[MASOCH-L] dom?nios que parecem terem sido criados para mandar spam

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Thu Apr 30 09:17:44 -03 2015


On 30/04/2015 08:51, Eduardo Rigler wrote:
> http://www.dnsbl.info/dnsbl-list.php
>
> DNSBL pra que se dá pra reinventar a roda, né? :-)

A grande limitação da maioria das DNSBLs é que trabalham apenas com o IP 
como chave. Um spammer esperto consegue driblar esta limitação muito 
facilmente. As vezes você precisa de mais informações do que 
simplesmente saber se um IP está listado. As vezes você quer fazer como 
o Danton, que elevou o nível da guerra para tentar encontrar semelhanças 
entre seus diversos adversários, que as vezes é o mesmo adversário mas 
não dá para notar isso à primeira vista.

Só para você ter um exemplo, eu peguei aqui os CNPJs e CPFs de spammers 
notórios de domínios brasileiros que tem pelo menos 10 domínios 
registrados (pode ter mais que 10). Minha consulta retornou 50 
registros, sendo os seguintes:

    http://allchem.allchemistry.com.br/ownerid.txt

Você acredita que estes caras possuem juntos  pelo menos 1196 domínios 
registrados? Olha isso:

    http://allchem.allchemistry.com.br/dominio.txt

Deve ter muito mais que isso na realidade. E olha que eu peguei só os 
caras que eu sei que tem pelo menos 10 domínios registrados cada.

> Como eu disse na outra thread (não sei porque se separaram) eu uso MxScan
> (MailEnable) e em todas as vezes na melhor das hipóteses o e-mail teve o
> assunto marcado, via de regra ia para quarentena ou apagado, ao receber um
> e-mail consulto 9 listas globais diferentes e o processamento é muito
> rápido (1~2 segundos no máximo), deve existir pelo menos uma centena de
> blacklists por lá.
>
> []'s
>
>
> Em 30 de abril de 2015 08:34, Leandro Carlos Rodrigues <
> leandro at allchemistry.com.br> escreveu:
>
>> On 29/04/2015 16:43, Durval Menezes wrote:
>>
>>> Prezado Danton,
>>>
>>> On Wed, Apr 29, 2015 at 04:31:39PM -0300, Danton Nunes wrote:
>>>
>>>> Algu?m tem uma lista de TODOS os dom?nios cujo owner-c: ? MAACA1049?
>>>>
>>>> nic-hdl-br:  MAACA1049
>>>> person:      Marlise Aparecida Castequini
>>>> e-mail:william at roundcloud.com.br
>>>> created:     20150410
>>>> changed:     20150410
>>>>
>>> Ja' vi diversos casos parecidos. Mas nao acredito que seja possivel obter
>>> essa lista, uma vez que (ate' onde sei) nao ha' como pesquisar pelo
>>> nic-hdl-br
>>> no Registro.BR.
>>>
>>>   quero coloc?-los em uma lista de rejei??o definitiva, porque eles parecem
>>>> terem sido registrados especificamente para enviar spam. e n?o ? spam
>>>> inocente, costuma ser do tipo que leva a v?tima a baixar malware.
>>>>
>>> A solucao que ja' pensei em implementar (mas, e' claro, nao tive tempo
>>> :-) ),
>>> seria um plugin para o SpamAssassin que, para cada dominio, consultasse o
>>> Whois
>>> do Registro.BR para obter o nic-hdl-br, e entao verificasse se o mesmo se
>>> encontra
>>> em uma blacklist local, caso afirmativo somasse uns pontos no "score", e
>>> de
>>> qualquer forma guardasse o resultado da consulta em um cache local para
>>> evitar
>>> sobrecarregar o Whois. O problema seria o bloqueio que o Whois do
>>> Registro.BR
>>> implementa, bloqueando enderecos que fazem muitas consultas...
>>>
>> A gente utiliza esta técnica para consultar o campo ownerid do WHOIS.
>> Funciona muito bem e conseguimos pegar vários casos de spammer com domínios
>> múltiplos. Mas as vezes acontece justamente isso que você disse: o
>> registro.br bloqueia depois de muitas consultas e a gente precisa
>> solicitar a eles o desbloqueio. A gente faz o cache local mas o volume de
>> consultas flutua demais e as vezes ultrapassa o limiar deles. Da mesma
>> forma que a gente faz isso para o owneid, daria para fazer para o CIDR, o
>> owner-c como o Danton gostaria, etc.
>>
>> Uma solução para o problema seria o registro.br disponibilizar um meio de
>> fazer estas consultas sem bloqueio ou eles disponibilizarem a base de dados
>> completa deles periodicamente. Eu já  tentei convencer eles a fazerem isso
>> mas eles não entenderam o propósito e acharam que seria muito trabalho para
>> eles e sem resultado.
>>
>> Outra solução seria a gente se juntar para criar um servidor cache de
>> consulta WHOIS. Uma vez implementado, bastaria fazer o seguinte: faz a
>> consulta neste servidor e, se retornar o resultado, use ele, senão o
>> próprio terminal que fez a consulta faria uma outra consulta no WHOIS,
>> pegando os campos de interesse e em seguida submeter o resultado no
>> servidor de cache. Dá um pouco de  trabalho para implementar mas uma vez
>> implementado, o volume de consulta ao WHOIS seria diluindo entre todos os
>> terminais participantes e a probabilidade de algum ser bloqueado seria bem
>> pequena. Mas caso aconteça o bloqueio do terminal, daria para solicitar que
>> o proprio servidor de cache fizesse a consulta no WHOIS para extrair as
>> informações necessárias. Como a probabilidade seria pequena de bloqueio do
>> terminal, o volume de solicitação de consulta pelo próprio servidor de
>> cache seria pequena, e por consequência a probabilidade dele próprio ser
>> bloqueado também. Esta solução não depende do registro.br mas somente de
>> nós. A gente poderia fazer um protótipo e testar para ver como isso
>> funcionaria na realidade e quais são as implicações de fato.
>>
>>
>>> Se voce conseguir alguma solucao para o problema, avise a gente...
>>>
>>> Um Grande Abraco,
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l




More information about the masoch-l mailing list