Ako sa da dostať na spam DB kvôli tretej strane

Aktualizováno: Aktualizováno (20. 3. 2012 10:00)
Miro Bobovský 19. 3. 2012

Jeden z našich čtenářů nám poslal svůj administrátorský příběh o tom, jak se kvůli neschopnosti administrátora cizího serveru dostal jeho IP rozsah na široce využívaný spamlist. Stačí přitom malá chyba, za kterou ale zaplatí někdo jiný. Může se to stát i vám, takže po drobných korekturách text vydáváme.

Dnes som riešil vcelku vtipný prípad .. ako sme sa dostali do nemilosti jednej spam DB ipadmin.jun­kemailfilter.com­. Zaujímavé na tom je, že sa tam ľahko vie dostať každý, a celé je to buď totálna neznalosť admina, pomsta starého admina firme, alebo podivný útok s neznámym zámerom. Alebo…

 Opíšem podstatné: Pár firiem… (napr. Slovanet) používa ipadmin.junke­mailfilter.com ako antispam DB. To je normálne a bežné a teda OK.  Od nás niekto poslal mail na info@vares.sk  a tento mail daná DB označila na svojom webe ako dôkaz, že posielame spam.

Firma Vares.sk je regulérna firma robiaca káblovku a internet a mail (čo som dohliadal, že je ten, čo bol údajne spam) má v tele „výpoveď zmluvy o káblovke ;-)“. Všetko regulérne. Aj keď je vtipné označiť výpoveď za spam, ale to už je asi osud.

Prečo sme sa teda dostali na spamlist a prečo aj ktokoľvek, napr. vy, sa môžte dostať na spamlist? Lebo Vares.sk má vtipné záznamy:

$ host -t NS vares.sk.
vares.sk name server ns1.webhouse.sk.
vares.sk name server ns2.webhouse.sk.

$ host -t MX vares.sk.
vares.sk mail is handled by 20 avatar.hostmaster.sk.
vares.sk mail is handled by 30 tarbaby.junkemailfilter.com.
vares.sk mail is handled by 40 tarbaby.junkemailfilter.com.
vares.sk mail is handled by 10 proxy.vares.sk.
$ host -t SOA vares.sk.
vares.sk has SOA record ns1.webhouse.sk. superadmin.webhouse.sk. 2012030503 28800 7200 604800 86400

A Junke Mail Filter funguje tak, že keď niekto pošle mail na tarbaby, čo je nejaký ich falošný mailer, tak je odosielateľská IP označená za spam. Zrejme majú kade-tade nahodené na webe e-maily (návnady), kde by človek nič neposlal. Na tie sa chytí bot-spamer a takto sa botnet sám prezradí a oznamuje napadnuté IP.

V našom prípade sa to nestane vždy, lebo prioritu 10 ma regulérny server proxy.vares.sk.

Náš mail = výpoveď teda mala smolu, lebo v logu je:

Mar  7 08:34:23
krivan sm-mta[26658]: q277Xflo026656: to=<info@vares.sk>, delay=00:00:42,
xdelay=00:00:42, mailer=esmtp, pri=124609, relay=tarbaby.junkemailfilter.com.
[184.105.182.216], dsn=4.0.0, stat=Deferred: 451-DEFER - TB3 - Try a lower
numbered MX record - [1 FakeMX] - FAKE-MX

A toto svietilo aj na webe Junk Email Filter ako dokaz, ze sme spamer.

Záhada je, prečo by si niekto dával ako MX tarbaby. Lebo nevie, čo robí? Vares.sk je nejaký poskytovateľ televízie a internetu a admin by teda nemal byť úplný idiot. Ide o rafinovaný útok? A aký by mal cieľ? Ide o pomstu starého informatika? Má niekto iný konšpiračný nápad?

Keď som volal na Vares.sk, dali mi číslo na informatika, ktorý riekol, že teraz tomu nerozumie/nemá čas a že mu mám nechať číslo a povie synovi aby mi zavolal… Čím ma dohnal k slzám cez smiech. Neskôr syn zavolal, že im to robí nejaká firma a že oni mi zavolajú. A tak čakám, čo sa ešte dozviem, ale… indície sú neuveriteľné.

Inak Vares.sk… tu je toľko náhod, že keď to niekomu poviem, každý počuje warez. Náhoda či zámer?

<humor>

Teraz máme voľby… hmm. Že by som narobil nejaké emailové adresy a nastavil pre nich MX server na tarbaby a prihlásil dané emaily na odber politickej reklamy, aby som ušetril slovensko od aktuálnej politickej spamovej záplavy a dostal takto IP adresy spamerov do spam DB? Iné rozumné a aktuálne využitie ma nateraz nenapadlo ;-).

</humor>

Dodatok (happyend): Aj Root.cz patrí vďaka, že sa nad vecou začala konštruktívna debata, ktorá vyústila do upozornenia junkemail a možno nájdu chybu a vylepšia svoj system detekcie spamu. Našiel sa aj prevádzkovateľ (nie vlasntik) danej domény, kde došlo k falošnému ohodnoteniu lebo mal dobrú vieru pomôcť v boji proti spamu. No prišiel na to že jeho dobrý úmysel sa može otočiť proti nemu a proti jeho zákazníkom a tak radšej citlivo zvážil a odstúpil od takého riešenia budovania spam DB.

Našli jste v článku chybu?
Vitalia.cz: Očkování je nutné, říká homeopatka

Očkování je nutné, říká homeopatka

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

120na80.cz: Víte, co je svobodná menstruace?

Víte, co je svobodná menstruace?

Vitalia.cz: Galerie: Strouhanka ze starých rohlíků? Kdepak

Galerie: Strouhanka ze starých rohlíků? Kdepak

Měšec.cz: Investiční pasti. Děláte to, co ostatní, ale proděláváte

Investiční pasti. Děláte to, co ostatní, ale proděláváte

Podnikatel.cz: Česká pošta vycouvala ze služby ČP Cloud

Česká pošta vycouvala ze služby ČP Cloud

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Lupa.cz: Kdo vykrádá LinkedIn? Zjistit to má soud

Kdo vykrádá LinkedIn? Zjistit to má soud

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Lupa.cz: Nechcete datacentrum? Jsou na prodej

Nechcete datacentrum? Jsou na prodej

Měšec.cz: Kurzy platebních karet: vyplatí se platit? (TEST)

Kurzy platebních karet: vyplatí se platit? (TEST)

Měšec.cz: Co s reklamací, když e-shop krachuje?

Co s reklamací, když e-shop krachuje?

Podnikatel.cz: Kauza z Vinohrad pokračuje. Policie se omlouvá

Kauza z Vinohrad pokračuje. Policie se omlouvá

Měšec.cz: Ceny PHM v Evropě. Finty na úspory

Ceny PHM v Evropě. Finty na úspory

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

120na80.cz: Kam umístit silikony?

Kam umístit silikony?

Měšec.cz: Udali ho na nelegální software a přišla Policie

Udali ho na nelegální software a přišla Policie