серпня 2
|
СПАМ і підстановка e-mail адрес |
Сьогодні на нашу службу технічної підтримки обрушилися сотні листів, від користувачів такого змісту:
Добридень!
З поштової скриньки support@ukraine.com.ua в вашому домені здійснюються спам-розсилки, здирницькі характеру.
Нижче наводжу текст листа. Відправник листа підроблений, проте варто вжити заходів!--- Пересланное сообщение ---
Від кого: support@ukraine.com.ua
Тема: Re: Попередження XXXXXXXXXXXXXX.RUШановний адмін сайту http://xxxxxxxxxxx.ru Я - адміністратор ukraine.com.ua,
є головним хостером в Україні, а також почесним членом арбітражу,
платіжної системи WebMoney, логін - FrichX, заявляю Вам, як
адміністратору сайту creditvopros.ru, про те, що рассполагаю
компрометуючі матеріали, щодо Вашої діяльності в мережі
Інтернет, які нам люб'язно надав Ваш хостинг-провайдер
xxxxxxxxxxxx.ru.Пропоную Вам, добровільно розмістити посилання, спрямовані на сайти
що сприяють розвитку платіжної системи WebMoney і боротьбі з механізмами
сетьевого шахрайства, для призупинення всіх негативних процесів, які були вже
активовані щодо Вашого домену і WMID!Далі йде іншу маячню хворого і неграмотного людини, який приводити ми не будемо.
На жаль, більшість листів які ми отримали на 30% складається з "у мене немає сайту, я тільки недавно купив домен" або "я не користуюся webmoney", на 60% листів з неперекладної ненормативної лексики і 10% з веселих відповідей "палиш" або "Класна трава у Вас в Україні зростає". Хотілося б звичайно, щоб одержувачі листів більш адекватно могли розпізнавати спам листи і просто видаляти їх. Проте, звинувачувати тих, хто висловлювався негативно ми не будемо, так як розуміємо, що нікому не подобається коли йому загрожують.
Як шахраям вдалося використати Ваш e-mail?
В реальності ніхто не використовував наш e-mail і ніхто не ніс у собі листи з наших серверів, поштовий протокол дозволяє в поле from (відправник) поставити будь-який e-mail адресу. Для того, щоб відрізнити справжність листа досить подивитися на його службові заголовки, в яких вказується, з якого сервера було відправлено листа. Поштові програми ховають службові заголовки і для того, щоб їх переглянути, необхідно в поштовій програмі вибрати режим перегляду оригінального повідомлення або перегляду листи в форматі RFC.
Нижче представлений фрагмент заголовків листа, які переслав один з одержувачів цього листа:
Received: from mxfront65.mail.yandex.net ([127.0.0.1])
by mxfront65.mail.yandex.net with LMTP id 2rFKl61r
for; Mon, 2 Aug 2010 14:02:53 +0400
Received: from nastya.megahost.kz (nastya.megahost.kz [95.59.26.2])
by mxfront65.mail.yandex.net (Yandex) with ESMTP id 077046AB80C1
for; Mon, 2 Aug 2010 14:02:53 +0400 (MSD)
Received: from cripo114 by nastya.megahost.kz with local (Exim 4.72 (FreeBSD))
(envelope-from)
id 1Ofrr9-0008BB-OU
for xxxxxxxxxxx@yandex.ru; Mon, 02 Aug 2010 15:02:51 +0500
From: support@ukraine.com.ua
Як видно по заголовкам СПАМ розсилався від хостинг провайдера, який розташований в Казахстані, але ніяк не з наших серверів.
позитивні моменти
Що ми зробили для того, щоб заблокувати можливість підстановки нашого e-mail адреси при відправці пошти сторонніми поштовими серверами? Ми налаштували свій домен так, щоб сучасні поштові сервіси (такі як gmail.com, yandex.ru, mail.ru і інші) фільтрували пошту, яка відправлена ні з нашого поштового сервера. На жаль на сьогоднішній день це відносно нова технологія і тому її підтримує відносно невелика кількість серверів.
Коментарі
Рад был сотрудничать, осталость только найти адрес по этому IP, и принять меры)))
К сожалению, я уже разместила комментарий - предупреждение. Поэтому, считаю, что надо разместить и Ваш ответ, со ссылкой на эту страницу. С тем, чтобы те, кто подвергается атаке этого "молодца", не обращали свой гнев против Вас. То есть тех, кто к этому не имеет никакого отношения.
Я думаю, что информация будет полезна и Управлению "К" при МВД РФ, так как присекать подобные виды преступлений находится в их компетенции.
Успехов всем.
в России быстро занялись бы этим делом, Отдел К
Я - администратор ukraine.com.ua, являюсь главным хостером в Украине, а также почетным членом арбитражной комиссии, платежной системы WebMoney, псевдоним - FrichX, заявляю Вам, как администратору портала faq-webmaster.ru, о том, что рассполагаю компрометирующими материалами, относительно Вашей деятельности в сети Интернет, которые нам любезно предоставил Ваш хостер ucoz.net.
Предлагаю Вам, добровольно разместить ссылки, направленные на сайты способствующие развитию платежной системы WebMoney и борьбе с механизмами сетьевого мошенничества, для приостановления всех негативных процессов, которые были уже активированы относительно Вашего домена и WMID!
Эти ссылки Вы обязаны разместить на всех HTML-страницах своего ресурса www.faq-webmaster.ru, затем отправьте мне на моб.тел. +380674380635, SMS-сообщение с указанием своего домена faq-webmaster.ru. Произвести это Вы обязаны не познее 6 августа 2010 года, иначе, помимо публикации на Ваш WMID всех поданных нам жалоб на Ваш сайт, я опубликую этот компромат также и в своих личных, многочисленных блогах, т.о. помимо блокирования вашего WM ID, вместе со всеми Вашими электронными деньгами, я могу Вам гарантировать существенный отток Ваших клиентов, а может быть и вовсе блокирование домена faq-webmaster.ru, его регистратором!
Вот ссылки для публикаций:
Информация KERAS.IN - Гуллон это мошенники! (http://keras.in/news/ocherednoj_lokhotron_ot_psevdokompanii_gullon/2010-03-15-39)
Информ-бюро SOFTOROOM.NET - Gullon это обман! (http://softoroom.net/topic66360.html)
Информ-бюро CRIPO.COM.UA - Gullon это мошенничество! (http://cripo.com.ua/?sect_id=7&aid=89293)
Новости GOVORI.INFO - Развод от Гуллон (http://govori.info/Scandals/695--gullon-lr.html)
Gullon это мошенники! (http://www.ict-online.ru/blogs/bl68499/)
Обман от Gullon (http://spbit.ru/blogs/bl68499/)
Информ-бюро SAITER.RU - Обман Gullon (http://saiter.ru/otzyvy/site/gullon.eu/?id=4796)
Мошенничество от Gullon (http://inforotor.ru/news/2578059)
Развод Gullon (http://rtkorr.com/news/2010/03/06/110822.new)
gullon.eu это бандиты! (http://www.superjob.ru/community/kto_znaet_o_firme/43330/)
Не затягивайте, потому что потом за это уже прийдется платить, а может быть и вовсе станет уже не возможно остановить негативный процесс, инициированный мною.
Также хочу Вас уведомить о том, что я не собираюсь вступать с Вами в переговоры, и Ваш возможный ответ на данное предупредительное сообщение, будет удален с моего почтового сервера автоматически, соответственно мною рассматриваться он не будет.
FrichX
P.S. Любителям громких скандалов, и тем, кому хочется обвинить меня в мошенничестве или шантаже, советую ознакомиться с официальным опровержением этой версии, опубликованное на моем официальном сайте http://frichx.pp.ua/ , к тому же взвешенно отнеситесь к своим скромным возможностям, и учтите, что у меня хорошие связи не только в WebMoney, электронных СМИ, доменных регистраторов и хостерах, но и в силовых структурах Украины!
RFC заголовок
From help@cripo.com.ua Mon Aug 02 14:49:36 2010
Return-path: <help@cripo.com.ua>
Received: from [95.59.26.2] (port=39364 helo=nastya.megahost.kz)
by mx63.mail.ru with esmtp
id 1OfsaO-0005oM-00
for 1alex77@mail.ru; Mon, 02 Aug 2010 14:49:36 +0400
Received-SPF: none (mx63.mail.ru: 95.59.26.2 is neither permitted nor denied by domain of cripo.com.ua) client-ip=95.59.26.2; envelope-from=help@cripo.com.ua; helo=nastya.megahost.kz;
X-Mru-BL: 0:0:2
X-Mru-PTR: nastya.megahost.kz
X-Mru-NR: 1
X-Mru-OF: unknown (ethernet/modem)
X-Mru-RC: KZ
Received: from cripo114 by nastya.megahost.kz with local (Exim 4.72 (FreeBSD))
(envelope-from <help@cripo.com.ua>)
id 1OfsaN-000Jae-2K
for 1alex77@mail.ru; Mon, 02 Aug 2010 15:49:35 +0500
Message-Id: <E1OfsaN-000Jae-2K@nastya.megahost.kz>
To: 1alex77@mail.ru
Subject: =?windows-1251?Q?=CF=F0=E5=E4=F3=EF=F0=E5=E6=E4=E5=ED=E8=E5
=E4=EB=FF?= THEUSA1.RU
From: support@ukraine.com.ua
Content-Type: text/plain; charset="windows-1251";
Date: Mon, 2 Aug 2010 13:49:31 +0300
X-Priority: 3
X-Library: Indy 8.0.25
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - nastya.megahost.kz
X-AntiAbuse: Original Domain - mail.ru
X-AntiAbuse: Originator/Caller UID/GID - [886 886] / [26 6]
X-AntiAbuse: Sender Address Domain - cripo.com.ua
X-Spam: Not detected
X-Mras: Ok
примите меры. Спасибо
whois.ripn.net
ripn.net
Бггг. Баян годовой давности. Успели уже все кто можно нажиться на нике FrichX. :)
Спасибо за информацию!
А нельзя ли для панели управления хостингом дописать примочку,
которая будет фильтровать спам-рассылку. Например, человек самостоятельно, анализируя заголовки приходящего спама, "вычисляет" реальный адрес сервера с которого это все несчастье приходит. Вычисленные адреса он вводит в свой личный черный список
(в панели управления), а почтовый сервер, принимая письмо, анализирует (смотрит заголовки) и сопоставляет со списком забаненных адресов. Если адрес всплыл - удаляет такое письмо (или изначально игнорирует - если это технически возможно), и предоставляет отчет (посуточный лог) - как опция, чтобы видеть, как оно там, работает или нет
(что приходило, сколько, откуда и что заблокировано/удалено) - т.е., министатистика для почты.
Мне кажется, что со временем, эта проблема (спам, интернет-мошенничество) будет только
усиливаться - у нас народ такой.
P.S. правда, в панели управления есть функция "белый список" - но ее четкого назначения я так пока и не понял....( Как по мне - то невозможно перечислить всё, откуда можно. Проще перечислить откуда нельзя :)
С Уважением, Игорь
Ваше предложение по поводу аналогичного списка забаненых адресов вполне логично, обязательно сделаем.
Писал к Вам в abuse, но Вы его даже не читаете!
abuse@ukraine.com.ua
SMTP error from remote mail server after RCPT TO:<abuse@ukraine.com.ua>:
host mx15.ukraine.com.ua [195.64.184.5]: 550 5.1.1 <abuse@ukraine.com.ua>:
Recipient address rejected: User unknown in virtual mailbox table
Вопрос: куда отправлять сообщения о СПАМЕ С ВАШИХ СЕРВЕРОВ ?
С Ваших серверов шлётся спам следующего содержания:
-------- Original Message --------
From: - Mon Aug 09 16:15:33 2010
X-Account-Key: account6
X-UIDL: 0000009c4ab8b880
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-path:
Envelope-to: стёрто@vukraine.com.ua
Received: from mail5.fre**ost.com.ua ([194.0.200.222]) by vukraine.com.ua with esmtp (Exim 4.69) (envelope-from ) id 1OiSCB-0004C7-1b for стёрто@vukraine.com.ua; Mon, 09 Aug 2010 16:15:15 +0300
Received: from [79.140.10.158] (port=3757 helo=10.9.8.173) by mail5.fre**ost.com.ua with esmtpa (Exim 4.71 (FreeBSD)) (envelope-from ) id 1OiSBg-000Mk6-Bo for стёрто@vukraine.com.ua; Mon, 09 Aug 2010 16:14:44 +0300
From: KVARTAL.OD.UA
To: reklama <стёрто@vukraine.com.ua>
Subject: Неограниченное число объявлений
Date: Mon, 9 Aug 2010 16:14:42 +0300
Organization: kvartal
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=\"----=_NextPart_000_0000_01C6527E.AE8904D0\"
X-SA-Exim-Connect-IP: 79.140.10.158
X-SA-Exim-Mail-From: info@kvartal.od.ua
X-SA-Exim-Scanned: No (on mail5.fre**st.com.ua); SAEximRunCond expanded to false
Здравствуйте уважаемые пользователи сайта kvartal.od.ua.
Теперь Вы можете добавлять любое число объявлений, с неограниченным сроком размещения,
а так же Вы можете найти свою страницу по адресу: http://kvartal.od.ua/ВАШ_ЛОГИН.
Деактивация и активация объявления обновляет дату добавления объекта недвижимости!
Регистрация
C уважением, Администратор.
Я ошибся. Действительно, письма пришли не с Ваших серверов. Честно говоря, я смотрел на площадку, на которой размещен kvartal.od.ua (vps-131.ukraine.com.ua), вот и пришел к Вам.
Благодарю Вас за ответ.
Я так понял, это были не Вы. Мои глубокие извинения.
Не сочтите за рекламу, но, зато, я для себя (благодаря такому казусу), нашел хостинг и дешевле и по параметрам, как мне кажется, лучше (чем я сейчас пользуюсь в зоне *.ru).
Сейчас куплю "кусочек" хостинга на месячишко потестить, если все отлично, то и буду "переезжать" сюда. Главное, что бы была возможность перевода *.ru и *.su (пока не нашел, но, думаю, это я еще не всё просмотрел)
"Здравствуй дорогой! А в жопу тебя еще никогда не посылали? Всего доброго!"
или:
"Ты наркоман што ли, Бендеровец?"
В общем, различные вариации могут быть. Только вот письмо с таким ответом придет вовсе не придурку, отправившему данное письмо с белибердой, а нормальным людям. Тем, чей адрес он подставил в качестве якобы адреса отправителя письма. В моем случае, это адрес support@ukraine.com.ua
И скажите теперь, если саппорт украинского хостинга будет получать тысячи писем возмущенных граждан, от этого они станут лучше работать или смогут достичь просветления?
Судя по полю Received письмо в моем случае пришло из Казахстана. Впрочем, спам можно рассылать откуда угодно.
Что же делать нормальным людям, когда они получают подобные письма? Да просто удалять их сразу. Не вникая в текст, содержание которого откровенно лажовое и изобилует кучей ошибок. Не нужно отвечать на него, не нужно отправлять смс на указанные номера, не нужно размещать ссылок.
Относиться к ним следует как к очередной разновидности нигерийских писем. Ведь никто и никогда, отправляя официальные письма не подписывает их ником. Всегда указывают реальные имена и контакты, да и не требуют выполнить заведомо бредовые задания. Кроме этого, пугать ежа голой жопой, напоминая о каких то мифических связях с регистраторами, хостерами и в особенности силовыми структурами Украины это, конечно, высший пилотаж! Привет тебе, неизвестный мудак! Да вывернет тебя силовая структура Украины наизнанку, спамер чертов!