94 ответов в этой теме

[Belphegor.]

Полимер, а если специально под это дело поднят почтовый сервер и несколько прокси?

[Полимер]

Полимер, а если специально под это дело поднят почтовый сервер и несколько прокси?

Значит он уже в блеклистах или в ближайшем будущем будет.
ЗЫ. Причем здесь прокси?

Сообщение было изменено Полимер: 19 Октябрь 2011 - 12:35

[Belphegor.]

ЗЫ. Причем здесь прокси?

Скорее всего для того, чтобы попрятать айпи сервера-отправителя.

[Полимер]

ЗЫ. Причем здесь прокси?

Скорее всего для того, чтобы попрятать айпи сервера-отправителя.

Тогда ни один сервер не будет принимать почту от безымянного хоста. Отрубят по PTR или reverse lookup.

[userr]

Ну скажем, можно найти (самому настроить) левый почтовый сервер, через который слать email, который ip машины отправителя проставлять вообще не будет. Или ставить туда свой ip. и тд и тп

Здесь речь идет об IP сервера отправителя. Его подделать невозможно. Мне IP клиента по барабану, какая разница откуда Вася Пупкин послал на vasiapupkin@mail.ru свое письмо support@drweb.com За все отвечает сервер отправитель, если его взломали, если у него open relay, если он неадекват и не борется со спамом.

подделать IP сервера отправителя конечно гораздо труднее. Можно скрыть его за цепочкой таких же "нехороших" серверов, и отмотать до исходного сервера бывает невозможно.
Но вот сделать так, чтобы вместо данных спамерского сервера-отправителя подставлялись данные реального "хорошего" сервера, думаю, не выйдет.

[--VovanGrup--]

А между тем, текст того письма излагает вот что:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
From: "V.D." <xxx-rambler.ru>
To: <xxx-rambler.ru>
Subject: =?windows-1251?B?xuXx8uru?=
Date: Tue, 18 Oct 2011 05:37:04 +0400
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: multipart/alternative; boundary="_----------=_"
Message-Id: <скрыто@mperl11.rambler.ru>
X-Mailer: Ramail 3u, (chameleon), http://mail.rambler.ru

This is a multi-part message in MIME format.

- ---------=_
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="windows-1251"; format="flowed"

Давно пытаюсь создать с нуля и поднять свое новое дело. Попрошу твоего
совета. Сейчас уже на стадии становления и поднятия на рынке.
Профессионалы почти завершили создание сайта компании. У меня такой
вопрос к тебе: этот хttp://surgerycom.net/wtn117.pчч
[хttp://promax.sk/87h6834ew.pчч], или этот
хttp://ftp.ageshin.ru/7vbfzq4j.pчч [хttp://zaozerka.net/gpq4c5gx9.pчч]
домен подходит под мое новое дело?
Ответь сразу, как только сможешь!

- ---------=_
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="windows-1251"

<html>
<head>
<title>Жестко</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
</head>
<body>
Давно пытаюсь создать с нуля и поднять свое новое дело. Попрошу твоего совета. Сейчас уже на стадии становления и поднятия на рынке. Профессионалы почти завершили создание сайта компании. У меня такой вопрос к тебе: этот <a href="хttp://promax.sk/87h6834ew.pчч">хttp://surgerycom.net/wtn117.pчч</a>, или этот <a href="хttp://zaozerka.net/gpq4c5gx9.pчч">хttp://ftp.ageshin.ru/7vbfzq4j.pчч</a> домен подходит под мое новое дело?
Ответь сразу, как только сможешь!

</body>
</html>

- ---------=_--

Принадлежность IP:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/...-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '85.128.128.0 - 85.128.167.255'

inetnum: 85.128.128.0 - 85.128.167.255
netname: NETART
descr: NetArt webhosting servers
country: PL
admin-c: NA15967-RIPE
tech-c: NA15967-RIPE
remarks: Please report any abuse to: аbuse@netart.pl
remarks: Please ask for client support at: аdmin@netart.pl
status: ASSIGNED PA
mnt-by: NETART-PL-MNT
mnt-lower: NETART-PL-MNT
mnt-routes: NETART-PL-MNT
source: RIPE # Filtered

% Information related to '85.128.128.0/17AS15967'

route: 85.128.128.0/17
descr: NETART
origin: AS15967
remarks: Please report any abuse to: аbuse@netart.pl
remarks: Please ask for client support at: аdmin@netart.pl
mnt-by: NETART-PL-MNT

source: RIPE # Filtered

Айпишник зарегистрирован в Польше. С него письмо и пришло. Кстати, на айпишнике сидит вполне приличный внешне сайт.

[userr]

А между тем, текст того письма излагает вот что:

Received: ...

это точно все заголовки? поле Received только одно?

[Vadimka]

Сегодня вечером, я, как обычно, запустил свою почтовую программу собрать письма с серваков. На мою почту с рамблера упало очередное спам-письмо. Уже по сложившейся привычке, я бегло пробежался по нему глазами и было хотел уже переключится на следующее, как взгляд мой замер... Имя отправителя что-то так сильно мне напоминало. Наведя курсором на знакомое имя, всё прояснилось. В Отправителе был мой адрес почты. В получателе был тот же адрес почты.) И надо признать, не случись такого казуса, я бы врядли смог заподозрить, что пароль мой взломан)))
Странно конечно, но этот случай научил той простой истине - какой бы сложный пароль у тебя не был, его стоит всё же иногда менять (я не менял года три наверно точно, хотя пароль был весьма сложный).
В письме была какая то замануха и две ссылки на скачку архивов с вирусом.

А вашу почту взламывали хоть раз и как вы об этом узнавали?

З.Ы. Кстати, антиспам Д.Веб благополучно пропустил письмо ;-)

Я вчера тоже удивился - вчера утром проверяю почту на Рамблере, смотрю - мой ник в "Отправителе", подвожу к нему, он показывает мой же адрес. Смотрю письмо, там была ссылка, но я её не открывал, а сразу удалил письмо. Вот, плохо, конечно, что у Рамблера опции для просмотра с какого IP заходили на эту почту, так бы и выяснилось, что заходил ли кто в почту или нет.

[Borka]

Полимер, а если специально под это дело поднят почтовый сервер и несколько прокси?

Достаточно одного опен релея, который не будет проставлять адрес предыдущего сервака, чтобы получить разованную цепочку.

Полимер, а если специально под это дело поднят почтовый сервер и несколько прокси?

Значит он уже в блеклистах или в ближайшем будущем будет.
ЗЫ. Причем здесь прокси?

Ага, щаз. Прамо-таки будет... А прокси нужен для того, чтобы на клиенте поднять тот самый опен-релей.

А между тем, текст того письма излагает вот что:

Присоединяюсь к вопросу - это точно все заголовки?

[Vadimka]

А между тем, текст того письма излагает вот что:

Received: from [85.128.140.4] by mperl11.rambler.ru with HTTP (mailimap); Tue, 18 Oct 2011 05:37:04 +0400
From: "V.D." <xxx-rambler.ru>
To: <xxx-rambler.ru>
Subject: =?windows-1251?B?xuXx8uru?=
Date: Tue, 18 Oct 2011 05:37:04 +0400
MIME-Version: 1.0
Content-Transfer-Encoding: 8bit
Content-Type: multipart/alternative; boundary="_----------=_"
Message-Id: <скрыто@mperl11.rambler.ru>
X-Mailer: Ramail 3u, (chameleon), http://mail.rambler.ru

This is a multi-part message in MIME format.

- ---------=_
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/plain; charset="windows-1251"; format="flowed"

Давно пытаюсь создать с нуля и поднять свое новое дело. Попрошу твоего
совета. Сейчас уже на стадии становления и поднятия на рынке.
Профессионалы почти завершили создание сайта компании. У меня такой
вопрос к тебе: этот хttp://surgerycom.net/wtn117.pчч
[хttp://promax.sk/87h6834ew.pчч], или этот
хttp://ftp.ageshin.ru/7vbfzq4j.pчч [хttp://zaozerka.net/gpq4c5gx9.pчч]
домен подходит под мое новое дело?
Ответь сразу, как только сможешь!

- ---------=_
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
Content-Type: text/html; charset="windows-1251"

<html>
<head>
<title>Жестко</title>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">
</head>
<body>
Давно пытаюсь создать с нуля и поднять свое новое дело. Попрошу твоего совета. Сейчас уже на стадии становления и поднятия на рынке. Профессионалы почти завершили создание сайта компании. У меня такой вопрос к тебе: этот <a href="хttp://promax.sk/87h6834ew.pчч">хttp://surgerycom.net/wtn117.pчч</a>, или этот <a href="хttp://zaozerka.net/gpq4c5gx9.pчч">хttp://ftp.ageshin.ru/7vbfzq4j.pчч</a> домен подходит под мое новое дело?
Ответь сразу, как только сможешь!

</body>
</html>

- ---------=_--

Принадлежность IP:

% This is the RIPE Database query service.
% The objects are in RPSL format.
%
% The RIPE Database is subject to Terms and Conditions.
% See http://www.ripe.net/...-conditions.pdf

% Note: this output has been filtered.
% To receive output for a database update, use the "-B" flag.

% Information related to '85.128.128.0 - 85.128.167.255'

inetnum: 85.128.128.0 - 85.128.167.255
netname: NETART
descr: NetArt webhosting servers
country: PL
admin-c: NA15967-RIPE
tech-c: NA15967-RIPE
remarks: Please report any abuse to: аbuse@netart.pl
remarks: Please ask for client support at: аdmin@netart.pl
status: ASSIGNED PA
mnt-by: NETART-PL-MNT
mnt-lower: NETART-PL-MNT
mnt-routes: NETART-PL-MNT
source: RIPE # Filtered

% Information related to '85.128.128.0/17AS15967'

route: 85.128.128.0/17
descr: NETART
origin: AS15967
remarks: Please report any abuse to: аbuse@netart.pl
remarks: Please ask for client support at: аdmin@netart.pl
mnt-by: NETART-PL-MNT

source: RIPE # Filtered

Айпишник зарегистрирован в Польше. С него письмо и пришло. Кстати, на айпишнике сидит вполне приличный внешне сайт.

Хм, тоже такая же тема "Жёстко", только текст письма другой был. У Вас про дело, у меня про пальто.

[--VovanGrup--]

Это код письма в целом (заголовок и само тело). Правда я стер реальные адреса, и поменял тех. информацию. В линках тоже "белеберду" добавил... Ну так, на всякий. Но строк точно столько, сколько написал - просто в некоторых инфа подредактирована)

[Полимер]

Ага, щаз. Прамо-таки будет... А прокси нужен для того, чтобы на клиенте поднять тот самый опен-релей.

Будет, будет. Про open relay сейчас можно забыть, если это только не ошибка админа, иначе ССЗБ.
На каком таком клиенте? Почту передают сервера (МТА) или речь о другом?

Сообщение было изменено Полимер: 19 Октябрь 2011 - 15:31

[--VovanGrup--]

--VovanGrup--, on 19 October 2011 - 15:48, said:
А между тем, текст того письма излагает вот что:
Received: ...
это точно все заголовки? поле Received только одно?

Только одно.

[Borka]

Ага, щаз. Прамо-таки будет... А прокси нужен для того, чтобы на клиенте поднять тот самый опен-релей.

Будет, будет. Про open relay сейчас можно забыть, если это только не ошибка админа, иначе ССЗБ.

Это с чего бы это?

На каком таком клиенте? Почту передают сервера (МТА) или речь о другом?

Несколько лет назад было засилье сусликов (ntos.exe, если кто помнит), которые детектились как Trojan.Proxy, задачей которых было поднять на клиентской машине почтовый сервер опен релей. С одной стороны - рассылает сам, с другой пересылает от других.

[Borka]

--VovanGrup--, on 19 October 2011 - 15:48, said:
А между тем, текст того письма излагает вот что:
Received: ...
это точно все заголовки? поле Received только одно?

Только одно.

Хм...

[Полимер]

Это с чего бы это?

У вас есть список публичных почтовых релаев?

Несколько лет назад было засилье сусликов (ntos.exe, если кто помнит), которые детектились как Trojan.Proxy, задачей которых было поднять на клиентской машине почтовый сервер опен релей. С одной стороны - рассылает сам, с другой пересылает от других.

Только человек с альтернативными умственными способностями будет принимать с такого компа почту. Приведу текст с одного форума по почтовым серверам:

Чтобы почта БЕЗ ПРОБЛЕМ отправлялась без посредничества других серверов нужно:

1. Иметь честный статический IP с постоянным подключением к интернет.

2. Ваш IP НЕ должен быть одним из типов — Dialup, PPP, Modem/Cable modem, xDSL, Dynamic, DHCP. Эти типы IP "not trusted" и являются источником 90% спама, наврядли вы сможете что-то отправить имея такой IP. Кроме того провайдеры таких IP сами сознательно вносят их в блокировочные базы и требуют отправки ВСЕЙ исходящей от них почты через свои релаи.

2. На Ваш внешний IP должен быть прописан PTR (прописывается в reverse зоне провайдера, владеющего этим IP). Он должен указывать на FQDN хоста (см. п.4). Если Ваш IP multi-homed то PTR'ы должны быть прописаны ДЛЯ ВСЕХ имен хостов, использующих этот IP. (RFC1912 п. 2.1) PTR'ы не имеющие соответствующих им пар (A-record) в зоне прямого просмотра НЕ ДЕЙСТВИТЕЛЬНЫ.

3. Должен быть прописан hostname для внешнего IP сервера (A-запись в зоне домена, чьим MX является Ваш почтовый сервер). Его полное имя есть Fully qualified domain name (FQDN) (т.е. хост <mx1> в официально зарегистрированном домене <mydomain.ru> имеет FQDN=mx1.mydomain.ru.). (RFC1912)

4. Строка HELO сервера должна содержать FQDN хоста. FQDN разрешается поиском в глобальном DNS во внешний IP этого хоста. (см. п.4) (RFC2821)

5. ВСЕ имена должны быть доступны в любой точке интернет и однозначно разрешаться поиском в глобальном DNS (от root). Все имена, которые не разрешаются поиском от root являются локальными алиасами. Использование локальных алиасов и локальных имен, а также усеченных (не полных) имен в SMTP сессиях — ЗАПРЕЩЕНО. (RFC2821). 7. Имена в зонах прямого и обратного просмотра и IP должны взаимно и однозначно указывать друг на друга. (RFC1912).

Сообщение было изменено Borka: 19 Октябрь 2011 - 17:04

[basid]

В технических заголовках можно прочесть ip/имя машины, с которой происходила отправка. Но их тоже можно частично подделать.
Ссылку не дадите? Первый раз слышу.

Ссылку на что? На "недобросовестный" релей?

[Полимер]

В технических заголовках можно прочесть ip/имя машины, с которой происходила отправка. Но их тоже можно частично подделать.
Ссылку не дадите? Первый раз слышу.

Ссылку на что? На "недобросовестный" релей?

Если вы будете принимать с такого хоста почту, это ваше право.

[basid]

Если вы будете принимать с такого хоста почту, это ваше право.

А это ничего, что большинство пользователей не принимают почту, а читают ящик?

[Полимер]

Если вы будете принимать с такого хоста почту, это ваше право.

А это ничего, что большинство пользователей не принимают почту, а читают ящик?

А я об чем? Поздно пить боржоми, письмо принято провайдером. Хороший отсеет махровый спам, спорный положит в подозрительные. А определять спам доктором на основании только содержания письма не имеет смысла.
ЗЫ. Хоститесь у нормальных провайдеров и проблем со спамом не будет или пользуйтесь вебмордой.