Windows Vista Business ready to download ???

[Anthony47]

Ciao a tutti, vi chiedo un consiglio.

Sono owner di un dominio personale, ho sempre avuto configurato la casella postale in modo che le mail destinate a utenti sconosciuti siano inoltrate al postmaster, che sono sempre io da anni.

Da stamattina mi sono arrivate due/trecento mail da domini esistenti e in genere corrispondenti all’ IP che leggo nell’ header tramite “Proprietà”, mail che essenzialmente mi notificano il rigetto di mail provenienti dal mio dominio, o perche’ gli utenti non esistono o perche’ l’ antispam del ricevente lo ha marcato giustamente spam. Il problema fino a ieri sera non mi era mai capitato.

La stragrande maggioranza di messaggi rifiutati ha come oggetto:
Windows Vista Business ready to download

La mail di spam proviene apparentemente da un account a fantasia del mio dominio, ma l’ IP punta a dominii Indiani, koreani, anche francesi; nella mail si pubblicizza la vendita a prezzi “scontatissimi” del nuovo Vista, rimandando a un sito scritto in bella mostra nella mail, ad esempio:

http://bestccash.org oppure
http://yourccredit.org oppure
http://yourbolics.org
(controllo a campione)

Per il momento mi sono guardato dal visionare questi siti, ne' credo che mi verra’ mai la curiosita’ di farlo.

Detto questo, secondo voi posso fare qualcosa per evitare che questa tortura continui? Qualcosa di piu' che non una regola che cancella automaticamente i messaggi...

Ciao e grazie.
Anthony

[zello]

un bel joejob: una gettata di spam con un indirizzo nel tuo dominio come mittente. Non c'è nulla da fare, ma fossi in te istruirei il mailserver per scartare - almeno momentaneamente - le mail destinate a indirizzi non validi (tieni conto che il bounce di un bounce non esiste, e quindi respingere quel tipo di mail non produce traffico in uscita).

Ciao.

[Anthony47]

Grazie per la risposta.
Si, configurero' sul server perche' indirizzi non validi siano rifiutati, anche perche' arrivano al ritmo di 20-25 all' ora.

Mi chiedo se non c' e' una modalita' per dichiarare ai maintaners dei domini richiamati nelle mail l' abuso e almeno fargli il danno di interrompergli il poco lecito servizio di vendita di software piratato.

Ciao,

[zello]

Mi chiedo se non c' e' una modalita' per dichiarare ai maintaners dei domini richiamati nelle mail l' abuso

Forse qualcuno l'ha già fatto...

Codice: Seleziona tutto

[zello@zello zello]$ host bestccash.org
;; Got SERVFAIL reply from 193.70.192.25, trying next server
;; Got SERVFAIL reply from 193.70.152.15, trying next server
Host bestccash.org not found: 2(SERVFAIL)
[zello@zello zello]$ host yourccredit.org
;; Got SERVFAIL reply from 193.70.192.25, trying next server
;; Got SERVFAIL reply from 193.70.152.25, trying next server
Host yourccredit.org not found: 2(SERVFAIL)
[zello@zello zello]$ host yourbolics.org
Host yourbolics.org not found: 3(NXDOMAIN)


yourbolics.org è proprio inesistente, gli altri hanno qualche (serio) problema con i nameservers (nel senso che entrambi hanno come nameservers ns[1-5].krolobul.com, però se si prova ad ottenerne l'indirizzo ip si ha qualche sorpresa:

Codice: Seleziona tutto

[zello@zello zello]$ dig ns krolobul.com @a.gtld-servers.net

; <<>> DiG 9.3.0rc4 <<>> ns krolobul.com @a.gtld-servers.net
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 53322
;; flags: qr aa rd; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;krolobul.com.                  IN      NS

;; AUTHORITY SECTION:
com.                    900     IN      SOA     a.gtld-servers.net. nstld.verisign-grs.com. 1170798742 1800 900 604800 900

;; Query time: 344 msec
;; SERVER: 192.5.6.30#53(a.gtld-servers.net)
;; WHEN: Tue Feb  6 22:47:05 2007
;; MSG SIZE  rcvd: 103


(ho chiesto il nameserver per il dominio krolobul.org direttamente ad uno dei nameservers con autorità su .com, e mi ha risposto picche (o NXDOMAIN, o dominio inesistente). Il dominio spammato esiste ancora, ma non esiste più quello dei nameservers in grado di risolvere i nomi...

[Anthony47]

Mah, in effetti alcuni dei domini indicati nelle mai di spam oggi sono irraggiungibili o inesistenti, es
http://nextdayblossoms.org
http://comingoos.org
http://dumacconline.org
http://tonexteyes.org
http://dumaccworld.org

Invece BESTCASH.ORG risponde all' IP 217.11.233.244,
mnt-by: LP636-RIPE-MNT
role: Casablanca INT RIPE manager
abuse-mailbox: abuse@casablanca.cz

YOURCREDIT.ORG risponde all' IP 64.106.161.221, con riferimento a
RAbuseEmail: abuse@datapipe.com

Infine bestccenter.org risponde all' IP 205.178.189.131, con riferimento a
RAbuseEmail: dwhetzel@networksolutions.com

Ho inviato una mail a questi riferimenti, chiedendo se possono fare qualcosa; datapipe ha risposto che investigheranno e che hanno una politica di tolleranza zero verso il fenomeno.

Comunque avendo cambiato la policy di gestione degli indirizzi inesistenti (come da primo suggerimento ricevuto ieri) almeno rimango al riparo..

Grazie ancora.

[zello]

già che sei li: i nameservers auroritativi per bestcash.org sono 82.208.60.69 (ancora casablanca) e 80.77.80.220 (fa capo ad alcuni russi con sede a Londra, non mi stupirei se fosse sotto il controllo diretto dello spammer. Prova a mandare due righe a maple<at>ipipe.net e makc<at>ipipe.net, mi stupirei se succedesse qualcosa)

Facciamo che ti mostro come si fa. Serve un dignitoso strumento di interrogazione ai nameservers (io uso dig per linux).
Cerchiamo di risalire "a manoni" ai nameservers autoritativi. Per prima cosa, chiedo una risposta "non ricorsiva" al mio dns di default

Codice: Seleziona tutto

[zello@zello zello]$ dig +norecurse ns yourcredit.org

; <<>> DiG 9.3.0rc4 <<>> +norecurse ns yourcredit.org
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 39601
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;yourcredit.org.                        IN      NS

;; AUTHORITY SECTION:
yourcredit.org.         6999    IN      NS      ns5.linuxwebsites.net.
yourcredit.org.         6999    IN      NS      ns.linuxwebsites.net.

;; ADDITIONAL SECTION:
ns.linuxwebsites.net.   7011    IN      A       64.106.161.220
ns5.linuxwebsites.net.  7011    IN      A       64.106.183.120


Mi risponde di chiedere a ns5.linuxwebsites.net e ns.linuxwebsites.net, peraltro fornendomene anche gli IP (nella sezione addizionale). Dato che nei flags non c'è "aa", la risposta non è autoritativa.
Bon, proviamo a chiedere ai due servers specificati.

Codice: Seleziona tutto

[zello@zello zello]$ dig +norecurse ns yourcredit.org @64.106.161.220

; <<>> DiG 9.3.0rc4 <<>> +norecurse ns yourcredit.org @64.106.161.220
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 11611
;; flags: qr aa ra; QUERY: 1, ANSWER: 2, AUTHORITY: 0, ADDITIONAL: 2

;; QUESTION SECTION:
;yourcredit.org.                        IN      NS

;; ANSWER SECTION:
yourcredit.org.         86400   IN      NS      ns5.linuxwebsites.net.
yourcredit.org.         86400   IN      NS      ns.linuxwebsites.net.

;; ADDITIONAL SECTION:
ns.linuxwebsites.net.   600     IN      A       64.106.161.220
ns5.linuxwebsites.net.  10800   IN      A       64.106.183.120


Risposta autoritativa (flag aa presente), il primo dei due dichiara di essere autoritativo, e continua a segnalare l'altro (che infatti, se provi, risulta anch'esso autoritativo).
Per sicurezza (test a dire il vero inutile) chiedo anche l'indirizzo di yourcredit.org a uno dei due:

Codice: Seleziona tutto

[zello@zello zello]$ dig +norecurse a yourcredit.org @64.106.183.120

; <<>> DiG 9.3.0rc4 <<>> +norecurse a yourcredit.org @64.106.183.120
;; global options:  printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9871
;; flags: qr aa; QUERY: 1, ANSWER: 1, AUTHORITY: 2, ADDITIONAL: 2

;; QUESTION SECTION:
;yourcredit.org.                        IN      A

;; ANSWER SECTION:
yourcredit.org.         86400   IN      A       64.106.161.221


(ok, ancora autoritativa).
Morale: il sito è su 64.106.161.221 (come da te correttamente affermato), i nameservers sono su 64.106.183.120 e 64.106.161.220. Dato che anche questi due rispondono ad abuse<at>datapipe.com, viene il dubbio che il loro concetto di tolleranza zero non sia il mio.
Chi ha voglia può continuare a tracciare i ns per bestccenter.org (che comunque secondo me sono sempre i ns[1-5].krolobul.com che risultano morti). Consiglio per farlo bene: una scorsa agli RFC sui nameservers, un bello studio della man page di dig (o qualcosa di analogo per windows), tanta pazienza.

Uh, e mi pare che qualcuno dei siti "morti" sia risorto. nextdayblossoms.org ora risolve:
- ip del sito :

Codice: Seleziona tutto

nextdayblossoms.org.    600     IN      A       67.160.26.8
nextdayblossoms.org.    600     IN      A       84.10.155.189
nextdayblossoms.org.    600     IN      A       89.178.155.166
nextdayblossoms.org.    600     IN      A       62.63.157.69
nextdayblossoms.org.    600     IN      A       67.191.81.55


nameservers 213.93.173.216, 85.249.238.150, 202.225.217.18, 85.29.227.89, 89.178.87.132.
Ho controllato a casaccio, mi sembrano tutte macchine troianizzate (sono tutte adsl, o comunque hanno nomi del tipo 89-178-87-132.broadband.corbina.ru. Il dominio dei nameservers è registrato da un certo Chris Schultz, è ovviamente inutile scrivergli. Chi ha voglia peschi tutti gli abuse address degli ip e li notifichi.

[Anthony47]

Ciao Zello, ti ringrazio per i suggerimenti ma io volo molto piu' basso anche in termine di strumenti (alias, annaspo rasoterra..)!
Ho ricavato l' ip con un ping dal mio Pc (ping yourcredit.org) che mi rende subito 64.106.161.221; poi su arin.net ho chiesto a chi appartiene quell' indirizzo: datapipe, con l' indirizzo per abusi abuse@datapipe.com.

Comunque mercoledi' sera ho provato a risettare postmaster come casella "spazzino" e mi arrivano le 5-10 mail/gg di sempre, quindi il tormento sembra finito.
Per questo io direi di considerare chiuso il problema, sperando che non debbano esserci altre occasioni per sfruttare i suggerimenti ricevuti.

Ciao e grazie.