apre regedit, va su:
HKEY_CURRENT_USER\Software\Zello\Abuse\Test\blackholes.five-ten-sg.com
Sceglie la chiave 127.0.0.3 con un doppio click
Sostituisce l'entry (che dovrebbe essere DIALUP) con LISTEDUNKNOWN (o anche con NOTLISTED, obiettivamente cambia poco).
E poi riavvia il programma.

Dopodiché il problema è risolto.


se solo capissi che significano "upstream" e downstream" nell'output del programma...

Significa che la classe di IP appartiene all'upstream, che lo ha subaffittato in parte al downstream. Logicamente puoi lamentarti con tutti e due (di solito ci si dovrebbe lamentare con il downstream, e se non fa niente scalare la cosa all'upstream - nella pratica mi lamento sempre con entrambi, e a volte con il solo upstream, soprattutto se il downstream è moolto piccolo).

Ciao

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Triumph Of Steel » 20/10/02 14:29

Scusate.. sicuramente sarà già stato scritto... ma come forse già detto non seguo questo 3d da un po'...

Virus sicuramente:

Header
Codice: Seleziona tutto
Return-Path: <>
Received: by mail.tiscali.it (6.5.026) id 3DAE56B5002CF229 for IlDioThoR*che_usa*tiscali*punto*it; Sun, 20 Oct 2002 15:18:34 +0200
From: Mail Delivery Service <postmaster@mail.tiscali.it>
Subject: Delivery Status Notification
To: IlDioThoR*che_usa*tiscali*punto*it
Date: Sun, 20 Oct 2002 15:18:34 +0200
Message-ID: <3DAE56B5002CF228@mail-8.tiscalinet.it>
MIME-Version: 1.0
Content-Type: Multipart/Report; report-type=delivery-status; boundary="=========3DAE56B5002CF227/mail.tiscali.it"


AbuseTools by Z3ll0
Codice: Seleziona tutto
No Results


D'oh!
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi Frengo78 » 20/10/02 15:50

Risolviamo a mano ma attendiamo una nuova release zello ;)
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi dado » 20/10/02 18:39

Zello... mi chiedevo... non è che vista la mole di email che sto facendo partire in qs giorni verso gli abuse x lamentarmi della spazzatura che mi arriva, alla fine poi blacklistano il mio IP invece di quello dello spammer?!?!? :lol:

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 20/10/02 21:58

Dado, se in bl non ci sono finito io... :)
Return-Path: <>
Received: by mail.tiscali.it (6.5.026) id 3DAE56B5002CF229 for IlDioThoR*che_usa*tiscali*punto*it; Sun, 20 Oct 2002 15:18:34 +0200
From: Mail Delivery Service <postmaster@mail.tiscali.it>

Beh, tecnicamente il mio programma ha ragione: non c'è nessun IP. Ti viene dritto dritto da tiscali stesso, direi (è un bounce? l'origine è nell'allegato)

Ciao
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi hexen » 21/10/02 17:14

mi mancavano le cacche da edisontel:

Codice: Seleziona tutto
Return-Path: <katya@grhsylv.com>
Received: from [194.20.8.26] (HELO db2.inet.it)
  by infinito.it (CommuniGate Pro SMTP 3.5.9)
  with ESMTP id 5291879 for ***@infinito.it; Mon, 21 Oct 2002 00:23:57 +0200
Received: from  [::ffff:62.94.3.123] by db2.inet.it via I-SMTP-4.3.0-430
   id ::ffff:62.94.3.123+KDIqwYm136DuJ; Mon, 21 Oct 2002 00:23:58 +0200
From: "katia" <katya@grhsylv.com>
To: ***@infinito.it
Date: Mon, 21 Oct 2002 00.24.22 +0200
Subject: Re:
X-Mailer: MailXSender 1.06
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
Message-ID: <auto-000005291879@infinito.it>
X-SpamPal: PASS         
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi Frengo78 » 21/10/02 17:24

Zello, come mi libero di smilepop???
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi zello » 22/10/02 09:10

Sparandogli. Sono list-on-sight, cioé ogni volta che cambiano provider finiscono in blacklist ancora prima di cominciare a spammare - comportamento riservato a chi spamma tantissimo da moltissimo tempo.
SPEWS (Spam Prevention Early Warning System) li lista: qui trovi il commento. Da notare che a volte si fanno chiamare yourbigvote.com. Dall'entry di SPEWS:
Spamming. Host feels junk emailing to a 20-million address
list is legal and proper.

SPEWS has a big vote too; SPEWS votes "no"


Non so chi siano gli amministratori di SPEWS, ma devo loro una birra.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Spam mail quasi richiesta...

Postdi formiche » 22/10/02 09:15

Ciao a tutti,

ho un problemino: tempo fa mi ero iscritto ad una specie di newsletter, ed ora, volendomi cancellare, ho seguito il link che diceva "per cancellarti clicca qui".

Premetto che inizialmente il servizio lo avevo richiesto IO, per cui ho pensato che come mi ero iscritto, potevo tranquillamente cancellarmi...

Ed invece, guardacaso il link non funziona: ho scritto al responsabile del sevizio ma nessuna risposta...

Ora, visto che questa societa' ha un proprio mail server (xxx.societa.it), posso in ogni caso scrivere una mail al servizio abuse? Sicuramente se ne fregheranno...
Utilizzando ipwhois.exe (grazie zello, funziona molto bene !!!!), scopro che l'IP e' stato assegnato a fastweb o qualcosa del genere (c'e' un indirizzo di Milano)... che faccio, scrivo a loro ????

ciao, michy.

P.S. : dove siete allo SMAU?
formiche
Utente Junior
 
Post: 86
Iscritto il: 30/08/02 11:54
Località: dintorni di Eporedia

Postdi Frengo78 » 22/10/02 09:34

Zello, io gli sparerei volentieri. Ricevo da loro una mail al giorno. Saranno anche listati ogni volta che cambiano provider ma allora perche le loro mail continuano ad arrivare nella mia casellina tiscali?
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi zello » 22/10/02 15:21

Frengo, Tiscali non usa blacklists - ecco perché ci ho aperto sopra una spamtrap ;) . Fossi in te installerei SpamPal (http://www.spampal.org.uk) - se decidi di farlo, vai nelle opzioni, lista delle DNSBL, e togli spamcop - o buona parte delle mails legittime finiranno dritte tra lo spam (SpamCop è troppo aggressiva, fastweb ci finisce un giorno si e uno no).


scopro che l'IP e' stato assegnato a fastweb o qualcosa del genere (c'e' un indirizzo di Milano)... che faccio, scrivo a loro ????

Secondo me sì - la possibilità di unsubscribe deve essere semplice. Se la lista fa capo ad un sito, scrivi prima gentilmente al relativo webmaster, esponendogli il problema. Solo se vieni ignorata, o trattata male, o hai solo bounces, scrivi all'abuse, allegando anche la corrispondenza (o i bounces che provano l'impossibilità a disinscriversi). Almeno questo è il mio parere - altri andrebbero subito per l'abuse.

E grazie per i complimenti.

Ciao

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi hexen » 22/10/02 15:57

stavolta serena mi ha scritto 4 ( :!: :!: ) volte chiedendosi perché il suo sito (del quale aveva spammato l'indirizzo ieri) sia stato oscurato (chissa perché)
Codice: Seleziona tutto
Received: (qmail 27086 invoked from network); 21 Oct 2002 21:57:22 -0000
Received: from unknown (HELO mail4.elitel.it) (212.34.224.142)
  by mail.interfree.it with SMTP; 21 Oct 2002 21:57:22 -0000
Received: (qmail 81104 invoked by uid 89); 21 Oct 2002 21:57:11 -0000
Received: from unknown (HELO XO-Team) (212.183.175.60)
  by 212.34.224.142 with SMTP; 21 Oct 2002 21:57:10 -0000
From: serena.xxx@jumpy.it
Subject: ma che gli ho fatto ?
To: ***@interfree.it
Content-Type: multipart/alternative;
 boundary="=_NextPart_2rfkindysadvnqw3nerasdf";
   charset="windows-1252"
MIME-Version: 1.0
Date: Mon, 21 Oct 2002 23:57:33 +0200
X-Priority: 3
X-Mailer: Bulk Email EX
X-Mailer: Bulk Email EX
X-SpamPal: PASS   


abuse*at*elitel.it

poi questo:
Codice: Seleziona tutto
Return-Path: <Anna34123211015n47@virgilio.it>
Received: from [200.207.83.168] (HELO virgilio.it)
  by infinito.it (CommuniGate Pro SMTP 3.5.9)
  with SMTP id 5841125; Tue, 22 Oct 2002 14:26:55 +0200
Reply-To: "Anna" <Anna34123211015n47@virgilio.it>
Message-ID: <035d04e82e5d$6222d2e1$2cc36ad0@mcnmol>
From: "Anna" <Anna34123211015n47@virgilio.it>
To: undisclosed332@hotmail.com
Subject: Guarda che roba                                   
Date: Tue, 22 Oct 2002 18:21:00 -0600
MiME-Version: 1.0
Content-Type: text/plain;
   charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
X-Priority: 3 (Normal)
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.00.2615.200
Importance: Normal
X-SpamPal: PASS                           


inviato a un bel po' di persone da un dialup, ma il prg di zello non trova info sull'abuse :)
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi zello » 22/10/02 16:01

volte chiedendosi perché il suo sito (del quale aveva spammato l'indirizzo ieri) sia stato oscurato

Inaffidabile questa internet :lol:


il prg di zello non trova info

A casa ci guardo (mmh, i tuoi headers me lo mandano sempre in palla :) )
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi zello » 23/10/02 12:08

mmh, ci ho tirato un occhio (e quello che ho visto non mi è piaciuto neanche un po'). Il registro brasiliano restituisce i dati in un formato strano (il mio primo commento aveva un altro tono...). Sto modificando (falso, ho già modificato) il tutto, ma - visto che sto facendo anche molte altre modifiche - non uploaderò tutto fino a che non ho inserito anche quelle.
PS: ma vi sembra che se uno possiede 35 netblocks diversi, chiedendone uno debbano saltare fuori tutti e 35?
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi hexen » 23/10/02 15:09

adesso edisontel ha l'onore di essere nella mia BL personale: :evil:

Codice: Seleziona tutto
Received: (qmail 9178 invoked from network); 23 Oct 2002 01:33:49 -0000
Received: from unknown (HELO localhost.com) (62.94.3.14)
  by mail.interfree.it with SMTP; 23 Oct 2002 01:33:49 -0000
From: "davidpet" <***@interfree.it>
To: ***@interfree.it
Date: Wed, 23 Oct 2002 03.34.13 +0200
Subject: Look at me!!
X-Mailer: MailXSender 1.06
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
X-SpamPal: PASS 


Notare il "From:" Le altre vittime dello spam si vedranno ricevere la mail da me o da loro stessi??

ciao
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "The (anti-)spam world thread":


Chi c’è in linea

Visitano il forum: Nessuno e 66 ospiti