[GSMmaster]

Какая-то киевская пакость шлет пачками спам с разных SMTP, но источник один - машина с проксями 80.168.29.158

Подкиньте идею, куда написать жалобу на данный IP, дабы прикрыли?

[Iverton]

провайдеру .?

[Andreios]

Смотрим whois 80.168.29.158


inetnum: 80.168.29.144 - 80.168.29.159
netname: CASEWISE-SYSTEMS-LIMITED
descr: Routed Connection
country: GB
admin-c: Pet80-RIPE
tech-c: CH309-RIPE
remarks: rev-srv: ns0.clara.net
remarks: rev-srv: ns1.clara.net
status: ASSIGNED PA
mnt-by: AS8426-MNT
source: RIPE # Filtered
remarks: rev-srv attribute deprecated by RIPE NCC on 02/09/2009

role: Claranet Hostmaster
address: Claranet UK Ltd
address: 21 Southampton Row
address: London WC1B 5HA
address: United Kingdom
phone: +44 (0) 20 7685 8000
fax-no: +44 (0) 20 7685 8001
remarks: Claranet UK Hostmaster
remarks: All abuse reports to abuse@clara.net
admin-c: OPS16-RIPE
tech-c: OPS16-RIPE
nic-hdl: CH309-RIPE
mnt-by: AS8426-MNT
source: RIPE # Filtered
abuse-mailbox: abuse@clara.net

person: Peter Mcwilliams
address: Station House, 9-13 Swiss Terrace, London NW6 4RR
phone: +44 (0)2077224000
nic-hdl: Pet80-RIPE
source: RIPE # Filtered

% Information related to '80.168.0.0/16AS8426'

route: 80.168.0.0/16
descr: CLARA-AGG5
origin: AS8426
mnt-by: AS8426-MNT
source: RIPE # Filtered


Пишем на адрес
All abuse reports to abuse@clara.net
жалобу. Если пров нормальный, то заблочат.
Иначе, блокируй этот ip локально.

[GSMmaster]

Andreios сказал:

Иначе, блокируй этот ip локально.

Не поможет. На этом IP прокси, через который спамеры лезут на разные SMTP, с которых и идет спамец...

[Andreios]

Ну и фиг с ней, прокся выдает ip-ки наверняка же из этих же подсетей? Блокируй всю подсеть, типа - 80.168.29.0/24. Или еще шире, уж сам смотри.

[GSMmaster]

Так не поможет же Эта машина ко мне не стучится. В общем, написал на abuse, посмотрим...

[Andreios]

Дык какая разница какая машина, она к тебе стучится из под ip-ка из этого пула, если ты заблочишь эти ip-ки, то и пакеты от них не будут доходить.

[GerinG]

Andreios сказал:

Дык какая разница какая машина, она к тебе стучится из под ip-ка из этого пула, если ты заблочишь эти ip-ки, то и пакеты от них не будут доходить.

А кто говорил про ипы из этого пула? Машинка - гейт и все. Ее блокирование ничего не даст.

Или я чего неправильно понял?

[Andreios]

Давайте разберемся, спамеры юзают проксю, они со своей тачки, отправляют пакеты куда-либо, пакеты заворачиваются на сервер с прокси, на котором происходит изменение заголовков пакетов (это если не прозрачная), в итоге source-ip адрес подменяется прокси-сервером, чтобы замаскировать реальный источник пакета, и к точке назначения они приходят уже с новым ip-ом. ip-ки присваиваются из одной подсети (почти 100%), даже если их динамически меняют, подсеть останется той же, следовательно заблокировав локально входящие пакеты, из этой подсети, они буду блокироваться при первичной обработке пакетов.

[Andreios]

GSMmaster, еще можно сюда написать - http://www.spamcop.net/

[GSMmaster]

Andreios сказал:

Давайте разберемся, спамеры юзают проксю, они со своей тачки, отправляют пакеты куда-либо, пакеты заворачиваются на сервер с прокси, на котором происходит изменение заголовков пакетов (это если не прозрачная), в итоге source-ip адрес подменяется прокси-сервером, чтобы замаскировать реальный источник пакета, и к точке назначения они приходят уже с новым ip-ом. ip-ки присваиваются из одной подсети (почти 100%), даже если их динамически меняют, подсеть останется той же, следовательно заблокировав локально входящие пакеты, из этой подсети, они буду блокироваться при первичной обработке пакетов.

Нет, не верно.

From - Tue Oct 04 09:48:18 2011
X-Account-Key: account2
X-UIDL: :K-!!b5J!!'K##!OKI!!
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:                                                                                 
Return-Path: <dp@sphost.com.ua>
X-Original-To: REMOVED
Delivered-To: REMOVED
X-Greylist: delayed 3012 seconds by postgrey-1.31 at REMOVED; Tue, 04 Oct 2011 08:04:47 EEST
Received: from sphost.com.ua (sphost.com.ua [178.162.167.129])
	by REMOVED (Postfix) with ESMTP id 9B6E7631A0
	for <REMOVED>; Tue,  4 Oct 2011 08:04:47 +0300 (EEST)
Received: from sphost.com.ua (unknown [80.168.29.158])
	by sphost.com.ua (Postfix) with ESMTP id 7070EA0E438;
	Tue,  4 Oct 2011 04:32:30 +0200 (CEST)
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
	s=key; d=sphost.com.ua;
	h=Message-ID:Reply-To:From:To:Subject:Date:MIME-Version:Content-Type:X-MSMail-Priority:X-Mailer:X-MimeOLE;
	b=aWrq+g1Lm8+eMquR1xA7Ygnz+IVDbx8RC7nqVcH/P92dj9DFplWQFY2/x8kbvLhfNjTegZ9UXBn9VGOypruAN+DFQ2JzUoqbTM3ElaZJLgy43qRh1BuUspSfB/t+qFIVS/6b3GznxeD21zV0P8R3fT5ENm4Hcd8uwnL5Gd7m9MQ=;
Message-ID: <f98001cc8245$a8228290$2a93ea7d@dp>
Reply-To: "=?windows-1251?B?xM8g0+rw0fLw7unR5fDi6PE=?=" <dp@sphost.com.ua>
From: "=?windows-1251?B?xM8g0+rw0fLw7unR5fDi6PE=?=" <dp@sphost.com.ua>
To: <utvmovies@utvnet.com>
Subject: =?windows-1251?B?UmU6IM7UztDMy8XNyMUg0dLQzsjSxcvczc7JIMvI1sXNx8jIIMTL3yDC0cXVIQ==?=
Date: Tue, 04 Oct 2011 03:28:17 +0300

---

Received: from novatel.kiev.ua (unknown [178.162.167.135])
	by REMOVED (Postfix) with ESMTP id E5300DBECF
	for <REMOVED>; Mon,  3 Oct 2011 18:50:16 +0300 (EEST)
Received: from novatel.kiev.ua (unknown [80.168.29.158])
	by novatel.kiev.ua (Postfix) with ESMTP id DB16FD62007;
	Mon,  3 Oct 2011 23:08:20 +0200 (CEST)
DomainKey-Signature: a=rsa-sha1; q=dns; c=simple;
	s=key; d=novatel.kiev.ua;

---

Received: from web-up.kiev.ua ([188.72.250.17] helo=web-up.kiev.ua) by
	ASSP.nospam with ESMTP (ASSP 1.9); 21 Dec 2011 04:51:35 +0200
Received: from web-up.kiev.ua (unknown [80.168.29.158])
	by web-up.kiev.ua (Postfix) with ESMTP id E7D66717082;
	Wed, 21 Dec 2011 02:50:00 +0100 (CET)

---

Я свои адреса убрал.

Принцип действия этого спамера понятен или расписать?

[Eugene]

Return-Path: <dp@sphost.com.ua>
это всегда одинаковое ?
фильтруй по return-path

[GSMmaster]

Нет, всегда разное.

Короче, принцип таков - есть, допустим, SMTP сервак atb.com.ua
спамер ставит обратный адрес чегототам@atb.com.ua и отправляет через проксю почту через этот SMTP. Сервак считает, что отправитель - свой, и почту рассылает. Потом берут следующий SMTP с другим доменом, ставят подходящий адрес отправител и так же шлют. И так до бесконечности. Но всё идёт одним путем - через прокси, который 80.168.29.158.

[alexk]

Я бы написал на abuse@clara.net что-нибудь такое:

I'd like to inform you that an ip address 80.168.29.158 belonging to your network is involved in sending unsolicited email messages to our addresses [список]. Attached are a few samples with full headers:

[
примеры писем от спамеров с полными заголовками.
....
]
I'd appreciate it if you could investigate the issue and take necessary measures to stop the spammers from sending emails through your network, particularly, via 80.168.29.158.

Thank you,
Подпись.

[Eugene]

GSMmaster сказал:

80.168.29.158

80.168.29.158 - ты всех запутал - это не прокси - это источник (писем со спамом)

188.72.250.17, 178.162.167.129, 178.162.167.135 - это открытые (читай дырявые) релеи

[GSMmaster]

Eugene сказал:

80.168.29.158 - ты всех запутал - это не прокси - это источник (писем со спамом)

Хе, не всё так просто, это именно прокси, щупал его nmap'ом и тестировал в кач-ве проксика на браузере.

Кстати, на пинг не отвечает, может письмо сработало?

[старый трубочист]

А что шлют? Если рекламу с телефонами или е-мейл, то можно организовать спам-атаку. Помнится где-то читал, что при подобной спам-атаке звонили в 3 часа ночи по указанному в рекламе мебели мобильному и спрашивали:
"Вы продаете славянский шкаф?". Через день и мобильник был выключен и спам с данной рекламой перестал сыпаться.