[MASOCH-L] dom?nios que parecem terem sido criados para mandar spam

[Leandro Carlos Rodrigues]

On 29/04/2015 16:43, Durval Menezes wrote:
> Prezado Danton,
>
> On Wed, Apr 29, 2015 at 04:31:39PM -0300, Danton Nunes wrote:
>> Algu?m tem uma lista de TODOS os dom?nios cujo owner-c: ? MAACA1049?
>>
>> nic-hdl-br:  MAACA1049
>> person:      Marlise Aparecida Castequini
>> e-mail:      william at roundcloud.com.br
>> created:     20150410
>> changed:     20150410
> Ja' vi diversos casos parecidos. Mas nao acredito que seja possivel obter
> essa lista, uma vez que (ate' onde sei) nao ha' como pesquisar pelo nic-hdl-br
> no Registro.BR.
>
>> quero coloc?-los em uma lista de rejei??o definitiva, porque eles parecem
>> terem sido registrados especificamente para enviar spam. e n?o ? spam
>> inocente, costuma ser do tipo que leva a v?tima a baixar malware.
> A solucao que ja' pensei em implementar (mas, e' claro, nao tive tempo :-) ),
> seria um plugin para o SpamAssassin que, para cada dominio, consultasse o Whois
> do Registro.BR para obter o nic-hdl-br, e entao verificasse se o mesmo se encontra
> em uma blacklist local, caso afirmativo somasse uns pontos no "score", e de
> qualquer forma guardasse o resultado da consulta em um cache local para evitar
> sobrecarregar o Whois. O problema seria o bloqueio que o Whois do Registro.BR
> implementa, bloqueando enderecos que fazem muitas consultas...

A gente utiliza esta técnica para consultar o campo ownerid do WHOIS. 
Funciona muito bem e conseguimos pegar vários casos de spammer com 
domínios múltiplos. Mas as vezes acontece justamente isso que você 
disse: o registro.br bloqueia depois de muitas consultas e a gente 
precisa solicitar a eles o desbloqueio. A gente faz o cache local mas o 
volume de consultas flutua demais e as vezes ultrapassa o limiar deles. 
Da mesma forma que a gente faz isso para o owneid, daria para fazer para 
o CIDR, o owner-c como o Danton gostaria, etc.

Uma solução para o problema seria o registro.br disponibilizar um meio 
de fazer estas consultas sem bloqueio ou eles disponibilizarem a base de 
dados completa deles periodicamente. Eu já  tentei convencer eles a 
fazerem isso mas eles não entenderam o propósito e acharam que seria 
muito trabalho para eles e sem resultado.

Outra solução seria a gente se juntar para criar um servidor cache de 
consulta WHOIS. Uma vez implementado, bastaria fazer o seguinte: faz a 
consulta neste servidor e, se retornar o resultado, use ele, senão o 
próprio terminal que fez a consulta faria uma outra consulta no WHOIS, 
pegando os campos de interesse e em seguida submeter o resultado no 
servidor de cache. Dá um pouco de  trabalho para implementar mas uma vez 
implementado, o volume de consulta ao WHOIS seria diluindo entre todos 
os terminais participantes e a probabilidade de algum ser bloqueado 
seria bem pequena. Mas caso aconteça o bloqueio do terminal, daria para 
solicitar que o proprio servidor de cache fizesse a consulta no WHOIS 
para extrair as informações necessárias. Como a probabilidade seria 
pequena de bloqueio do terminal, o volume de solicitação de consulta 
pelo próprio servidor de cache seria pequena, e por consequência a 
probabilidade dele próprio ser bloqueado também. Esta solução não 
depende do registro.br mas somente de nós. A gente poderia fazer um 
protótipo e testar para ver como isso funcionaria na realidade e quais 
são as implicações de fato.

>
> Se voce conseguir alguma solucao para o problema, avise a gente...
>
> Um Grande Abraco,