On Wed, Nov 02, 2005 at 02:59:42PM +0200, Maxim Tuliuk wrote:
On Wed, Nov 02, 2005 at 10:27 +0200, Vsevolod Volkov wrote:
MT> Вот получил жалобы на клиента, но у него версии sendmail какая указана MT> в header нету, nat и squid закрыты для внешнего мира - что может быть?
Подделка. Это видно как минимум по двум признакам: - формат queue id не соответствует sendmail'у; - время в Received sendmail'а должно содержать имя TZ. Тут указано просто смещение относительно UTC.
а как по этим headers понять, кто именно подделывает: кто-то из транзитных серверов или троян на компе клиента? Как я понимаю, cesmail==spamcop - вобщем, попытаться законтактить спамкоп и жалующихся. Нэжно и ласково. Ещё - спамкоп пишет IP-адреса, с которых жаловались - если они одинковые (вдруг) - то точно подстава.
Ну и это. Шото мне это терроризмом пахнет. Механизм борьбы ламериканцев (провайдера) в ситуации +-подобной (то есть - "кто-то нас имеет по полной, не поймём кто и когда") был как я понимаю такой: законтактили заказчика (хм - телефоны на сайте, физ. адрес в письме, короче - было бы желание) с наездом, на первый раз клиент склеил глупую морду лица, на второй - выдал контору по рассылке. Далее наезды с намёками судебного характера и пятизначных цифр... На дружащих с головой - действует.
MT> [ Offending message ] MT> Received: from unknown (192.168.1.103) MT> by blade6.cesmail.net with QMQP; 1 Nov 2005 09:23:35 -0000 MT> Received: from vmx3.mail.widexs.nl (213.206.122.202) MT> by mx53.cesmail.net with SMTP; 1 Nov 2005 09:23:34 -0000 MT> Received: from [213.206.122.195] (helo=mx1.mail.widexs.nl) MT> by vmx3.mail.widexs.nl with esmtps (TLSv1:AES256-SHA:256) MT> (Exim 4.44) MT> id 1EWsLq-0003l1-FO MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from [193.109.60.78] (helo=realkiev.com.ua) А на этом реалкиеве низзя запустить трафд или подобное? смотреть _куда_ оно коннектиться и поискать схожие количества байт в том, что к вам пришло и от вас отправилось - хотя если троян чуть круче, чем просто прокси - мало поможет.
Кроме того, этот IP - не в каком-нить коло-датацентре-итп? Эт я к тому, что с хреново-настроенными-или-дешёвыми свитчами к такой ситуации запросто приехать можно. Если с того IP дёргать что-то тестовое - то в момент "загробастали" оно не вытащится (типа wget по циклу...). Ещё полезно в senderbase.org сходить, статистику глянуть - она _очень_ похожа на правду для усреднённого случая массовой рассылки, смотреть на среднемесячные и "сегодняшние" цифры. Last day 2.1 -100% Last 30 days 0.6 -100% Average 0.1 Я с большой вероятностью буду утверждать, шо у вас трояны (если таки нету проксей, скриптов на сайте - если тама такой есть). Или буду утверждать, что у вас с больщой вероятностью трояны ;). If there are no reports of ongoing objectionable email from this system it will be delisted automatically in approximately 15 hours. Listing History System has been listed for 2.5 days. "имеют долго и регулярно"? Other hosts in this "neighborhood" with spam reports 193.109.60.168 193.109.61.21 И список какой-то хреновый. 10^3 и ты тут уже 3 жалобы нарисовал. И заметь - всюду " -0500" - это америка, восточное(кажись) побережье или окрестности какого-нить техаса - тама can-spam читали и ваще должны думать о легальности... Короче - нужно найти кто и наехать. Как примерно - написано выше. Наезжать на data-center тяжело (бесполезно), только в theplanet есть шибанутые на всю голову маньяки, которые могут щёлкнуть рубильником и нафиг послать - хотя эффекта от такого - около 0 (потеря пусть даже $100 + возможно неполученная прибыль).
MT> by mx1.mail.widexs.nl with smtp (Exim 4.44) MT> id 1EWsLq-0000Y3-3S MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from mgate.chello.at (mgate.chello.at [213.46.255.2]) MT> by realkiev.com.ua (8.12.11/8.12.11) with ESMTP id tnQl1Cri2VCyHF MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500 MT> Received: from linx (6.248.240.119) MT> by mgate.chello.at (qmail-ldap-1.03) with SMTP MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500
-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message