[caiu] PHISING na lista

César de Tassis Filho ctassisf em gmail.com
Sex Jan 6 08:45:31 BRST 2017 

Pessoal,

Mais uma vez insisto: Esta é uma lista de outages, de indisponibilidade,
mesmo envolvendo a lista caiu esta thread não é adequada à mesma. Recomendo
"carregar" esta discussão para a GTER ou MASOCH-L caso queiram continuar a
levantar evidências.

Em tempo, aproveito para concordar com o Rubens de que o SPF estava, sim,
presente em eng.registro.br no momento do incidente do phishing, tanto que
ele aparece no cabeçalho recebido/armazenado pelo meu Gmail (*no momento do
recebimento do e-mail*):

Delivered-To: ctassisf em gmail.com
Received: by 10.107.134.213 with SMTP id q82csp10273950ioi;
        Thu, 5 Jan 2017 02:23:50 -0800 (PST)
X-Received: by 10.28.28.6 with SMTP id c6mr820439wmc.34.1483611830241;
        Thu, 05 Jan 2017 02:23:50 -0800 (PST)
Return-Path: <caiu em eng.registro.br>
Received: from fbi.fettesbrot.de (fbi.fettesbrot.de. [212.227.80.32])
        by mx.google.com with ESMTPS id 73si81198456wmn.146.2017.01.
05.02.23.50
        for <ctassisf em gmail.com>
        (version=TLS1 cipher=AES128-SHA bits=128/128);
        Thu, 05 Jan 2017 02:23:50 -0800 (PST)
*Received-SPF: fail (google.com <http://google.com>: domain of
caiu em eng.registro.br <caiu em eng.registro.br> does not designate
212.227.80.32 as permitted sender) client-ip=212.227.80.32;*
*Authentication-Results: mx.google.com <http://mx.google.com>;*
*       spf=fail (google.com <http://google.com>: domain of
caiu em eng.registro.br <caiu em eng.registro.br> does not designate
212.227.80.32 as permitted sender) smtp.mailfrom=caiu em eng.registro.br
<caiu em eng.registro.br>;*
*       dmarc=fail (p=NONE dis=NONE) header.from=eng.registro.br
<http://eng.registro.br>*
Received: from [127.0.0.1] (helo=infongd1529.rtr.kundenserver.de) by
fbi.fettesbrot.de with esmtp (Exim 4.72) (envelope-from <
caiu em eng.registro.br>) id 1cP5D3-00056h-NQ for ctassisf em gmail.com; Thu, 05
Jan 2017 11:23:49 +0100
Received: from 222.86.88.41 (IP may be forged by CGI script)
    by infongd1529.rtr.kundenserver.de with HTTP
    id 0YDpHq-1cwD2T2ym8-00bbiJ; Thu, 05 Jan 2017 11:23:49 +0100
X-Sender-Info: <91520610 em infongd1529.rtr.kundenserver.de>
Date: Thu, 05 Jan 2017 11:23:49 +0100
Precedence: bulk
X-Apache-Env: www-ip="MjIyLjg2Ljg4LjQx";helo="aW5mb25nZDE1Mjkucn
RyLmt1bmRlbnNlcnZlci5kZQ==";script="L2Jsb2cvd3AtY3 llLnBocA=="
To: <ctassisf em gmail.com>
Subject:
Message-ID: <35CF85E913C7E95A8683CA7460A95F64 em yahoo.com>
From: Lista das indisponibilidades da Internet brasileira <
caiu em eng.registro.br>
Reply-To: Lista das indisponibilidades da Internet brasileira <
caiu em eng.registro.br>
Subject: Re: [caiu] google hackeado?
Organization:
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary="10095c4e1f13640af7bcb36609d9"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Windows Live Mail 14.0.8117.416
X-MimeOLE: Produced By Microsoft MimeOLE V14.0.8117.416


E Leandro, a que "ataque aos servidores DNS utilizados pelo Google" você
está se referindo? Isso não me parece adequado porque 1- não houve ataque
ao serviço DNS do Google nem ao Registro.br, conforme explicado pelo
próprio Rubens na outra thread desta lista e 2- isso não "vem acontecendo
recentemente", foi um incidente isolado em anos/décadas.

César

2017-01-06 8:03 GMT-02:00 Leandro Carlos Rodrigues <
leandro em allchemistry.com.br>:

> Em 05/01/2017 15:09, Rubens Kuhl escreveu:
>
>> Complementando, um usuário nos enviou headers da mensagem recebida pelo
>> Gmail e lá estava claro que o sistema destino dispunha de informações
>> suficientes para julgar o e-mail como falso:
>>
>> Received-SPF: fail (google.com: domain ofgter em eng.registro.br  does not
>> designate 74.208.4.196 as permitted sender) client-ip=74.208.4.196;
>> Authentication-Results: mx.google.com;
>>         spf=fail (google.com: domain ofgter em eng.registro.br  does not
>> designate 74.208.4.196 as permitted sender) smtp.mailfrom=
>> gter em eng.registro.br;
>> dmarc=fail (p=NONE dis=NONE) header.from=eng.registro.br
>>
>
> Rubens. Pelo que eu pude apurar aqui, tudo leva a crer que o
> eng.registro.br ficou sem o TXT por um breve período de tempo.
>
> Foi bem curto mesmo pois eu olhei o TXT vazio num instante e, logo depois
> de alguns minutos, o TXT reapareceu.
>
> Seria isso algum tipo de ataque aos servidores DNS utilizados pelo Google,
> como vem acontecendo recentemente?
>
>
>
>>
>> Rubens
>>
>
> _______________________________________________
> caiu mailing list
> caiu em eng.registro.br
> https://eng.registro.br/mailman/listinfo/caiu
>
>
> --> PARA SAIR DA LISTA SIGA AS INSTRUÇÕES em:
>
> https://eng.registro.br/mailman/options/caiu
>

Mais detalhes sobre a lista de discussão caiu