Spam?

[disgrazia]

Mi è arrivata 'na mail stranissima: mittente sconosciuto, non indirizzata a me, oggetto "Hi", corpo del messaggio (plain text) "hi". Niente altro.

Beh, se questo è spam non capisco veramente cosa ci sia dietro... persuasione occulta? O semplicemente l'eventuale spammer vuole giocare sulla curiosità del ricevente, che magari potrebbe rispondere "chi sei?"? O non è spam? Effettivamente mi ha incuriosito...

Posto l'header cammuffando gli indirizzi. Di più per ora non so fare, magari appena ho un po' di tempo (tesi di m***a!!! ) mi metto a imparare un po' di abuse & affini.

Return-Path: <Kristopher**at**hotmail**dot**com>
Received: from smtp4.libero.it (193.70.192.54) by ims1c.libero.it (7.0.019)
id 3F3B6B9D00EB766F; Wed, 8 Oct 2003 18:20:30 +0200
Message-ID: <3F3B6B9D00EB766F@ims1c.libero.it> (added by postmaster**at**libero**dot**it)
Received: from sender61 (68.78.102.105) by smtp4.libero.it (7.0.020-DD01)
id 3F58BD6103DFD3D1; Wed, 8 Oct 2003 18:20:29 +0200
From: Kristopher**at**hotmail**dot**com
Subject: Hi
Content-Type: text/plain
Content-Transfer-Encoding: text/plain
Date: Wed, 8 Oct 2003 00:20:25 -0700
X-Priority: 3
X-Library: Indy 10.00.14-B
To: user
X-Mailer: (9.0.2910.0)

[dado]

Abuse dice:

**********

Analisi di:

IP del mittente (o del mailserver che consegna):193.70.192.54

Ha detto di essere :smtp4.libero.it

Mailserver che riceve [by]:ims1c.libero.it

Listato da:

* blackholes.five-ten-sg.com

* relays.osirusoft.com

193.70.192.54 è un open relay conosciuto

**********

Analisi di:

IP del mittente (o del mailserver che consegna):68.78.102.105

Ha detto di essere :sender61

Mailserver che riceve [by]:smtp4.libero.it

Indice di autenticità della linea :100%

Listato da:

* relays.osirusoft.com

68.78.102.105 è un open relay conosciuto

******************

****RISULTATI*****

******************

- 193.70.192.54(smtp4.libero.it): Open relay

Cerco contatti di abuse nella cache

Nessun risultato nella cache

Abuse address probabile: staff@iunet.it

- 68.78.102.105(adsl-68-78-102-105.dsl.emhril.ameritech.net): Open relay

Cerco contatti di abuse nella cache

Nessun risultato nella cache

Abuse address probabile: IPAdmin-Ameritech@sbis.sbc.com

Abuse address probabile: abuse@ameritech.net

[zello]

Dado, togli osirusoft dalle liste!
o cancelli la chiave relays.osirusoft.com da HKCU/!pc-facile/Abuse/dnsbl, oppure scarichi l'ultima versione (che lo cancella in automatico).

68.78.102.105 è l'origine, una dsl su ameritech (non ho buoni ricordi con ameritech) probabilmente dinamica. O è uno spammer che usa ratware particolarmente scritto male, o è un test, o è così stupido che spera che tu risponda. Ammesso che non sia dinamico (o che sia sticky, cosa frequente nelle dsl) è una macchina windows (di classe NT) con alcune porte aperte dietro ad un personal firewall.

Ciao.

[dado]

Dado, togli osirusoft dalle liste!

Fatto, capo! Ma come mai?

[zello]

Joe Jared di osirusoft, dopo settimane di dDoS continui, ha deciso di chiudere la lista. Ma per far pressione perché la gente smettesse di usarla, ha blacklistato 0/0, cioè l'intero spazio internet... Ogni query a relays.osirusoft.com ritorna risposta positiva:

Avevo anche scritto un articolo in proposito, poi l'ho mandato al wm e l'ho cancellato, e mi sono dimenticato di dirgli di postarlo al mio posto.

[disgrazia]

Scusate, non capisco una cosa...

se non ho capito male, 193.70.192.54 è innocente ed è veramente smtp4.libero.it, mentre 68.78.102.105 è lo spammer.

Ma allora perché 68.78.102.105 è blacklistato solo da osirusoft che dà risultati sbagliati, mentre 193.70.192.54 è blacklistato anche da blackholes.five-ten-sg.com ?

[zello]

Perché tin/interbusiness/telecom italia sono blacklistati per ottime ragioni in un sacco di blacklists estere.
Non solo sono strapiene di open proxies ultra noti, ma abuse<at>interbusiness.it e abuse<at>telecomitalia.it rimbalzano per mailbox full praticamente sempre. Non mi ricordo di una segnalazione che sia una che abbia avuto un effetto qualsiasi.
Dal punto di vista di un americano, obiettivamente, usare interbusiness.blackholes.us (che blacklista TUTTA interbusiness) non è dopotutto una cattiva idea.