Spam rozesílaný dalším subjektem

[Franta]

KapitánRUM: a jak poznáš, že ten e-mail s CAPTCHA obrázkem je skutečně e-mail s CAPTCHA obrázkem a ne spam? Co když někdo pošle jako obrázek logo své firmy a ceník? Leda že by sis držel seznam adres, kam jsi v nedávné době posílal zprávy a od nich byl ochotný přijímat tyhle CAPTCHy. Ale to může být zase problém, pokud máš víc serverů -- musíš ten seznam synchronizovat nebo mít jeden centrální (SPoF).

Celkově mi to přijde moc složité a nakonec i neúčinné -- spam může odesílat jiný uživatel ze schválené domény, nebo když se budou schvalovat jednotlivé adresy, může to být zavirovaný počítač resp. součást botnetu a budou se spamy odesílat z dříve schválené adresy -- takže nakonec zase nezbude než kontrolovat obsah zpráv.

[Reklama]

[Mirek]

Pokud je spam z Čech:
1. oznámit na UOOU (sice to vyřízení trvá, ale pokud se jedná opravdu o spam, jak je definován našimi zákony, tak subjekt je potrestán)
2. zjistit si podle MX záznamu poskytovatele emailových služeb, z emailu na který se spamerovi má odpovídat a nahlásit provozovateli serveru/správci IP adresy, že tam mají spamera (naprostá většina obchodních podmínek toto zakazuje a je důvodem k okamžitému ukončení provozu domény na daném hostingu/konektivitě)

Pokud není spam z Čech, tak zbývá jen druhá možnost a zatím všich poskytovatelé, které jsem oslovil, takovouto spamerskou doménu rychle zrušili

[Zdenek]

Podaval jsem nekolik stiznosti naraz, protoze mi zas jeden den dosla trpelivost. Vratilo se mi nekolik zamitnuti stiznosti:

K Vaší stížnosti – číslo podání ... a ... ze dne 15. února 2012 na rozesílání nevyžádaného obchodního sdělení Vám sdělujeme následující.

Z textu zaslané zprávy bylo zjištěno, že předmětná zpráva je sice po obsahové stránce obchodním sdělením ve smyslu § 2 písm. f) zákona č. 480/2004 Sb., nicméně Úřadu pro ochranu osobních údajů (dále jen „Úřad“) se na základě technické analýzy zdrojového kódu zprávy nepodařilo zjistit konkrétního odesílatele předmětného sdělení. Vzhledem ke skutečnosti, že Úřad nemá pravomoc šetřit „ve věci“, ale pouze proti konkrétnímu subjektu a též vzhledem k tomu, že zákon postihuje odesílatele, a ne v čí prospěch bylo sdělení odesláno, nemůže Úřad zahájit v této věci šetření.

Pricemz se prave jednalo o spamy podobne tomu z "submailbase.info" - tedy firma A rozesila spam ve prospech firmy B. Ke stiznosti jsem pridal informace z whois, popripade rovnou odkazy na nic.cz - vlastnik/administrator domeny (A, B). Samozrejme s tim, ze spam maji na svedomi oba subjekty (pokud mela firma B na svem webu nejake udaje*, pridal jsem ke stiznosti i ty).

Clovek, s kterym jsem si vymenil nekolik zprav z Gransy mi rikal, ze s IP adresou k domene nemaji nic spolecneho. Presne nevim, co tim myslel - snad ze samotny server neni u nich. Ovsem po takove informaci jsem ani nebazil - registrator domen urcite jednal s fyzickou/pravnickou osobou, pri sjednani poskytovani sluzeb. A nepredpokladam, ze nekdo poridi domenu, a poskytne ji jeste nekomu dalsimu.

Proc je tedy pro UOOU jako instituci problem vyzadat si informace, ktere by vedly ke spammerovi? Poskytovatel sluzby nebude davat udaje o svych zakaznicich kazdemu, kdo si o ne rekne (coz je samozrejme spravne). UOOU by ale v takovem pripade mel mit nejakou paku takove udaje ziskat (a hlavne by tedy museli tu snahu o ziskani udaju vubec mit)...


* Narazil jsem i na nejaky vestirensky spam. Domena registrovana u zahranicni spolecnosti, na webu zadne ICO/DIC, jmeno subjektu, ani jmeno provozovatele. Pouze nejake zpoplatnene cislo. V takovem pripade bych ocekaval, ze je mozne dohledat spammera i pres poskytovatele zpoplatnenych linek/premium SMS...

[Zdenek]

A jeste bych si dovolil pridat mou kolekci:

Kód: [Vybrat]

Received: from delta.webcluster.cz (unassigned-93-170-23-15.ip.uplink.cz [93.170.23.15]) by email-smtpd-v5.ng.seznam.cz (Seznam SMTPD 1.2.15-6@18976) with ESMTP; Wed, 14 Mar 2012 11:18:16 +0100 (CET)
Received: from sumailbase.info (alfa.webcluster.cz [93.170.23.12]) by delta.webcluster.cz (Postfix) with ESMTP id 4664E1C7F81 for <...>; Wed, 14 Mar 2012 10:21:33 +0000 (UTC)
Date: Wed, 14 Mar 2012 11:21:33 +0100 (CET)
To: ...
From: =?iso-8859-2?Q?SMS=20P=F9j=E8ka?= <smspujcka@sumailbase.info>


Kód: [Vybrat]

Received: from delta.webcluster.cz (unassigned-93-170-23-15.ip.uplink.cz [93.170.23.15]) by email-smtpd-v7.go.seznam.cz (Seznam SMTPD 1.2.15-6@18976) with ESMTP; Fri, 09 Mar 2012 02:44:45 +0100 (CET)
Received: from sumailbase.info (alfa.webcluster.cz [93.170.23.12]) by delta.webcluster.cz (Postfix) with ESMTP id 8A7A81D6D35 for <...>; Fri,  9 Mar 2012 01:47:44 +0000 (UTC)
Date: Fri, 09 Mar 2012 02:47:44 +0100 (CET)
To: ...
From: =?us-ascii?Q?Citi=20kreditka?= <citikarta@sumailbase.info>


Kód: [Vybrat]

Received: from mg1v15.sprintdns.net (mg1v15.sprintdns.net [188.165.182.190]) by email-smtpd3.go.seznam.cz (Seznam SMTPD 1.2.15-6@18976) with ESMTP; Thu, 08 Mar 2012 20:29:14 +0100 (CET)
Received: from localhost.localdomain (mg1v16.sprintdns.net [188.165.182.191]) by mg1v15.sprintdns.net (Postfix) with ESMTP id 6A913C31829E3 for <...>; Thu,  8 Mar 2012 20:09:17 +0100 (CET)
Date: Thu, 08 Mar 2012 20:09:17 +0100 (CET)
To: =?us-ascii?Q?... <...>
From: =?us-ascii?Q?info=40superpenize=2Ecom?= <info@superpenize.com>

Lze z toho vubec vycist neco vic, nez jiz vim?

Jinak se zda, ze si s webem spammer praci moc nedal: http://www.sumailbase.info/odhlasit.php?m=%27 ... ted jeste vedet o nejakem bugu v dibi. Nevi nekdo?

[Mirek Prýmek]

Clovek, s kterym jsem si vymenil nekolik zprav z Gransy mi rikal, ze s IP adresou k domene nemaji nic spolecneho. Presne nevim, co tim myslel - snad ze samotny server neni u nich. Ovsem po takove informaci jsem ani nebazil - registrator domen urcite jednal s fyzickou/pravnickou osobou, pri sjednani poskytovani sluzeb. A nepredpokladam, ze nekdo poridi domenu, a poskytne ji jeste nekomu dalsimu.

Domenu oficialne vlastni "Whois protection" se sidlem Fablovka 404, Pardubice. Na te adrese je vic firem, firma s nazvem "Whois protection" neni ani v zivnostenskem, ani obchodnim rejstriku. Mail jde na domenu fablovkawhoisprotection.com, ke ktere whois rika:

Owner Organization: Whois Protection
Owner Name: Whois Protection
Owner Street: Fablovka 404 (All postal mail rejected)
Owner City: Pardubice
Owner ZIP: 53352
Owner Country: CZ
Owner E-Mail: fablovkawhoisprotection.com@fablovkawhoisprotection.com
Owner Phone: +420.226517351

Vsiml bych si toho "All postal mail rejected" a telefonniho cisla na technickou podporu Gransy: http://www.klenot.cz/cs/o-nas/kontakt/
Docela by me zajimalo, jestli je to vubec legalni, uvest do Whois neexistujici firmu... Kazdopadne je to teda zpusob, jak Gransy anonymizuje vlastnika domeny - viz http://en.wikipedia.org/wiki/Domain_privacy Firma bud vubec neexistuje, nebo je to bily kun Gransy...

S provozem na domene teda Gransy nema opravdu nic spolecneho, takhle chranych domen maji 1479:  http://whois.domaintools.com/sumailbase.info

Proc je tedy pro UOOU jako instituci problem vyzadat si informace, ktere by vedly ke spammerovi? Poskytovatel sluzby nebude davat udaje o svych zakaznicich kazdemu, kdo si o ne rekne (coz je samozrejme spravne). UOOU by ale v takovem pripade mel mit nejakou paku takove udaje ziskat (a hlavne by tedy museli tu snahu o ziskani udaju vubec mit)...

Nejsem pravnik, ale pokud UOOU pise, ze nemaji pravo setrit "ve veci", tak to nejspis znamena, ze nemaji pravo delat "detektivni praci" a vyhledavat, kdo je skutecnym uzivatelem domeny, ktery se skryva za anonymizaci. Nejspis by ses teda musel obratit na policii.

Osobne by me teda na cele kauze nejvic zajimalo, jestli je nebo neni nejak postizitelne kdyz Gransy uvadi do whois neexistujici firmu a sama figuruje jenom jako Sponsoring registrar... To by taky mozna stalo za zjisteni, ale otazka je, jestli se ti chce rypat do Gransy, kdyz to tvuj problem neresi.

[Reklama]

[Mirek Prýmek]

Osobne by me teda na cele kauze nejvic zajimalo, jestli je nebo neni nejak postizitelne kdyz Gransy uvadi do whois neexistujici firmu a sama figuruje jenom jako Sponsoring registrar... To by taky mozna stalo za zjisteni, ale otazka je, jestli se ti chce rypat do Gransy, kdyz to tvuj problem neresi.

P.S. predpokladam, ze Gransy v pripade napadeni vytahne fakturu firme Whois Protection z Pardubic a kdyby ta firma neexistovala, bude se hajit tim, ze zila v dobre vire, ze firma existuje, a jako jediny kontakt s firmou vytahne nejake mobilni cislo na SIMku, ktera uz bude davno v kosi...

[Lol Phirae]

Myslím, že odesilatele není snad tak těžké najít? Kdopak to na té adrese sídlí, hmmm?

Direkte, s.r.o.
Fablovka 404
533 52 Pardubice
Czech Republic

http://www.direkte.cz/index.php?lang=en

[Mirek]

MX záznamy:
fablovkawhoisprotection.com : mail.fablovkawhoisprotection.com   89.187.132.18   mx.gransy.com
takže stížnost na gransy.com, kontakt lze najít v RIPE, a pokud se rozesílá spam z této domény, pak by UOOU s tím měl umět něco udělat

superpenize.com : ASPMX.L.GOOGLE.com   173.194.70.27   fa-in-f27.1e100.net
takže stížnost poslat na google.com, že jejich gmail je zneužíván spamerem a oni mu zruší účet

sumailbase.info : mail.sumailbase.info   62.76.191.77   62-76-191-77.clodo.ru
kontakt na provozovatele tohoto mailserveru lze opět najít v RIPE a oni mu zruší účet a doménu už tam hostovat nebude - to je problém UOOU, že on řeší problémy jen v rámci ČR, takže pokud jde spam z ciziny, je třeba to řešit přímo se správcem serveru/ip adresy

jinak nebojte se hostingů na ukrajině, rusku apod. fungují dobře a spamery ruší rychle, zrovna teď jsem dokomunikoval s ukrajinským  serverem ukservers.com a jednu takovouto spamerskou doménu zrovna zrušili

[Mirek]

a pokud je spam rozesílán z IP adres 188.165.182.190 a 93.170.23.15, tak obě patří uplink.cz, takže opět stížnost přes kontakt v RIPE, že z jejich IP adres je rozesílán spam a oni by měli mít možnost se zákazníkem zrušit smlouvu (spam je určitě jedna ze zakázaných činností a důvod k výpovědi smlouvy) a pokud nestačí uplink.cz, tak kontaktovat nadřazenou síť

[KapitánRUM]

Mňo, pokud je to tak snadné, jak říkáš, tak T-Mobile mi taky poslal spamm, komu mám napsat, aby jim zrušili doménu a odpojili od Internetu? Jo a pak tu je asi 20 firem, moje konkurence, no, ty půjdou jako další
A důkazy? No....tak editovat eml zvládnu a když to pošlu jménem firmy odněkud z Iráku, mělo by to projít ne 
Jestli to takhle funguje, tak je to sranda 

[Lol Phirae]

Mňo, pokud je to tak snadné, jak říkáš, tak T-Mobile mi taky poslal spamm, komu mám napsat, aby jim zrušili doménu a odpojili od Internetu? Jo a pak tu je asi 20 firem, moje konkurence, no, ty půjdou jako další

No, já se taky nestačím divit, s jakýma kokotinama jsou lidi mrhat časem.

[Mirek]

Tak ráno jsem psal správci serveru, na který vedl MX záznam pro @jobbineuropa.com neboť za poslední dva dni jsem dostal několik desítek spamů (s nabídkou práce) na různé moje adresy, kde byly uvedeny náhodně generované emailové adresy pro odpověď z této domény a teď už MX záznam pro tuto doménu neexistuje

[abuse]

Ježiš, vy jste všichni tak strašně chytří :-)
Než tu budete prezentovat nějaké svoje doměnky, názory a informace jako fakta, tak si je nejdřív nastudujte potřebné informace - jedině tak se vyhnete tomu, abyste vypadali jako kok*ti.

Takže fakta:
Gransy s.r.o. je v ČR jediný ICANN acredited registrar - a ti mohou poskytovat anonymizaci domén tím, že uvádí nějaký svůj subjekt jako vlastníka - obvykle obsahující informaci o tom, že jde o anonymizaci, nejedná se o skutečného vlastníka (informace "whois protection" a že na adrese která je uvedena není přijímána pošta. Tedy aby např. číňan věděl, že tam nemá smysl nic posílat, protože to vlastník stejně nedostane. Stejnou možnost skrytí vlastníka nabízí prakticky každý icann acredited registrátor - někteří zdarma (jako Gransy, namesilo.com, ...), někteří za peníze (godaddy, name.com, moniker.com, ...). To že na té adrese kterou používá registrátor pro whois protect sídlí on sám, či řada dalších firem je přinejmenším obvyklé.

Další věc je, že prezentování spamu z nějaké sítě stylem kterým tu provádíte, je prostě blbost. Pokud se jedná o větší síť (podle dostupných informací má uplink.cz mezi zákazníky několik zahraničních telco providerů a poskytuje služby od hostingu, přes vps, dedikáče, housing, po managed servery - sám u nich mám servery ve dvou datacentrech v Praze a z toho co jsem viděl usuzuji počet serverů vrámci jejich sítě přinejmenším na stovky), samozřejmě nemůže provider ohlídat co se děje na všech serverech v jeho sítí, tím spíš pokud je nespravuje. Od toho slouží abuse mail, který je obvykle uveden ve whois u daných IP a na který je normální reportovat spam ze sítě daného providera - který si to obvykle se svým zákazníkem vyřídí - minimálně v mé smlouvě s uplink.cz je standardní zákaz spamu, hackování, warezení apod., stejně jako v asi každé smlouvě na serverhousing - takže na tom evidentně provider nemá zájem :-) Výkřiky v diskuzích to opravdu nespraví.

Takže obecná rada? Došel vám od někoho spam? Koukněte do hlaviček na IP odesílatele, koukněte na whois té IP, najděte tam abuse mail providera, a mail mu s celýma hlavičkama přepošlete. Věřte, že si s tím poradí líp a rychleji než UOOU.

[Mirek Prýmek]

Gransy s.r.o. je v ČR jediný ICANN acredited registrar - a ti mohou poskytovat anonymizaci domén tím, že uvádí nějaký svůj subjekt jako vlastníka - obvykle obsahující informaci o tom, že jde o anonymizaci, nejedná se o skutečného vlastníka (informace "whois protection" a že na adrese která je uvedena není přijímána pošta. Tedy aby např. číňan věděl, že tam nemá smysl nic posílat, protože to vlastník stejně nedostane. Stejnou možnost skrytí vlastníka nabízí prakticky každý icann acredited registrátor - někteří zdarma (jako Gransy, namesilo.com, ...), někteří za peníze (godaddy, name.com, moniker.com, ...). To že na té adrese kterou používá registrátor pro whois protect sídlí on sám, či řada dalších firem je přinejmenším obvyklé.

No tak to je pak jasny. Ja jsem mel totiz za to, ze kdyz nekdo anonymizaci poskytuje, tak tam vyplni svoje PLATNE udaje. Jestli si registratori do WHOIS muzou vyplnit uplne cokoli, treba adresu prezidenta CR, tak to pak jo... Akorat mi teda pak trochu unika, k cemu vlastne WHOIS za takovych podminek je, ale co uz no...