Магистер (magister_) wrote,
Магистер
magister_

Categories:

про суп, спам и спамкопов

Введя оплату за ЖЖ яндекс-деньгами, СУП уже встретился с проблемой: платежи из России не проходят из-за того, что финансовый сервис ЖЖ пользуется антиспамовой защитой.

Так называемые "антиспамовые" американские сервисы, помогающие провайдерам отсеивать лишние сообщения, в большинстве своем на самом деле занимаются крышеванием "правильных" спамеров, ну и заодно гноблением "неправильных".

"Правильные" спамеры - которые на свои деньги приобретают мейл-серверы для рассылок; "неправильные" - которые нахаляву лезут в незакрытые дырки в чужих серверах.

Основная маскировка сервера спамера заключается в том, что техническая информация о прохождении письма, имеющаяся в "шапке" каждого сообщения, начиная с сервера спамера (т.е. в "шапке" - после него) - поддельная. Спамер делает вид, что письмо на его сервер пришло откуда-нибудь из Танзании или Намибии. Тем не менее, проанализировав эту техническую информацию, почти всегда можно разобраться, где спрятался спамер. Проблема лишь в том, что этим "анализом", под видом защиты от, нынче занимаются сами же спамеры.

Рассмотрим на примере spamcop.net:

Конкретный случай с конкретным российским IP адресом, заблокированным этим сервисом. Для конспирации в адресе некоторые цифры заменены на #.

From:	2097338316@reports.spamcop.net
To:	abuse@rosnet.net
Subject:	[SpamCop (212.5.#.#) id:2097338316]Enlarge your profit ...
Date:	Fri, 12 Jan 2007 04:52:51 -0700

[ SpamCop V#612 ]
This message is brief for your comfort.  Please use links below for 
details.

Email from 212.5.#.# / Fri, 12 Jan 2007 04:52:51 -0700
http://www.spamcop.net/w3m?i=z######
212.5.#.# is open proxy, see: 
http://www.spamcop.net/mky-proxies.html

[ Offending message ]


Шапка "криминального" сообщения якобы с этого адреса была такова (имеющая отношение к делу часть):

Received: from unknown (HELO c60.cesmail.net) (192.168.1.105)
  by blade2.cesmail.net with SMTP; 12 Jan 2007 12:05:46 -0000
Received: from mailgate.cesmail.net ([216.154.195.36])
  by c60.cesmail.net with SMTP; 12 Jan 2007 07:05:45 -0500
X-IronPort-AV: i="4.13,178,1167627600"; 
   d="gif'147?scan'147,208,217,147"; a="425093263:sNHT149878084"
Received: (qmail 32749 invoked from network); 12 Jan 2007 12:05:45 
-0000
Received: from unknown (HELO mailgate.cesmail.net) (192.168.1.101)
  by mailgate.cesmail.net with SMTP; 12 Jan 2007 12:05:45 -0000
Received: from mail.guildsite.com [216.119.106.25]
	by mailgate.cesmail.net with POP3 (fetchmail-6.2.1)
	for x (single-drop); Fri, 12 Jan 2007 07:05:45 -0500 (EST)
Received: from UnknownHost [212.5.#.#] by 
maila2.webcontrolcenter.com with SMTP;
   Fri, 12 Jan 2007 04:52:51 -0700
Received: from 216.94.98.95 (HELO mail.aastra.com)
     by guildsite.com with esmtp (0-=5O,+7? 8*-1)
     id 'X(,;S-SS/WAP-/*
     for x; Fri, 12 Jan 2007 11:52:54 -0180


Из приведенного здесь очевидно, что спамер поставил свой сервер на
maila2.webcontrolcenter.com [216.119.106.25], он же mail.guildsite.com.

Но вот какой анализ даёт "антиспамерский" сервис:

Received:  (qmail 26875 invoked from network); 12 Jan 2007 12:05:46 -0000
Ignored

Received:  from unknown (HELO c60.cesmail.net) (192.168.1.105) by blade2.cesmail.net with SMTP; 12 Jan 2007 12:05:46 -0000
192.168.1.105 found
host 192.168.1.105 (getting name) no name
192.168.1.105 discarded

Received:  from mailgate.cesmail.net ([216.154.195.36]) by c60.cesmail.net with SMTP; 12 Jan 2007 07:05:45 -0500
216.154.195.36 found
host 216.154.195.36 = mailgate.cesmail.net (cached)
mailgate.cesmail.net is 216.154.195.36
Possible spammer: 216.154.195.36
Received line accepted
Relay trusted (216.154.195.36 cesmail.net mailgate.cesmail.net)

Received:  (qmail 32749 invoked from network); 12 Jan 2007 12:05:45 -0000
Ignored

Received:  from unknown (HELO mailgate.cesmail.net) (192.168.1.101) by mailgate.cesmail.net with SMTP; 12 Jan 2007 12:05:45 -0000
192.168.1.101 found
host 192.168.1.101 (getting name) no name
192.168.1.101 discarded

Received:  from mail.guildsite.com [216.119.106.25] by mailgate.cesmail.net with POP3 (fetchmail-6.2.1) for x (single-drop); Fri, 12 Jan 2007 07:05:45 -0500 (EST)
216.119.106.25 found
Checking POP client chain:
   Chain test:mailgate.cesmail.net =? 216.154.195.36
   216.154.195.36 is an MX for cesmail.net
   216.154.195.36 is mx
   mailgate.cesmail.net and 216.154.195.36 have close IP addresses - chain verified
POP hack, restarting chain.

Received:  from UnknownHost [212.5.#.#] by maila2.webcontrolcenter.com with SMTP; Fri, 12 Jan 2007 04:52:51 -0700
212.5.#.# found
host 212.5.#.# (getting name) no name
Possible spammer: 212.5.#.#
Received line accepted


Т.е. очевидное - "аналитик" игнорирует: разрыв в цепочке серверов, несоответствие часовых поясов {американцам, кстати, действительно наверное непонятное}, отсутствие логики в действиях maila2.webcontrolcenter.com [зачем он обрабатывал чужое письмо?].

В этой стратегии главное - чтобы "правильные" спамеры ставили ложные IP не из Америки, а из третьих стран. Потому что иначе американцы начнут часто подавать претензии, что у них не принимают оплату через интернет или письма теряются, и репутация "сервиса" упадёт. Пусть всякие папуасы из Кении или России, которые пытаются оплатить что-нибудь из своей Папуасии в Америке по кредитке или, скажем, через Яндекс-деньги, получают отлуп - Америка этого не заметит.
Subscribe

Recent Posts from This Journal

  • Смысл текста определяется не только самим текстом

    Наконец нашел короткую и емкую формулировку. (Это касается прежде всего того, почему какой-либо текст считают экстремистским, но применимо в целом…

  • Робертс про Брина

    Всё тот же Робертс - про Дэвида Брина: Есть, например, много поклонников творчества Дэвида Брина, но никто не может утверждать, что он сделал…

  • Робертс про Черри

    Авторитетный Адам Робертс [не путать с Робертом Адамсом!] про К. Дж. Черри (которая, как известно, в 9 лет решила стать писателем и с тех пор…

  • Post a new comment

    Error

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 23 comments

Recent Posts from This Journal

  • Смысл текста определяется не только самим текстом

    Наконец нашел короткую и емкую формулировку. (Это касается прежде всего того, почему какой-либо текст считают экстремистским, но применимо в целом…

  • Робертс про Брина

    Всё тот же Робертс - про Дэвида Брина: Есть, например, много поклонников творчества Дэвида Брина, но никто не может утверждать, что он сделал…

  • Робертс про Черри

    Авторитетный Адам Робертс [не путать с Робертом Адамсом!] про К. Дж. Черри (которая, как известно, в 9 лет решила стать писателем и с тех пор…