Condividi:        

The (anti-)spam world thread

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Postdi Nicola » 02/09/02 21:40

Provando un IP whois su samspade.org/t di 203.151.38.4 ha provato whois.arin.net che rimanda a whois.apnic.net che mi da l'access denied. Proviamo da samspade.org l'Ip whois 203.151.38.4 usando il programmino di Zello.. WhoIsIP --> (ancora in fase beta NON pubblica - wm) che funge ma che da DOS non so come copiare la schermata .. Se lo scarichi e dalla cartella dove è il prog. dai un bel test 203.151.38.4 te lo dice... (da prompt ms-dos)
Come si copia la schermata :-? :?:
Ciao, Niko
P.S.: e' arrivato frengo prima che finissi il post : 218.56.32.19 un bel IP whois di samspade.org/t che rimanda da whois.arin.net a whois.apnic.net che riesco a visualizzare solo sotto il prog. di zello o usando il sito di apnic.net http://www.apnic.net/apnic-bin/whois2.pl vi faccio esercitare a voi va :) :D :P ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Sponsor
 

Postdi Frengo78 » 02/09/02 21:53

Eccone un altra


Return-Path: <alibabamar@tin.it>
Received: from localhost.com (213.45.219.46) by mail.tiscali.it (6.5.026)
id 3D6DC708000EB1E8 for MIO@INDIRIZZO.it; Sat, 31 Aug 2002 18:08:29 +0200
Message-ID: <3D6DC708000EB1E8@mail-4.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: "marco" <alibabamar@tin.it>
To: MIO@INDIRIZZO.it
Date: Sat, 31 Aug 2002 18.12.08 +0200
Subject: altamente riservato
X-Mailer: MailXSender 1.06
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

e un altra
Codice: Seleziona tutto
Return-Path: <205454@545420.com>
Received: from mailnt.gpec.gda.pl (195.205.195.130) by mail.tiscali.it (6.5.026)
        id 3D6DC70800102335; Sun, 1 Sep 2002 03:31:22 +0200
Received: from ME (unverified [200.242.32.166]) by mailnt.gpec.gda.pl
 (EMWAC SMTPRS 0.83) with SMTP id <B0010514664@mailnt.gpec.gda.pl>;
 Sun, 01 Sep 2002 03:08:07 +0200
Date: Sun, 01 Sep 2002 03:08:07 +0200
Message-ID: <B0010514664@mailnt.gpec.gda.pl>
From: 205454@545420.com
Subject:SCAMBIA i tuoi messaggi....CONTATTA nuovi amici e amiche....
X-Priority: 1 (Highest)
Reply-To: youremail@email.com
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#MYBOUNDARY#"

Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Nicola » 02/09/02 21:58

Ip whois --> 213.45.219.46 mi passa da whois.arin.net a whois.ripe.net .
L'ultimo dice:
Codice: Seleziona tutto
Trying whois -h whois.ripe.net -V80.116.82.51 213.45.219.46
% This is the RIPE Whois server.
% The objects are in RPSL format.
% Please visit http://www.ripe.net/rpsl for more information.
% Rights restricted by copyright.
% See http://www.ripe.net/ripencc/pub-services/db/copyright.html

inetnum:      213.45.219.0 - 213.45.219.63
netname:      TIN
descr:        Telecom Italia S.p.A.
descr:        E@sy.ip service in OSPF Area 04
descr:        Wholesale service for ISP
country:      IT
admin-c:      BS104-RIPE
tech-c:       BS104-RIPE
status:       ASSIGNED PA
remarks:      Please send abuse notification to abuse*at*telecomitalia*dot*it
notify:       net_ti*at*telecomitalia*dot*it
mnt-by:       TIWS-MNT
changed:      network*at*cgi.interbusiness*dot*it 20000321
changed:      net_ti*at*telecomitalia*dot*it 20011019
source:       RIPE

route:        213.45.0.0/16
descr:        INTERBUSINESS
origin:       AS3269
mnt-by:       INTERB-MNT
changed:      cgiadmin*at*cgi.interbusiness*dot*it 20000118
source:       RIPE

person:       BBBEASYIP STAFF
address:      Via Val Cannuta, 250
address:      I-00100 Roma
address:      Italy
phone:        +39 06 36881
e-mail:       ripe-staff*at*telecomitalia*dot*it
nic-hdl:      BS104-RIPE
notify:       ripe-staff*at*telecomitalia*dot*it
changed:      net_ti*at*telecomitalia*dot*it 20001019
source:       RIPE

x frengo78 : modifica la mail in chiaro o cancellala direttamente mettendo mio@indirizzo.it . per velocizzare fai una ricerca con IE da modifica - trova a metti il tuo indirizzo e fai trova finche nn finisce (trova successivo).
Ciao, Niko.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Frengo78 » 02/09/02 22:03

e per continuare in allegria...

Codice: Seleziona tutto
Return-Path: <_in_saldi@tiscali.it>
Received: from localhost.com (80.117.228.72) by mail.tiscali.it (6.5.026)
        id 3D6DC74C00104102 for MIOINDIRIZZO@mail.it; Sun, 1 Sep 2002 05:42:13 +0200
Message-ID: <3D6DC74C00104102@mail-5.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: "info" <_in_saldi@tiscali.it>
To: MIOINDIRIZZO@mail.it
Date: Sun, 1 Sep 2002 05.39.53 +0200
Subject: occasione
X-Mailer: MailXSender 1.06
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

e..
Codice: Seleziona tutto
Return-Path: <Cher121@yahoo.com>
Received: from mx2.mail.yahoo.com (211.234.92.9) by mail.tiscali.it (6.5.026)
        id 3D6DC7080010F576 for Mioindirizzo@mail.it; Sun, 1 Sep 2002 09:05:56 +0200
Date: Sun, 1 Sep 2002 09:05:56 +0200 (added by postmaster@mail.tiscali.it)
Message-ID: <3D6DC7080010F576@mail-4.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: Cherylyn <Cher121@yahoo.com>
To: <mioindirizzo@mail.it>
Subject: Cher
MIME-Version: 1.0
Content-Type: text/html; charset="US-ASCII"
Content-transfer-encoding: 7bit
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Frengo78 » 02/09/02 22:16

e per continuare in allegria...

Codice: Seleziona tutto
Return-Path: <_in_saldi@tiscali.it>
Received: from localhost.com (80.117.228.72) by mail.tiscali.it (6.5.026)
        id 3D6DC74C00104102 for MIOINDIRIZZO@mail.it; Sun, 1 Sep 2002 05:42:13 +0200
Message-ID: <3D6DC74C00104102@mail-5.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: "info" <_in_saldi@tiscali.it>
To: MIOINDIRIZZO@mail.it
Date: Sun, 1 Sep 2002 05.39.53 +0200
Subject: occasione
X-Mailer: MailXSender 1.06
MIME-Version: 1.0
Content-Type: text/plain; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

e..
Codice: Seleziona tutto
Return-Path: <Cher121@yahoo.com>
Received: from mx2.mail.yahoo.com (211.234.92.9) by mail.tiscali.it (6.5.026)
        id 3D6DC7080010F576 for Mioindirizzo@mail.it; Sun, 1 Sep 2002 09:05:56 +0200
Date: Sun, 1 Sep 2002 09:05:56 +0200 (added by postmaster@mail.tiscali.it)
Message-ID: <3D6DC7080010F576@mail-4.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: Cherylyn <Cher121@yahoo.com>
To: <mioindirizzo@mail.it>
Subject: Cher
MIME-Version: 1.0
Content-Type: text/html; charset="US-ASCII"
Content-transfer-encoding: 7bit


e come se non bastasse tutto cio...

Codice: Seleziona tutto
Return-Path: <info@costruttori.it>
Received: from andrea (62.211.179.184) by mail.tiscali.it (6.5.026)
        id 3D6DC7670016C207 for MIOINDIRIZZO@tiscali.it; Mon, 2 Sep 2002 14:26:54 +0200
Received: from mail pickup service by andrea with Microsoft SMTPSVC;
    Sat, 31 Aug 2002 16:44:30 +0200
From: <info@costruttori.it>
To: <MIOINDIRIZZO@tiscalinet.it>
Subject: GUADAGNATI UNA RENDITA DEL 50% ANNUALE
Date: Sat, 31 Aug 2002 16:44:29 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;   boundary="----=_NextPart_000_36A0_01C2510D.AD12CB70"
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <ANDREAjmfCHJr1Wtyi600000da1@andrea>
X-OriginalArrivalTime: 31 Aug 2002 14:44:30.0151 (UTC) FILETIME=[E9A26570:01C250FC]


e se ancora non bastasse...

Codice: Seleziona tutto
Return-Path: <mandym210@iname.com>
Received: from iname-com.mr.outblaze.com (211.184.38.3) by mail.tiscali.it (6.5.026)
        id 3D6DC708001763F0 for mioindirizzo@tiscali.it; Mon, 2 Sep 2002 15:42:36 +0200
Date: Mon, 2 Sep 2002 15:42:36 +0200 (added by postmaster@mail.tiscali.it)
Message-ID: <3D6DC708001763F0@mail-4.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: Brady <mandym210@iname.com>
To: <mioindirizzo@tiscalinet.it>
Subject: Sometimes, not always, I like the idea of a chick... with a horse...
MIME-Version: 1.0
Content-Type: text/html; charset="US-ASCII"
Content-transfer-encoding: 7bit

Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Frengo78 » 02/09/02 22:19

8 mail di spam su 98 messaggi email ricevuti dal 29 ad oggi. Sono in media?
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Frengo78 » 03/09/02 00:53

Ogni giorno direttamente nella mia posta una bella mail di spam:
Codice: Seleziona tutto
Return-Path: <info.web@erotica.it>
Received: from andrea (62.211.179.90) by mail.tiscali.it (6.5.026)
        id 3D6DC708001A0CC6 for MIOINDIRIZZO@tiscali.it; Tue, 3 Sep 2002 01:31:53 +0200
Received: from mail pickup service by andrea with Microsoft SMTPSVC;
    Tue, 3 Sep 2002 01:31:56 +0200
From: <info.web@erotica.it>
To: <MIOINDIRIZZO@tiscalinet.it>
Subject: Ragazze SEXY dal vivo
Date: Tue, 3 Sep 2002 01:31:56 +0200
MIME-Version: 1.0
Content-Type: multipart/alternative;   boundary="----=_NextPart_000_108E8_01C252E9.B06F58A0"
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
Message-ID: <ANDREAf1Lgki9BGcFxr00003e2a@andrea>
X-OriginalArrivalTime: 02 Sep 2002 23:31:56.0665 (UTC) FILETIME=[ED40B690:01C252D8]


carini sti spammers, mi pensano sempre!
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi zello » 03/09/02 10:18

Nota introduttiva: whois.arin.net è giù, e non so perché. Esamino solo quelli che posso (ripe, apnic e lacnic). Inoltre qualche blocklist (osirusoft, per esempio) è giù. Non vorrei che ci fosse un DoS in atto...


Per Nicola, per copiare/incollare:
- metti il prompt dei comandi in finestra, selezioni il testo con il mouse, premi invio per copiarlo negli appunti
oppure
- ridirigi lo std output su un file, e poi copi incolli con blocco note (es. whoisIP 127.0.0.1 > out.txt , l'output va su out.txt)

Per la media di frengo: scherzi, ti invidio. Personalmente sono tornato dalle ferie con un 85% di spam sul totale della mail.

Poi comincio con un po' di analisi, dalla più recente alla più antica (e sotto con il collinelli, ragazzi!)

1) Post di frengo, subject ragazze SEXY dal vivo
Alias Medianet group, suppongo. Problema in fase di risoluzione, sembra.
Received: from andrea (62.211.179.90) by mail.tiscali.it

Allora, intanto:
Codice: Seleziona tutto
netname:      Telecom-Adsl
descr:        Telecom Italia
descr:        Accesso ADSL BBB
remarks:      Please send abuse notification to abuse-bbb*at*telecomitalia.it
remarks:      Please report spam/abuse notification to abuse*at*tin.it

E poi vediamo se telecom è finita in blacklist...
Codice: Seleziona tutto
62.211.179.90 (r-pd037-5b90.tin.it) not listed

No. Peccato
Scrivi anche - per conoscenza - a abuse*at*na.nic.it , archivio dello spam italiano (solo quello di provenienza italiana, mi raccomando)

----------------
2 - frengo, subject occasione (immagino CHE occasione)
Received: from localhost.com (80.117.228.72) by mail.tiscali.it (6.5.026)

Adoro le cose semplici.
Codice: Seleziona tutto
netname:      IT-TIN-20010806
descr:        Telecom Italia Net
descr:        Provider Local Internet Registry

Ancora? Vabbé, stavolta in effetti è interbusiness, e quindi abuse*at*interbusiness.it. E sempre ad abuse*at*na.nic.it

Notate: postare abuse a tin/telecom/interbusiness è come copiarli su /dev/null

3) Sempre frengo, subject Cher
Received: from mx2.mail.yahoo.com (211.234.92.9) by

Sì, yahoo mio nonno. 211 è asiatico di sicuro. In effetti è coreano. Da whois.nic.kr.or:
Codice: Seleziona tutto
[ ISP Organization Information ]
Org Name      : DACOM Corporation
Service Name  : BORANET
Org Address   : DACOM Bldg., 65-228 Hangangro 1ga Yongsan-Gu
[ ISP Network Abuse Contact Information ]
Name          : Miyeon Nam
Phone         : +82-2-6220-0101
Fax           : +82-6220-3489
E-mail        : security@bora.net

E' un proxy su porta 80, sembra.
Neanche hanno un abuse, solo un security. Aspetta che faccio una query anche su whois.abuse.net, per sicurezza:
Codice: Seleziona tutto
whois -h whois.abuse.net bora.net
security*at*bora.net (for bora.net)
abuse*at*bora.net (for bora.net)


4) Sempre frengo, subject GUADAGNATI UNA RENDITA DEL 50% ANNUALE (frengo, e tu butti via tutti questi soldi :lol: )
from andrea (62.211.179.184)

E' sempre l'emulo di Bobo Vieri su BBB che abbiamo trovato nel primo messaggio (un autentico coglione, direi). Ha solo ottenuto un altro IP (probabilmente è dinamico). E vai di abuse*at*tin.it, abuse-bbb*at*telecomitalia.it e abuse*at*na.nic.it.
PS: considerando il numero di lart che avranno mandato all'abuse (un paio le ho ricevute anch'io), notate bene come TIN/Telecom si sia ben guardata dal fare alcunché. C'è una terribile aria di Usenet Death Penalty (informatevi su cos'è).

5) sempre frengo, subj Sometimes, not always, I like the idea of a chick... with a horse...

Altra porcheria coreana, mi sa.
Received: from iname-com.mr.outblaze.com (211.184.38.3)

Che è un proxy non listato, porta 8080
Diagnosis
OPEN PROXY: The proxy server is accessible from cache.jp.apan.net. The proxy must be accessible to anyone.
It's not a good idea keeping it open.

Codice: Seleziona tutto
IP Address         : 211.184.38.0-211.184.38.127
Network Name       : HANYOUNG-FH
Connect ISP Name   : PUBNET
Connect Date       : 20001127
[ ISP IP Admin Contact Information ]
Name               : JUHYUN KIM
Phone              : +82-2-710-1416
Fax                : +82-2-702-4233
E-Mail             : abuse*at*pubnet.ne.kr


Note: le due successive (occasione e cher) sono le stesse già analizzate sopra.
Poi

6) sempre frengo, subject altamente riservato -> va bene l'analisi di Nico (oh, ma quanta *** ricevi da Tin, tu?)

7) ancora frengo, subject: SCAMBIA i tuoi messaggi....CONTATTA nuovi amici e amiche.... (no, thanx, il mio gatto mi basta e mi avanza)
Received: from mailnt.gpec.gda.pl (195.205.195.130) by mail.tiscali.it (6.5.026)
id 3D6DC70800102335; Sun, 1 Sep 2002 03:31:22 +0200
Received: from ME (unverified [200.242.32.166]) by mailnt.gpec.gda.pl

Nicola, mai visto quell'ME all'indirizzo 200.242.32.166? A memoria, direi abuse*at*embratel.net.br... ma controlliamo
Allora, 195.205.195.130 è chi dice di essere (mailnt.gpec.gda.pl), un tristissimo open relay polacco (mi sono appena collegato ed auto mandato una mail)
Codice: Seleziona tutto
descr:        Gdanskie Przedsiebiorstwo Energetyki Cieplnej GPEC
country:      PL
e-mail:       abuse*At*cst.tpsa.pl

Nel caso vogliate domandar loro se hanno qualcuno che oltre a saper aprire le scatolette sa anche configurare un mail server.
E il nostro mitico ME (200.242.32.166) - uno dei più grossi scassamaroni degli ultimi tempi (vado subito su registro.br):

Codice: Seleziona tutto
owner:       EMBRATEL-EMPRESA BRASILEIRA DE TELECOMUNICAÇÕES SA

Un mito. Spero che falliscano. abuse*at*embratel.net.br

8) ancora frengo, subject gli MP3 gratis da scaricare (continua: me li trovo da solo, grazie).
Received: from tin.it (218.56.32.19) by mail.tiscali.it (6.5.026)

E' l'unica volta che tin non c'entra, poverina. Mi sa che 218.56.32.19 è un open proxy asiatico, ma andiamo a vedere:
Codice: Seleziona tutto
netname:      CHINANET-SD
descr:        CHINANET shandong province network
descr:        China Telecom

Ah, ecco chi mi mancava, stamattina.
E ovviamente:
Codice: Seleziona tutto
Diagnosis
OPEN PROXY: The proxy server is accessible from cache.jp.apan.net. The proxy must be accessible to anyone.
It's not a good idea keeping it open.

Caution!!, The proxy is accessible to anyone. However it does not generate any variable which indicates the original client IP address. The software of the proxy must be changed. Otherwise, an access restriction must be established.

Favolosi. Questi cinesi sono fa-vo-lo-si.
shenjun@CNDATA.COM (for chinanet.cn.net)
anti-spam@ns.chinanet.cn.net (for chinanet.cn.net)
postmaster@chinanet.cn.net (for chinanet.cn.net)
[oops, mi sono dimenticato la @...]
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi zello » 03/09/02 10:25

Ah, mi ero dimenticato di dado, scusami.

Subject: Sexportal presenta Powerclick (ma vaff...)

inetnum: 203.151.38.0 - 203.151.38.255
netname: NIDA-TH
descr: National Institute of Development Admin

Thailandia. Amministratori dello sviluppo, eh? Mi sa che è meglio che amministrino i proxies. La porta 8080 è aperta, e infatti:

Diagnosis
OPEN PROXY: The proxy server is accessible from cache.jp.apan.net. The proxy must be accessible to anyone.
It's not a good idea keeping it open.

Caution!!, The proxy is accessible to anyone. However it does not generate any variable which indicates the original client IP address. The software of the proxy must be changed. Otherwise, an access restriction must be established.


Per lamentarsi:
abuse*at*inet.co.th (for inet.co.th)
postmaster*at*inet.co.th (for inet.co.th)
Ma quanti proxy aperti ci sono, in Asia?
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi dado » 03/09/02 11:40

Cavolo, lamentarsi sono quasi tutti asiatici... lamentarsi in Asia non serve ad una mazza: non capiscono un acca, sti asiatici....

Frengo78 ha scritto:8 mail di spam su 98 messaggi email ricevuti dal 29 ad oggi. Sono in media?


Un pò pochini.... impegnati di più e vedrai che risultati... :D

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 03/09/02 15:22

Allora, statistiche dopo un po' di lavoro su questo thread:
- filtrare fuori tutta l'asia
- filtrare fuori embratel.net.br
- e filtrare fuori tin/interbusiness
risolve circa il 90% del problema spam...

E naturalmente, per frengo:
- migliora le statistiche: fai un bel post su it.test con il tuo vero indirizzo!
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

è qui che si combatte lo spam?

Postdi Kurosawa » 03/09/02 16:47

ogni tanto su una mia casella di posta trovo messaggi non graditi (di preciso da quando una volta ho risposto ad un questionario inviato da buongiorno.it).
Ho scritto al mio provider (virgilio e mi hanno rimandato a dei link inutili).
Ho letto qui , mi pare fosse Zello, qualcosa per risalire tramite gli haeder e denunciare ai vari abuse e postmaster... tuttavia non sono un utente tanto pratico :oops: ...
cosa mi dite su questa?:


Da: 230703@030723.com
Data: 2 Sep 2002 21:08:00 -0600
A:
cc:
Oggetto: @@@ MIGLIAIA di mp3 DA ASCOLTARE SUBITO! @@@

Return-Path: <230703@030723.com>
Received: from smtp5.cp.tin.it (192.168.70.231) by ims1a.cp.tin.it (6.5.028)
id 3D5317BF00241830; Tue, 3 Sep 2002 05:08:19 +0200
Received: from thunder1.cudenver.edu (132.194.10.200) by smtp5.cp.tin.it (6.5.019)
id 3D72239F0016A8F4; Tue, 3 Sep 2002 05:08:16 +0200
Received: from ME ([200.242.32.19]) by thunder1.cudenver.edu with Microsoft SMTPSVC(5.0.2195.4453);
Mon, 2 Sep 2002 21:08:00 -0600
From: 230703@030723.com
Subject:@@@ MIGLIAIA di mp3 DA ASCOLTARE SUBITO! @@@
X-Priority: 1 (Highest)
Reply-To: youremail@email.com
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#MYBOUNDARY#"
Bcc:
Message-ID: <THUNDER1TVBGqjZk8Mh000008a8@thunder1.cudenver.edu>
X-OriginalArrivalTime: 03 Sep 2002 03:08:00.0909 (UTC) FILETIME=[1C8B5BD0:01C252F7]
Date: 2 Sep 2002 21:08:00 -0600
Avatar utente
Kurosawa
Utente Senior
 
Post: 547
Iscritto il: 26/08/02 08:03
Località: Regno delle Due Sicilie

Postdi zello » 03/09/02 18:16

ME ([200.242.32.19])

Per Nicola:
Ehi, Nico', guarda un po' chi si rivede!

E il nostro mitico ME (200.242.32.166) - uno dei più grossi scassamaroni degli ultimi tempi (vado subito su registro.br):

E' sempre lui, ha solo cambiato IP (probabilmente è dinamico).

Vabbé, prendiamola semplice.
Scrivi a
abuse@embratel.net.br [per i moderatori-> lo so, ho dimenticato @. Succede.]

Come dicevo, scrivi a
abuse@embratel.net.br
una bella mail siffatta:

Dear Sirs,
I've just received the attached unsolicited e-mail, coming from IP 200.242.32.166 in your Ip space.
I know that your customer is sending out spam at least since the beginning of summer, and I want you to apply your TOS, and stop him.
Thank you,

--
[la tua sig.]

---UCE---
[e qui incolli tutta la mail, compresi gli headers]

Inoltre, giusto per rompere anche un po' chi non sa configurare i mailservers (e che pure è l'Università del Colorado)

mail a postmaster*at*cudenver.edu (sostituisci *at* con @)

Dear Sirs,
I've received the following UCE. You can easily check that it's been routed by your mailserver at 132.194.10.200, which seems to be an open relay.
By the way, it's already listed by many DNS block lists, such as ORDB and SpamCop. It also means that spammers have abused it before, and will surely abuse it again.
Please fix it, or disconnect it from the internet.
Thank you,

--
[your sig.]

---UCE--- (e copi/incolli la mail con gli headers)

Bon, questo e' tutto.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi dado » 04/09/02 12:13

2 mail spammose, 2 mail!!!!! :o

1)
Return-Path: <233726@263723.com>
Received: from linser.kentex.com.tw (210.201.213.49) by mail.tiscali.it (6.5.026)
id 3D6DC79B0022DF66; Wed, 4 Sep 2002 06:02:31 +0200
Received: from ME ([200.216.87.125])
by linser.kentex.com.tw (8.11.0/8.11.0) with SMTP id g843dqA04068;
Wed, 4 Sep 2002 11:40:03 +0800
Date: Wed, 4 Sep 2002 11:40:03 +0800
Message-Id: <200209040340.g843dqA04068@linser.kentex.com.tw>
From: 233726@263723.com
Subject: --- PROPOSTE SESSUALI NON MERCENARIE ---
X-Priority: 1 (Highest)
Reply-To: youremail@email.com
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#MYBOUNDARY#"

2)
Return-Path: <10carla@libero.it>
Received: from [206.112.72.3] (206.112.72.3) by mail.tiscali.it (6.5.026)
id 3D6DC62F002FC7FD for xxx@tiscali.it; Wed, 4 Sep 2002 07:51:57 +0200
Message-ID: <3D6DC62F002FC7FD@mail-1.tiscalinet.it> (added by postmaster@mail.tiscali.it)
From: Stefy <10carla@libero.it>
To: Undisclosed Recipients
Cc:
Subject: [sesso-anonimo]
Sender: Stefy <10carla@libero.it>
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Date: Wed, 4 Sep 2002 07.51.57 +0200
X-Mailer: Microsoft Outlook Express 6.00.2600.0000

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 04/09/02 12:57

dado, ME è sempre lui, ma ha cambiato provider. OOps :)
abuse*at*telemar.net.br (for telemar.com.br)
admin*at*telemar.net.br (for telemar.com.br)
mlugon*at*telemar.com.br (for telemar.com.br)
mail-abuse*at*nic.br

210.201.213.49 è un open relay (yuhuu! ho testato il mio programma)
spam*at*ht.net.tw per lamentarti.

Per la seconda:
206.112.72.3 -> è un open proxy, porta 8080 (funziona, funziona, il mio programma funziona!)

abuse-mail*at*wcom.com (per uunet) per lamentarti.

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi dado » 04/09/02 23:42

zello ha scritto:
spam*at*ht.net.tw per lamentarti.


Noooo, ancora asiatici, stavolta taiwanesi!! Non serve a niente lamentarsi. Non capiscono una cippa!!

House: "Vede, tutti pensano che sia un paziente a causa del bastone"
Wilson: "Allora perchè non indossa un camice bianco come tutti noi?"
House: "Perchè altrimenti pensano che sia un medico".
Avatar utente
dado
Utente Senior
 
Post: 16208
Iscritto il: 21/08/01 01:00
Località: La Città dei Sette Assedi

Postdi zello » 05/09/02 09:50

Mi è arrivato or ora spam da un proxy malese (quasi quasi chiamo Salgari).

Ho piazzato tra i miei filtri TUTTA l'Asia (prima c'erano Cina e Corea) e TUTTO il Sudamerica.

Se continua così, un brasiliano al massimo potrà scrivere ad un cinese.

Ciao,

--
zello
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Triumph Of Steel » 05/09/02 10:48

Codice: Seleziona tutto
Return-Path: <051826@261805.com>
Received: from [209.216.151.8] (HELO canfence.canadianfence.lan)
  by infinito.it (CommuniGate Pro SMTP 3.5.9)
  with SMTP id 12750756; Thu, 05 Sep 2002 11:34:17 +0200
Received: from ME ([200.242.32.31]) by canfence.canadianfence.lan with Microsoft SMTPSVC(5.0.2195.2966);
    Thu, 5 Sep 2002 05:00:23 -0400
From: 051826@261805.com
Subject:>>>> MIGLIAIA di mp3 DA ASCOLTARE SUBITO! <<<<<
X-Priority: 1 (Highest)
Reply-To: youremail@email.com
X-Mailer: Microsoft Outlook Express 5.00.2615.200
MIME-Version: 1.0
Content-type: multipart/mixed; boundary="#MYBOUNDARY#"
Bcc:
Return-Path: 051826@261805.com
Message-ID: <CANFENCETuHZncJfKHm0000528c@canfence.canadianfence.lan>
X-OriginalArrivalTime: 05 Sep 2002 09:00:25.0132 (UTC) FILETIME=[AC4F3EC0:01C254BA]
Date: 5 Sep 2002 05:00:25 -0400

preciso che mi è arrivata insieme ad un allegato che molto probabilmente era un Dialer (ovviamente non scaricata, ma vista con MailWasher)
Avatar utente
Triumph Of Steel
Moderatore
 
Post: 7852
Iscritto il: 22/08/01 01:00

Postdi Nicola » 05/09/02 11:25

Codice: Seleziona tutto
Received: from ME ([200.242.32.31]) by canfence.canadianfence.lan with Microsoft SMTPSVC(5.0.2195.2966);


Dovrebbe essere il solito ME brasiliano ... ma quel server mail mi puzza .. NON ESISTE :evil:
Allora c'è da considerare questa :
Codice: Seleziona tutto
Received: from [209.216.151.8] (HELO canfence.canadianfence.lan)
  by infinito.it (CommuniGate Pro SMTP 3.5.9)
  with SMTP id 12750756; Thu, 05 Sep 2002 11:34:17 +0200

Mi sa che hanno fatto na trafila di Mail-Server .... :D
Cmq l'IP dovrebbe essere 209.216.151.8 che all'HELO si è fatto riconoscere come canfence.canadianfence.lan...
Aspetto conferme di Zello,
Ciao, Nicola..
P.S.: Il whois di 209.216.151.8 è il seguente:
Codice: Seleziona tutto
Trying whois -h whois.arin.net 209.216.151.8

OrgName:    WINCOM
OrgID:      WNCM

NetRange:   209.216.128.0 - 209.216.159.255
CIDR:       209.216.128.0/19
NetName:    WINCOM-AS-1
NetHandle:  NET-209-216-128-0-1
Parent:     NET-209-0-0-0-0
NetType:    Direct Allocation
NameServer: NS1.WINCOM.NET
NameServer: NS2.WINCOM.NET
Comment:    ADDRESSES WITHIN THIS BLOCK ARE NON-PORTABLE
RegDate:    1998-03-27
Updated:    2001-03-07

TechHandle: GK11-ARIN
TechName:   Kowalsky, Gerald
TechPhone:  +1-519-972-1007
TechEmail:  gerry*at*wincom*dot*net

# ARIN Whois database, last updated 2002-09-04 19:05
# Enter ? for additional hints on searching ARIN's Whois database.
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 05/09/02 11:48

nuncepossocrede'!

Ancora ME
Received: from ME ([200.242.32.31]) by canfence.canadianfence.lan with


Da embratel.net.br

abuse@embratel.net.br
mail-abuse*at*nic.br

Quello di mezzo mi sa di open relay:
Codice: Seleziona tutto
209.216.151.8 - mail.canadianfence.com is listed on relays.ordb.org as 127.0.0.2
Comments: bThis mail was handled by an open relay - please visit <http://ORDB.or
g/lookup/?host=209.216.151.8>

[che bello usare i miei tools]
abuse*at*wincom.net (for wincom.net)
postmaster*at*wincom.net (for wincom.net)
Per farlo chiudere
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "The (anti-)spam world thread":


Chi c’è in linea

Visitano il forum: Nessuno e 13 ospiti