...la mia prima analisi antispam..........

[ciaba]

....ciao a tutti..sono nuovo del forum........Prima di postare mi sono letto un pò di pagine forum(+la guida di zello ...che mi sembra "leggermente" competente nel campo ).......e visto che "ivi" circolano diversi "cervelli".....ho deciso di affidarmi a voi per i ......"primi passi":D
....Sò che ci sono dei software appositi per l'analisi dei Thread...ma credo che capire davvero i processi dinamici sia fondamentale..almeno all'inizio.
....questa è mail


Return-Path: <davi690mw@hotmail.com>
Received: from smtp6*cp*tin*it (192.168.70.232) by ims3c*cp*tin*it (6.5.034)
id 3E9F3CC300A73754; Sat, 10 May 2003 21:42:22 +0200
Received: from 200-168-130-57.dsl.telesp.net.br (200.168.130.57) by smtp6*cp*tin*it (6.7.016)
id 3EACFC8900D8A95C; Sat, 10 May 2003 21:42:19 +0200
Received: from 4jc.gutih0m.org ([154.6.187.105]) by 200-168-130-57.dsl.telesp.net.br with ESMTP id DE94BC6C2B2; Fri, 09 May 2003 18:42:59 -0200
Message-ID: <0686$xfp-1w$q-ni6-$74w9$i@ydktjumv>
From: "Beatriz Sheets" <davi690mw@hotmail.com>
To: <jvbmcg**tin*it>, <jvtang**tin*it>, <jvufe**tin*it>, <jwbur**tin*it>, <jwcica**tin**it>, <jwqaba**tin*it>, <jwxbmoc**tin*it>, <jxand**tin*it>
Subject: Here is to your Health !
Date: Fri, 09 May 03 18:42:59 GMT
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="2._86_2445_73_"

Allora ho analizzato la prima riga che rappresenta un Double-hop di tin*it,
e dato che é una costante delle mie mail la considero praticamente "sicura".

La seconda riga presenta l'IP 200.168.130.57..ho fatto una ricerca whois-magic e ho trovato un rimando a LACNIC che mi ha dato questo risultato:

% Copyright LACNIC lacnic.net
% The data below is provided for information purposes
% and to assist persons in obtaining information about or
% related to AS and IP numbers registrations
% By submitting a whois query, you agree to use this data
% only for lawful purposes.
% 2003-05-12 09:25:49 (BRT -03:00)

inetnum: 200.128/9
status: allocated
owner: Comite Gestor da Internet no Brasil
ownerid: BR-CGIN-LACNIC
responsible: Frederico A C Neves
address: Av. das Nações Unidas, 11541, 7° andar
address: 04578-000 - São Paulo - SP
country: BR
phone: +55 11 9119-0304 []
owner-c: CGB
tech-c: CGB
inetrev: 200.128/9
nserver: NS.DNS.BR
nsstat: 20030508 AA
nslastaa: 20030508
nserver: NS1.DNS.BR
nsstat: 20030508 AA
nslastaa: 20030508
nserver: NS2.DNS.BR
nsstat: 20030508 AA
nslastaa: 20030508
remarks: These addresses have been further assigned to Brazilian users.
remarks: Contact information can be found at the WHOIS server located
remarks: at whois.registro.br and at http://whois.nic.br
created: 19950104
changed: 20020902

nic-hdl: CGB
person: Comite Gestor da Internet no Brasil
e-mail: blkadm@NIC.BR
address: Av. das Nações Unidas, 11541, 7° andar
address: 04578-000 - São Paulo - SP
country: BR
phone: +55 19 9119-0304 []
created: 20020902
changed: 20020902

% whois.lacnic.net accepts only direct match queries.
% Types of queries are: POCs, ownerid, CIDR blocks, IP
% and AS numbers.

Ora che faccio.cioé, e lui che dovrei "colpire" oppure dato che quell'ip é un Open proxy mi devo fermare prima.......sono in un labirinto ........aiutoooo

[Nicola]

Codice: Seleziona tutto

Received: from 4jc.gutih0m.org ([154.6.187.105]) by 200-168-130-57.dsl.telesp.net.br with ESMTP id DE94BC6C2B2; Fri, 09 May 2003 18:42:59 -0200


questa è l'ultima riga, primo passaggio.

WHOIS:

Codice: Seleziona tutto

OrgAbuseHandle: COGEN-ARIN
OrgAbuseName:   Cogent Abuse
OrgAbusePhone:  +1-877-875-4311
OrgAbuseEmail:  abuse<at>cogentco.com


adesso controllo tramite il tool http://samspade.org/t :

http://samspade.org/t/rbl?a=154.6.187.105&r=on

non è presente nelle principali liste, direi quando che è l'originale.

200-168-130-57.dsl.telesp.net.br però non risponde momentaneamente alla porta 25 però è un Open Proxy listato in:

Codice: Seleziona tutto

*  dnsbl.njabl.org

*  opm.blitzed.org

*  proxies.relays.monkeys.com

*  relays.osirusoft.com


Ciao

[ciaba]

....intanto grazie per la risposta.....ti chiedo però l'approfondimento di alcuni passaggi........
....allora l'IP 154.6.187.105 l'avevo scartato perchè avevo letto nelle vostre discussioni che quando si incontra un Open Proxy tutto quello che viene dopo é fasullo....ed é stato messo per forviare le ricerche....giusto??

A questo punto ho un IP 200.168.130.57 linkato in varie blackhole list......ma mi sfugge una cosa......il legame tra .dsl.telesp.net.br e l'IP(non sgranare gli occhi devo imparare ),.........e il modo per procurarmi un indirizzo utile per spedire le mail di avviso.

[Nicola]

il .br è un open-proxy non l'altro IP

si cmq puoi vederlo dal reverse DNS l'abuse address o sennò facendo un whois

[ciaba]

...........mah....sono arrivato quà.......ma ho preso la strada giusta.......e sono questi gli indirizzi a cui spedire????

[ciaba]

domínio: TELESP.NET.BR
entidade: TELECOMUNICACÕES DE SAO PAULO S/A - TELESP
documento: 002.558.157/0001-62
responsável: Paulo Arthur Juliano
endereço: Av. Paulista, 2300, 19º andar
endereço: 01310-300 - Sao Paulo - SP
telefone: (011) 4689-3599 []
ID entidade: PAJ93
ID admin: MAP728
ID técnico: MAP728
ID cobrança: MAP728
servidor DNS: DNSQIPBR1.TELESP.NET.BR 200.204.0.9
status DNS: 09/05/2003 AA
último AA: 09/05/2003
servidor DNS: DNSQIPBR2.TELESP.NET.BR 200.204.0.139
status DNS: 09/05/2003 AA
último AA: 09/05/2003
criado: 01/01/1996
atualizado: 21/08/1998
alterado: 06/05/2003
status: publicado

ID: MAP728
nome: Marilda Amelia Martins de Paula
e-mail: mamartin@TELEFONICAEMPRESAS.NET.BR
endereço: Av. Brig. Faria Lima, 1188, 5 andar
endereço: 01451-001 - São Paulo - SP
telefone: (11) 3038-7198 []
criado: 05/06/2001
alterado: 19/12/2002

ID: PAJ93
nome: Paulo Arthur Juliano
e-mail: gestaoip@TELESP.COM.BR
endereço: Av. Paulista, 2300, 19o. andar
endereço: 01310-300 - São Paulo - SP
telefone: (11) 3329-5132 []
criado: 25/10/2002
alterado: 03/02/2003

[Nicola]

Con una query ad abuse.net ho trovato

Codice: Seleziona tutto

gestaoip<at>TELESP.COM.BR

mail-abuse<at>nic.br

mamartin<at>TELEFONICAEMPRESAS.NET.BR

security<at>TELESP.NET.BR



Ciao

P.S.: Quando indichi indirizzi emails non dello spammer leva sempre la chiocciola e magari anche il punto magari rimpiazzandoli con *at* e *dot*.

[ciaba]

........scusami per le "chiocciole" scappate ................ma nn é possibile modificare i post??

[ciaba]

..ho spedito le mail....e mi é tornata indietro questa.......vogliono un'analisi??

We requested analysis and arrangement about the occurence.

IP Addresses Management
Telecomunicações de São Paulo S/A

Solicitamos análise e providências sobre a ocorrência.

Gestão Endereços IP
Telecomunicações de São Paulo S/A

In response to:

[Frengo78]

Non aspettarti che ti ascoltino in brasile. Notificare qualcosa li è inutile

[ciaba]

..........quindi??.....devo mettere un filtro??

[Frengo78]

Si se fossi in te blacklisterei tutto il brasile e tre quarti di continente asiatico

[Nicola]

prova ad incollargli tutta l'analisi fatta e se non rispondono ancora vai di blacklist come consigliato da Frengo.

Ciao

[Frengo78]

telefonica impreza avra ricevuto milioni di lart miei e non li ha mai considerati

[pjfry]

..ho spedito le mail....e mi é tornata indietro questa.......vogliono un'analisi??

We requested analysis and arrangement about the occurence.

significa che hanno richiesto l'analisi a qualcuno , presumo,ma di certo non a te

[ciaba]

........ma scusate,.......se una compagnia come la Telefonica Impreza(bella grossa anche di conto in banca)..........ha un problema con diversi utenti e nn lo risolve in tempi umani, non commette reato...........mettendosi insieme contro il "gigante" non li si può perseguire legalmente?? .....come cittadini della Cee nn siamo parac@lati in nessun modo??.....

[Frengo78]

Innanzitutto mi sono sbagliato. Si chiama telefonica empresas e non telefonica impreza. L'impreza è solo un auto da rally per quel che ne so.

In brasile e in altri paesi non costituisce reato evidentemente lo spam. Impossibile paracularsi

[zello]

Intanto, scusatemi per il ritardo, sono un po' impegnato ultimamente...

Alla rinfusa:
1) quello che segue un open proxy va assunto come falso, e aggiunto dallo spammer. Nel caso specifico, o il proxy si comportava anche da relay, e cogentco è l'origine, oppure gli spammers hanno imparato a falsificare gli headers in modo quasi credibile. Tendo per la prima, ma non c'è modo di esserne sicuri (probabilmente è wingate, comunque).
2) telesp.net.br? Abuse Desk? HAHAHAHAHAHAHAHA. La società è grossa, ma come quasi tutte le telco (esempio telecom italia, telefonica.es, france telecom-wanadoo, etc etc) ha come politica sfruttare il suo monopolio per evitare blacklistaggi totali
3) se puoi, inserisci tra i filtri brazil.blackholes.us, e dimenticati del Brasile. Anche se ME - 200.242.32.xxx - è un po' che non mi dà più fastidio.
4) allo stato attuale non esiste una via legale per fare in modo che le grosse compagnie si comportino diversamente. Tuttavia, massicci blacklistaggi su spews e pressioni di spamhaus hanno dimostrato che qualche risultato, anche se non radicale, si può ottenere.

Ciao

[ciaba]

........TNX zello .........ora ho un quadro un pò + chiaro...........ti devo chiedere un'altro favore ..... mi sapresti dare una dritta per una guida base (+ della tua).....??...Vorrei approfondire partendo dal basso.....

[Nicola]

cerca la guida antispam di collinelli che è molto ricca e approfondita