Na wszystkie możliwe adresy w domenie Apeiron Magazine dostałam taki list (poniżej). Nadawca – polskie imię w polu „Od”. Tematy różne, ale tematycznie te same i po polsku. Czy to jakaś zorganizowana akcja? Też dostaliście? Tonid na pewno będzie walczył ;-)
Shrew, jeśli mi forwardniesz to z pełnymi nagłówkami, to zobacze co się z tego da wyciągnąć 8>. Na pewno warto zgłosić do Blue Froga. PS. ja nie dostałem 8>.
no ja dostaje to juz codziennie w kilku kopiach. podesle ci. nawet do naglowkow nie zagladalam, bo juz mam za soba czasy nalogowego sledzenia nadawcow kazdego podejrzanego maila, jaki przychodzil ;)
Uf, dzięki Shrew. No więc oto wyniki analizy (i informacje dla czytelników, może pomogą w samodzielnej walce z takimi spamerami).
1. Co po pierwsze mnie zdziwiło, to fakt, że to nie są typowi polscy spamerzy, czyli jakaś firma nieświadoma UoŚUDE (Ustawy o Świadczeniu Usług Drogą Elektroniczną). To rasowi, klasyczni spamerzy, którzy w celu rozesłania swojego spamu skorzystali najwyraźniej z albo open proxy, albo zombie (zawirusowanych maszyn).
2. Nagłówki Received w mailach, które mi przysłałaś wskazują co następuje:
Received: from unknown (HELO gmail.com) (125.247.115.130)
Received: from unknown (HELO gmail.com) (125.245.81.146)
Received: from unknown (HELO gmail.com) (125.247.115.130)
Received: from unknown (HELO gmail.com) (211.215.17.73)
Oczywiście, we wszystkich czterech przypadkach „gmail.com” to totalna fałszywka. Spamer podał przy wysyłaniu „gmail.com” jako argument polecenia HELO w którym można podać co tylko się chce — to po to, aby osoby nieświadome nabrały się na to — należy patrzeć TYLKO na adres IP i praktycznie TYLKO na ostatni (najwyższy) nagłówek Received. Ten adres IP zawarty w tym nagłówku wskazuje komputer, który połączył się z naszym serwerem pocztowym by wysłać spam. Poniższe mogą (ale nie muszą) być fałszowane przez spamera (aby np. spróbować oszukać użytkownika lub też zrzucić winę na kogoś innego, tak jak tutaj gmail).
O tym, że adres nadawcy też jest fałszywy chyba mówić nie muszę.
W każdym wypadku, co do wspomnianych adresów IP sprawdzamy, skąd to adresy:
$ whois -h whois.arin.net [adres ip]:
inetnum: 125.240.0.0 – 125.247.255.255
netname: PUBNETPLUS
descr: DACOM-PUBNETPLUS
descr: DACOM Bldg, 65-228. Hangangro3ga. Yongsan-gu, SEOUL, 140-716
inetnum: 211.215.16.0 – 211.215.19.255
netname: HANANET-INFRA-KR
descr: Hanaro Telecom Inc.
country: KR
Jak widać, we wszystkich przypadkach poszło to przez adresy IP w Korei Południowej. Sprawdźmy, jaka dziura siedzi pod tymi adresami – czy jest to open proxy? (http://nospam-pl.net/op.php):
Testing 125.245.81.146:80/http-connect … connected
Testing 125.245.81.146:80/http-post … connected
Testing 125.245.81.146:3128/http-connect … cannot connect
Testing 125.245.81.146:8080/http-connect … connected
*** ALERT – open proxy detected
Test complete – identified open proxy 125.245.81.146:8080/http-connect
Adresy mogą być przyznawane dynamicznie, więc być może już dziś pod tym adresem jest inny (niedziurawy) system. Jednak sam wynik z jednego adresu wskazujący na open proxy, sugeruje że spamer użył właśnie open proxy do rozesłania tego syfu.
No więc dobrze. Na koniec. Co możemy zrobić? Wysłać maila do Korei? – bez sensu. Spamer jednak sam się załatwił, podając we wszystkich mailach link do „zapisania się”, który jest linkiem do maila w serwisie yahoo.es: wyszukiwarkach@yahoo.es. Dlatego też sugeruję napisać do abuse@yahoo.es w tej sprawie po angielsku oczywiście, aby zlikwidowali mu to konto (załączając maile). Jeśli zrobisz to szybko, być może spamer nie zdąży dostać odpowiedzi od frajerów.