[MASOCH-L] SPAM maldito - usuário sales@

Marcelo Coelho marcelo at tpn.com.br
Tue Jul 3 11:43:32 BRT 2007 

Prezados,

Alguém na lista está tendo problemas com milhares de SPAM vindo de 
e-mails sales at dominio.aleatorio?

------------
From: "Sales Department" <sales at librodorado.com>
To: "Akram Uzair" <kuznetsov at xxxxxxxxxxxx.com.br>
Subject: GENUINE VIAGRA AND CIALIS

Now you can order Original Viagra directly from Pfizer

Here: http://www.librodorado.com/

All prices are tax/vat free and same-day free worldwide shipping also 
included.

-- 
ufprqsqipjptqnqtpgqoofqsqqqgqgpmplquqmqrqjqhpjuiqsqfnsrunfog
------------

Este SPAMMER parece ser muito mais experto, veja só:

- Utiliza domínios aleatórios, alternando-os de tempos em tempos, 
tornando quase impossível o bloqueio por domínio.
- Todos os domínios têm +all no registro SPF, complicando a vida de quem 
utiliza greylisting baseado em SPF.
- A mensagem sempre é encerrada com uma string aleatória no final, para 
confundir filtros que analisam o conteúdo.
- Ele deve possuir uma rede enorme de máquinas zumbi's à sua disposição, 
pois utiliza um IP diferente em cada conexão. Isso complica qualquer 
limite de conexão simultânea por IP ou por Rede, o spammer acaba por 
consumir uma boa parte dos recursos do servidor.
- Assim que ele recebe um erro, seja 4xx ou 5xx, o danado muda 
imediatamente passa a enviar a mensagem a partir de outro IP.
- Se um destes IPs cai em alguma RBL, ele rapidamente ele deixa de 
utilizá-lo e parte para "IPs frescos".
- Se por azar (ou sorte nossa) ele for recusado por 2 vezes, ele parte 
para o próximo destinatário.

Resumindo: o envio deste spammer é altamente eficiente. O único detalhe 
deste spammer é que ele SEMPRE utiliza o usuário sales@ com os mais 
diferentes domínios, mas não duvido que ele comece a utilizar remetentes 
aleatórios.

Quem utiliza filtro que analisa conteúdo facilmente elimina este tipo de 
e-mail colocando as palavras chave VIAGRA e PFIZER no filtro, mas no meu 
caso a utilização de um filtro deste tipo seria inviável pois certamente 
causaria problemas de processamento.

Pensei em algumas soluções para o problema:

1) Detectar os espertinhos que colocal +all no SPF e forçá-los a passar 
pelo greylisting. Solução momentânea, já que o SPAMMER poderia se 
adaptar de mil maneiras, colocando vários blocos /8 no SPF, por exemplo.

2) Identificar todos os IPs utilizados por este spammer e bloqueá-los, 
tornando a vida dele mais difícil.

Alguém tem alguma outra idéia?

-- 
Marcelo Coelho
marcelo at tpn.com.br

More information about the masoch-l mailing list