Página 1 de 2 12 ÚltimoÚltimo
Resultados 1 a 10 de 14
  1. #1
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,042

    CHRIS FULLER, as mil faces de um canalha

    Desde segunda-feira, recebendo SPAM de pelo menos 50 novos dominios registrados no dia pelo vigarista.

    Domain Name: PROGRAMSDESIGNTOHELP.COM
    Creation Date: 2016-09-21T17:26:17.00Z
    Registrar Registration Expiration Date: 2017-09-21T17:26:17.00Z
    Registrar: ENOM, INC.
    Registrant Name: CHRIS FULLER
    Registrant Organization: -
    Registrant Street: 1901 ELM DRIVE
    Registrant City: LOS ANGELES
    Registrant State/Province: CA
    Registrant Postal Code: 90048
    Registrant Country: US
    Registrant Phone: +1.3105626585
    Registrant Phone Ext:
    Registrant Fax:
    Registrant Fax Ext:
    Registrant Email: MCBMELENDEZ@MAIL.COM
    Name Server: DNS1.NAME-SERVICES.COM
    Name Server: DNS2.NAME-SERVICES.COM
    Name Server: DNS3.NAME-SERVICES.COM
    Name Server: DNS4.NAME-SERVICES.COM
    Name Server: DNS5.NAME-SERVICES.COM
    Log Poxtfix (UTC):

    Sep 21 17:32:xx
    from=<.....@....programsdesigntohelp.com> to=<zzzz> proto=ESMTP helo=<.....programsdesigntohelp.com>



    domaintools.com:

    "MCBMELENDEZ@MAIL.COM"

    Your Report Contains:

    254 .coms
    2 .nets
    322 other gTLDs
    23 ccTLDs

    Add history and get:

    563 Historical .coms
    0 Historical .nets
    0 other gTLDs
    0 ccTLDs

    Our records show 601 currently registered domains and 563 previously registered domains

    "CHRIS FULLER"

    Your Report Contains:

    414 .coms
    21 .nets
    345 other gTLDs
    40 ccTLDs

    Add history and get:

    692 Historical .coms
    17 Historical .nets
    33 other gTLDs
    21 ccTLDs

    Our records show 820 currently registered domains and 763 previously registered domains

  2. #2
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,042
    newlifeupdateinfo.com
    Creation Date: 2016-09-21T17:40:18.00Z

    charternewestonlineinfo.com
    Creation Date: 2016-09-21T17:52:32.00Z

    phonelatestsetupinfo.com
    Creation Date: 2016-09-21T18:05:25.00Z

    ...

    greatvacationnewspecials.com
    Creation Date: 2016-09-21T18:55:25.00Z
    Última edição por 5ms; 21-09-2016 às 18:13.

  3. #3
    Aspirante a Evangelist
    Data de Ingresso
    Jul 2012
    Posts
    352
    Não sei se já conhece, mas um dos sites que me ajuda muito nessas questões é o senderbase.org da Cisco. É um database de IPs e seus respectivos tráfegos de e-mail, bastante confiável.

    Muitas vezes, dependendo do caso, dá para bloquear o bloquear todo o bloco /24. Volumes acima de 4.0 são um indicativo claro de IP utilizado por potencial spammer e os hostnames ajudam também a julgar.

    No caso do indivíduo aí em cima parece que está bem distribuído em blocos /29.

    http://www.senderbase.org/lookup/?se...69.162.103.235

    Dependendo do servidor de e-mail também dá para bloquear o hostname no comando ehlo com caracteres curinga. Ex: *.domínio.com

  4. #4
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,042
    @Arr

    Realmente o SenderBase é excelente. Uso n vezes por dia. Já fiquei até com receio de bater no limite diário de consultas (1000)

    Hoje mesmo foi muito útil ...

    Código:
    # Results from SenderBase -- IP addresses used to send emails in 177.36.25.0/24
    # Exported September 22, 2016 
    # File format: "IP Address #	Hostname	Email Reputation"
    177.36.25.1     #	mail2.artesanalportoalegre.com.br	Poor
    ...
    177.36.25.255   #	mail256.artesanalportoalegre.com.br	Poor
    Sobre bloqueios de servidores de e-mail, comecei bloqueando /24 e/ou dominios no Postfix mas a coisa escalou para bloquear AS inteiros -- com código 450 já devo estar bloqueando quase 1 bilhão de endereços IPv4 -- e agora estou partindo para bloquear alguns AS com 550 e até no firewall (caso de endereços do Azure e de n paises) via ipset.

    É uma praga.

    Esse sujeito, que jamais logrou exito porque a LSN está bloqueada faz muito tempo, resolvi postar porque é uma abordagem violenta e tem anos que é um spammer conhecido. Pode ser a alegria dos gatos-gordos dos cartórios, mas consome recursos que nós pagamos para nos atacar, como bem alguém definiu num forum do RIPE. No primeiro momento, eu achei que era um script-kiddie usando cartão roubado ou algum tipo de "degustação de dominio" via registrar amigo, pelo número de nomes registrados no dia, mas a pessoa tem folha corrida de anos e anos de "malfeitos" usando eNom, Godaddy, etc. Tem caras piores? Certamente. Por exemplo, o sujeito que envia faturas aparentando cobrança de renovação COM/NET de um servidor na China usa 7+ mil dominios no mesmo IP.

    PS: E a festança continua.

    ...

    yourdeadlinenewupdates.com
    Creation Date: 2016-09-22T12:52:37.00Z

    setupnewestphoneinfo.com
    Creation Date: 2016-09-22T13:00:37.00Z

    healthonlinenewspecials.com
    Creation Date: 2016-09-22T13:17:32.00Z

    yourenrollmentnewupdates.com
    Creation Date: 2016-09-22T13:28:01.00Z


    yourlifeupdatedinfo.com
    Creation Date: 2016-09-22T13:57:33.00Z

    newhelpprograminfo.com
    Creation Date: 2016-09-22T14:04:00.00Z

    travelonlinenewestspecials.com
    Creation Date: 2016-09-22T14:11:47.00Z

    rewardnewonlinespecials.com
    Creation Date: 2016-09-22T14:19:17.00Z

    healthupdatednewfacts.com
    Creation Date: 2016-09-22T14:31:00.00Z

    ...
    Última edição por 5ms; 22-09-2016 às 15:30.

  5. #5
    Membro
    Data de Ingresso
    Jan 2015
    Posts
    25
    Já experimentaram o SPFBL?
    https://github.com/leonamp/SPFBL

    Eu uso em um pequeno servidor com poucas contas, mas com domínios ativos desde a década de 90, então recebe muito spam. Eu não rodo uma instância do SPFBL, consulto a do desenvolvedor (ele libera gratuitamente) e o resultado tem sido ótimo. Recomendo o teste!

  6. #6
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,042
    Citação Postado originalmente por Abadan Ver Post
    Já experimentaram o SPFBL?
    https://github.com/leonamp/SPFBL

    Eu uso em um pequeno servidor com poucas contas, mas com domínios ativos desde a década de 90, então recebe muito spam. Eu não rodo uma instância do SPFBL, consulto a do desenvolvedor (ele libera gratuitamente) e o resultado tem sido ótimo. Recomendo o teste!
    Recentemente foi postado um link aqui no WHT-BR e acessei o material do site (spfbl.net). Na minha opinião, a flexibilização (opcional?) das regras do SPF e a idéia central de "consulta única" comprometem a ampla utilização e não se adequa ao nosso uso.

    ---

    Eu também tenho dominios (.COM) registrados em 1997/1998 diariamente alvos de botnets e uso indevido por scammers e spammers. A proteção que adotamos é a clássica "redução da superficie de ataque".

    NOTA: Como os nossos servidores e dominios são de uso privado empresarial, com usuários identificados (leia-se funcionários puniveis com demissão), os procedimentos que utilizamos não são apropriados para um provedor de hospedagem, site de comércio eletrônico, CRM, etc.

    Como realizamos essa redução da superficie de ataque?

    1. Bloqueio de mais de 1200 TLDs inclusive a maioria dos cTLDs.

    2. Bloqueio preventivo de blocos de IP sequestrados ou não alocados (*)

    3. Bloqueio de IPs dinâmicos ou de uso doméstico

    4. Bloqueio de IPs de paises

    5. Bloqueio irreversivel de dominios

    6. Bloqueio de ASs

    7. Não aceitação de conexões IPv6

    8. Bloqueio de destinatários

    9. Bloqueio de remetentes

    10. SPF com tolerância zero

    11. DMARC com tolerância zero

    12. Não usamos RBLs

    Por sua vez, é requisito imprescindivel que servidor remetente e HELO tenham FQDNs (e reversos) e o dominio do FROM exista (e possua IP) -- por si só, essas 3 exigências bloqueiam a maioria dos envios de botnets.

    Com o conjunto de restrições listado é possivel criar uma sequência de verificações que tenha como objetivo descartar as mensagens indesejáveis antes do DATA e gerando o minimo de informação ao criminoso.




    (*) Tarefa do data center / provedor, mas se você é do tipo prevenido:

    https://www.spamhaus.org/drop/drop.txt

    http://www.team-cymru.org/Services/B...ogons-ipv4.txt
    Última edição por 5ms; 22-09-2016 às 19:10.

  7. #7
    Membro
    Data de Ingresso
    Aug 2016
    Posts
    3
    Citação Postado originalmente por 5ms Ver Post
    (*) Tarefa do data center / provedor, mas se você é do tipo prevenido:

    https://www.spamhaus.org/drop/drop.txt

    http://www.team-cymru.org/Services/B...ogons-ipv4.txt
    Achei muito interessante essa lista bogons da team-cymru.org e acabei de injetá-la em nossos serviço de filtragem de MX.

    Esse serviço consiste apenas em Exim+SPFBL+Clamav e estamos tendo resultados surpreendentes com alguns domínios em fase de testes. Abandonamos completamente o Spamassassim pois este tem muitos falsos positivos e também pelo fato de ter alto consumo de máquina, aumentando demais os custos.

    Estamos dispostos a oferecer teste de filtragem de MX para alguns domínios aqui da lista, a fim de conseguir medir o consumo médio de máquina pelo volume de recebimento e podermos calcular o preço correto pelo serviço. Se alguém tiver interesse em testar o serviço para algum domínio osso duro, tipo algum cliente que vocês hospedam mas não conseguem atingir um certo nível adequado de filtragem, estarei à disposição em privado pelo leandro@spfbl.net.

    O serviço consiste apenas em recebermos todo volume de um certo domínio e entregarmos apenas os e-mails legítimos diretamente para a host de caixa postal deste domínio. Vale ressaltar que nós não oferecemos hospedagem de caixa postal, e nem temos interesse. Oferecemos apenas o filtro de MX mesmo, ou seja, rejeita ou repassa para o provedor.

    Abraços,
    Leandro
    SPFBL.net

  8. #8
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,042
    Vejo a rejeição por IP como um procedimento de alto risco porque é uma base frágil para descartar uma mensagem. Os tais 1 bilhão de endereços IPv4 que mantenho, praticamente a totalidade serve apenas para sinalizar que o servidor/helo/from do remetente está sujeito à averiguação, postergando o recebimento com o código 451. A rejeição (550) somente ocorre com base nos 3 dominios utilizados com base em n listas construidas com n critériuos, apenas uma delas relacionada ao spammer/scammer contumaz. Exemplificando, existem listas com *subdominios* de operadoras, provedores de acesso, provedores de dedicados/VPS, etc, visando descartar o uso de FQDNs genéricos, algo como *.ip.5mstel.met ou hosted-by.5ms.com. (curiosamente, por ignorância ou má fé, a OVH "inovou" nesse campo com um esquema de reverso default que favorece criminosos). O objetivo principal é negar o DATA a remetentes com má reputação, ou que utilizam provedores de má reputação, porém erros amadores ou propositais (por exemplo, no SPF) são recebidos com igual intolerância -- nossos usuários não devem desperdiçar tempo valioso com remetentes que não tem sequer o cuidado de testar suas configurações.

    Duas observações finais:

    1. Como informei antes, a prática descrita se refere a uma utilização singular, empresarial/militar. No máximo poderia escrever um livreto sobre as encrencas, expedientes, malfeitos, maloqueiros e criminosos que foram esse universo paralelo podre responsável por 85% das mensagens trafegadas diariamente. O pessoal aqui do WHT-BR poderia escrever uma enciclopédia com centenas de volumes.

    2. As listas da spamhaus e team-cymru, assim como ipdeny.com, são atualizadas constantemente, requerendo atenção e acompanhando continuo de seus efeitos. Se não dispuser de tempo, o uso pode ser um canhão mirando moscas mas sempre acertando o seu pé.

  9. #9
    WHT-BR Top Member
    Data de Ingresso
    Dec 2010
    Posts
    15,042
    Citação Postado originalmente por 5ms Ver Post
    A rejeição (550) somente ocorre com base nos 3 dominios utilizados ...
    Correção: Verifica-se o(s) dominio(s) do servidor, helo, from, to
    Última edição por 5ms; 25-09-2016 às 12:54.

  10. #10
    Membro
    Data de Ingresso
    Aug 2016
    Posts
    3
    Citação Postado originalmente por 5ms Ver Post
    Vejo a rejeição por IP como um procedimento de alto risco porque é uma base frágil para descartar uma mensagem.

    ...

    2. As listas da spamhaus e team-cymru, assim como ipdeny.com, são atualizadas constantemente, requerendo atenção e acompanhando continuo de seus efeitos. Se não dispuser de tempo, o uso pode ser um canhão mirando moscas mas sempre acertando o seu pé.
    Nós aqui não temos esse tipo de preocupação, pois diversos administradores de MX utilizam do nosso serviço, e qualquer um deles pode vetar, usando um certo mecanismo do sistema, qualquer bloqueio que fazemos em nível global.

    Além disso, toda rejeição SMTP por bloqueio manual por nosso sistema acompanha uma URL de desbloqueio, onde o remetente entra, resolve um reCAPTCHA, o sistema envia mensagem de e-mail para o destinatário explicando tudo com uma outra URL e este ultimo pode liberar o remetente se confiar nele clicando nessa URL. Esse procedimento por si só também tem poder de veto no nosso sistema.

    Então neste caso, não importa se a lista muda constantemente, o que precisamos fazer é sempre colocar como bloqueio todos os IPs que não deveriam enviar e-mail, e em cada caso onde o IP passou a ser legítimo, basta que apenas um dos milhares de usuários vete o bloqueio. Ai pronto, o IP passou a ser legítimo.

    Abraços,
    Leandro
    SPFBL.net

Permissões de Postagem

  • Você não pode iniciar novos tópicos
  • Você não pode enviar respostas
  • Você não pode enviar anexos
  • Você não pode editar suas mensagens
  •