вирусы и трояны в сети. электронная почта не пройдет ?!

[gastor3]

С недавних пор обнаружил что мои письма, написанные из дому не доходят до адресатов. Некоторые возвращаются с пометкой "спам", а большая часть - просто исчезает.

Озаботился этим вопросом и обнаружил, что нормовская сеть регулярно оказывается в "черных списках" различных специализированных антиспамовых серверов. А почтовые сервера по этим спискам отсеивают письма, которые им кажутся спамом.
Проверить текущее состояние можно тут

Наиболее вероятная причина - заражение компов троянами, которые рассылают спам по всему миру. Например в данный момент пользователь с IP адресом 192.168.60.38 рассылает такой спам (это мне рассказал сервер PSBL:

From onlinesupport_id-88585@53.com Mon Feb 05 08:18:31 2007
Delivery-date: Mon, 05 Feb 2007 08:18:31 -0500
Received: from [194.79.21.131] (helo=ns.norma4.ks.ua)
by rohan.surriel.com with esmtp (Exim 4.63)
(envelope-from <onlinesupport_id-88585@53.com>)
id 1HE3jj-000616-8O
for victim@smtp.example; Mon, 05 Feb 2007 08:18:31 -0500
Received: from belka (belka [192.168.60.38])
by belka (8.12.8p1/8.12.8) with ESMTP id i6736B99E028E3
for <victim@smtp.example>; Mon, 5 Feb 2007 17:18:27 +0200
(envelope-from onlinesupport_id-88585@53.com)
Date: Mon, 5 Feb 2007 17:18:27 +0200
From: "Fifth Third Bank" <onlinesupport_id-88585@53.com>
Reply-To: "Fifth Third Bank" <onlinesupport_id-88585@53.com>
To: victim@smtp.example
Subject: service notification from Fifth Third Bank.


Что будем делать, граждане ? Меня лично сильно напрягает то, что мои письма могут в любой момент исчезнуть и не дойти до получателя. А вас ?

P.S.
Только не говорите, что это у получателей писем неправильные почтовые сервера.

[pingwinator]

а smtp у тебя нормы или чей? и почта у тебя как я понял на буржуев ходит.....
странно, ящики на mail.ru и яндексе - проблем подобных не видел
и ещё - а чё это за мыло в логе

Цитата:

for victim@smtp.example; Mon, 05 Feb 2007 08:18:31 -0500

[gastor3]

smtp у меня не нормовский, но это не спасает - почтовый сервер показывает, откуда пришло письмо - смотри хотя бы тот лог, который я привел. Все письма, отправители которых находятся внутри нашей сетки, буду отсеиваться.

разумеется, если пользоваться вебмейлом, таких проблем не будет, но меня это не устраивает.

чей адрес - не знаю, это надо спрашивать у того трояна, который живет на 192.168.60.38. смотри внимательно - это было не от меня и не ко мне письмо. это письмо, которое было обнаружено кем-то в сети и за его рассылку адрес нормы был включен в черный список.

[pingwinator]

Цитата:

Сообщение от gastor3

smtp у меня не нормовский, но это не спасает - почтовый сервер показывает, откуда пришло письмо - смотри хотя бы тот лог, который я привел. Все письма, отправители которых находятся внутри нашей сетки, буду отсеиваться.

разумеется, если пользоваться вебмейлом, таких проблем не будет, но меня это не устраивает.

чей адрес - не знаю, это надо спрашивать у того трояна, который живет на 192.168.60.38. смотри внимательно - это было не от меня и не ко мне письмо. это письмо, которое было обнаружено кем-то в сети и за его рассылку адрес нормы был включен в черный список.

хм, даже так....
тогда скорее это твоя проблема - я посморел по логам - ничё подобного нет. как вариант используй прокси - toonel.net. Писаная на яве. Там в настройках есть опция настройка smtp портмапинга
качать по http://www.toonel.net/generic/005050/toonel.jar

[gastor3]

Цитата:

Сообщение от PingWin

хм, даже так....
тогда скорее это твоя проблема -

я не думаю, что когда вся нормовская сетка заносится в мировые спамлисты - это моя проблема ... просто никто этого не замечает, зато я постоянно слышу как люди друг другу жалуются "как хреново почта ходит".

Цитата:

Сообщение от PingWin

я посморел по логам - ничё подобного нет.

э... а что именно ты по логам смотрел ? и по каким логам ? разве что если на серверах нормы искать следы работы троянов в виде повышенного исходящего траффика из сетки на 25-е порты.

Цитата:

Сообщение от PingWin

как вариант используй прокси - toonel.net. Писаная на яве. Там в настройках есть опция настройка smtp портмапинга
качать по http://www.toonel.net/generic/005050/toonel.jar

а чем меня это спасет ? судя по описанию оно сжимает исходящий трафик. никакой смены исходящего IP не производится.

[pingwinator]

Цитата:

Сообщение от gastor3

я не думаю, что когда вся нормовская сетка заносится в мировые спамлисты - это моя проблема ... просто никто этого не замечает, зато я постоянно слышу как люди друг другу жалуются "как хреново почта ходит".

я жалобы слышу впервые

Цитата:

э... а что именно ты по логам смотрел ? и по каким логам ? разве что если на серверах нормы искать следы работы троянов в виде повышенного исходящего траффика из сетки на 25-е порты.

ну сам себе письмо отправил на разные ящики - такого мусора в заголовках нет

Цитата:

а чем меня это спасет ? судя по описанию оно сжимает исходящий трафик. никакой смены исходящего IP не производится.

ну а ты запусти и проверь. раньше был американский ip, щас же купили сервак в германии и поставили немецкий ip. мне было необычно видеть гугль на немецком )

[gastor3]

Цитата:

Сообщение от PingWin

я жалобы слышу впервые

просто народ уже считает само собой разумеющимся что почта куда-то ходит, а куда-то нет ...

Цитата:

Сообщение от PingWin

ну сам себе письмо отправил на разные ящики - такого мусора в заголовках нет

да мусор тут ни при чем. в заголовках должно быть поле Received по которому определяется отправитель. если почтовый сервер эти заголовки специально не отрезает.

ладно, если всех все устраивает, то дальнейшая дискуссия бессмысленна.

а то я привожу конкретные факты с указанием источников информации (по сети бродят трояны, изнутри рассылается спам, адрес сети занесен в черные списки), а мне говорят, что это мои проблемы и что такого не бывает ...

[Политолог Швейк]

Цитата:

Некоторые возвращаются с пометкой "спам", а большая часть - просто исчезает.

исчезают куда?
и раз адрес занесен в спам списки, то тут остается только сушить помидоры, никто его отуда уже не вынесет

1. найти и наказать спамера, администрацию за головотяптсво
2. отсылать письма анонимно, proxy и т.д. и вообще это признаки хорошего тона не юзать общий ip

а проблема действительно не твоя, видно пингвин это такой себе стандартный админчик, а в их среде принято все и всегда сваливать на юзеров

[Grig]

Цитата:

Сообщение от gastor3

smtp у меня не нормовский, но это не спасает - почтовый сервер показывает, откуда пришло письмо - смотри хотя бы тот лог, который я привел. Все письма, отправители которых находятся внутри нашей сетки, буду отсеиваться.

Никогда спам не отсетиваться по внутренним ip адресам, в диапазоне их всего-то 3-4 (192.168. 10.0.0 169. ). Если вы использовали smtp другого провайдера и ответом было - Блоклист, значит и тот провайдер находиться в черном списке, что не есть редкость ... А Пингвин не Админчик, и кстате, намного больше знает по сравнению с вами по сабжу ...

[Политолог Швейк]

А вы проверте господин админ блэклисты, а потом утвеждайте, провайдеру стыдно и убыточно светится в них
gastor3 явно привел факт, что адрес в блэклисте
...
и только что вышеуказанный ip - 194.79.21.131 , пробил по некоторым базам и вуаля он там занесен, так что пора вам занятся деблэклистингом

пингвин именно админчик, и в теме, он тоже далеко не сечет, судя по постам, был конкретный вопрос, и не было конкретного ответа, а беспредметная вода якобы знатока, целью которого было указать что виноват юзер, лучше бы молчал

причем здесь внутренние адреса и другие провайдеры вообще не понятно ), совсем в молоко

[gastor3]

Цитата:

Сообщение от Admin

Никогда спам не отсетиваться по внутренним ip адресам, в диапазоне их всего-то 3-4 (192.168. 10.0.0 169. ). Если вы использовали smtp другого провайдера и ответом было - Блоклист, значит и тот провайдер находиться в черном списке, что не есть редкость ... А Пингвин не Админчик, и кстате, намного больше знает по сравнению с вами по сабжу ...

Вы издеваетесь или просто лень пойти по тем ссылкам, которые я указал или хотя бы прочитать то, что я написал ?

Адреса нормы внесены в блэк листы - это факт, который знающий человек не будет оспаривать. Для этого ему достаточно зайти на указанную мной ссылку и увидеть результат. Кроме того, знающий человек не будет называть поля заголовка писем "мусором".

Что касается внутреннего адреса, то я его привел только как пример пользователя сети, компьютер которого заражен трояном.

Сегодня нашу подсеть 10.х переключили на другой адрес (194.79.21.132) - и там та же картина, даже еще похуже ... А на запрос об исключении адреса из одного из блэклистов отвечают вот что:
There were problems with your removal request.

• 194.79.21.132 does not have a reverse pointer. It is not mapped to a host.
  A reverse pointer is REQUIRED for removal.
  Please refer this matter to your provider for resolution.
  Additional information pertaining to DNS requirements is available our web site.

А вы вообще в курсе, что отсутствие обратки у адреса отправителя обычно расценивается антиспамовыми системами как один из факторов потенциальной вредоносной деятельности ?

Если вы такие знающие люди, слабо вам обратку прописать для адресов вашей/нашей зоны ?

[gastor3]

Цитата:

Сообщение от Политолог Швейк

исчезают куда?
и раз адрес занесен в спам списки, то тут остается только сушить помидоры, никто его отуда уже не вынесет

я говорил не о спам-списках адресов электронной почты, по которым рассылают спам. Я говорил о специальных антиспамовых системах, которые собирают информацию об ip-адресах, С КОТОРЫХ спам рассылается. В данный момент нормовские "внешние" адреса в такие списки включены.

а множество почтовых серверов в мире (и не только буржуйские) проверяют входящие письма и отбрасывают почту, если адрес отправителя числится в таких списках.

антиспамовые системы как правило разрешают владельцу исключить свой адрес из черного списка. но для этого (а) нужно чтобы прекратилась трояно-спамовая деятельность из сети и (б) чтобы админы занялись мониторингом состяния блэклистов.

пока что ни в (а) ни в (б) я не вижу заинтересованности.

Цитата:

Сообщение от Политолог Швейк

1. найти и наказать спамера, администрацию за головотяптсво
2. отсылать письма анонимно, proxy и т.д. и вообще это признаки хорошего тона не юзать общий ip

а как вы предлагаете не юзать общий ip если он один на целую группу сетей нормы ?

кстати, анонимные smtp-proxy используются в основном именно спамерами и внесены в черные списки прочно и надолго. Впрочем, если вы знаете такой "чистый" адрес анонимного smtp-proxy, с удовольствием им воспользуюсь.

[doker_84]

Цитата:

Сообщение от gastor3

я не думаю, что когда вся нормовская сетка заносится в мировые спамлисты - это моя проблема ... просто никто этого не замечает, зато я постоянно слышу как люди друг другу жалуются "как хреново почта ходит".



э... а что именно ты по логам смотрел ? и по каким логам ? разве что если на серверах нормы искать следы работы троянов в виде повышенного исходящего траффика из сетки на 25-е порты.



а чем меня это спасет ? судя по описанию оно сжимает исходящий трафик. никакой смены исходящего IP не производится.

Действительно IP один и тот-же. Хотя в книгах читал что при каждом выходе в нет генерируется новый(не всегда), но здесь это не так. В нете на некоторых сайтах можно видеть свой IP - результат одни и те-же цифры.