[MASOCH-L] dom?nios que parecem terem sido criados para mandar spam

Leandro Carlos Rodrigues leandro at allchemistry.com.br
Thu Apr 30 09:31:46 BRT 2015 

On 30/04/2015 09:17, Leandro Carlos Rodrigues wrote:
> On 30/04/2015 08:51, Eduardo Rigler wrote:
>> http://www.dnsbl.info/dnsbl-list.php
>>
>> DNSBL pra que se dá pra reinventar a roda, né? :-)
>
> A grande limitação da maioria das DNSBLs é que trabalham apenas com o 
> IP como chave. Um spammer esperto consegue driblar esta limitação 
> muito facilmente. As vezes você precisa de mais informações do que 
> simplesmente saber se um IP está listado. As vezes você quer fazer 
> como o Danton, que elevou o nível da guerra para tentar encontrar 
> semelhanças entre seus diversos adversários, que as vezes é o mesmo 
> adversário mas não dá para notar isso à primeira vista.
>
> Só para você ter um exemplo, eu peguei aqui os CNPJs e CPFs de 
> spammers notórios de domínios brasileiros que tem pelo menos 10 
> domínios registrados (pode ter mais que 10). Minha consulta retornou 
> 50 registros, sendo os seguintes:
>
>    http://allchem.allchemistry.com.br/ownerid.txt
>
> Você acredita que estes caras possuem juntos  pelo menos 1196 domínios 
> registrados? Olha isso:
>
>    http://allchem.allchemistry.com.br/dominio.txt

Só para esclarecer, este último link possui domínios usados em algum 
momento por IPs brasileiros. Por isso aparecem domínios estrangeiros na 
lista. É possível pegar o ownerid do IP também. Para mim, se o domínio 
ou o IP for brasileiro, são contabilizados da mesma forma.

>
> Deve ter muito mais que isso na realidade. E olha que eu peguei só os 
> caras que eu sei que tem pelo menos 10 domínios registrados cada.
>
>> Como eu disse na outra thread (não sei porque se separaram) eu uso 
>> MxScan
>> (MailEnable) e em todas as vezes na melhor das hipóteses o e-mail teve o
>> assunto marcado, via de regra ia para quarentena ou apagado, ao 
>> receber um
>> e-mail consulto 9 listas globais diferentes e o processamento é muito
>> rápido (1~2 segundos no máximo), deve existir pelo menos uma centena de
>> blacklists por lá.
>>
>> []'s
>>
>>
>> Em 30 de abril de 2015 08:34, Leandro Carlos Rodrigues <
>> leandro at allchemistry.com.br> escreveu:
>>
>>> On 29/04/2015 16:43, Durval Menezes wrote:
>>>
>>>> Prezado Danton,
>>>>
>>>> On Wed, Apr 29, 2015 at 04:31:39PM -0300, Danton Nunes wrote:
>>>>
>>>>> Algu?m tem uma lista de TODOS os dom?nios cujo owner-c: ? MAACA1049?
>>>>>
>>>>> nic-hdl-br:  MAACA1049
>>>>> person:      Marlise Aparecida Castequini
>>>>> e-mail:william at roundcloud.com.br
>>>>> created:     20150410
>>>>> changed:     20150410
>>>>>
>>>> Ja' vi diversos casos parecidos. Mas nao acredito que seja possivel 
>>>> obter
>>>> essa lista, uma vez que (ate' onde sei) nao ha' como pesquisar pelo
>>>> nic-hdl-br
>>>> no Registro.BR.
>>>>
>>>>   quero coloc?-los em uma lista de rejei??o definitiva, porque eles 
>>>> parecem
>>>>> terem sido registrados especificamente para enviar spam. e n?o ? spam
>>>>> inocente, costuma ser do tipo que leva a v?tima a baixar malware.
>>>>>
>>>> A solucao que ja' pensei em implementar (mas, e' claro, nao tive tempo
>>>> :-) ),
>>>> seria um plugin para o SpamAssassin que, para cada dominio, 
>>>> consultasse o
>>>> Whois
>>>> do Registro.BR para obter o nic-hdl-br, e entao verificasse se o 
>>>> mesmo se
>>>> encontra
>>>> em uma blacklist local, caso afirmativo somasse uns pontos no 
>>>> "score", e
>>>> de
>>>> qualquer forma guardasse o resultado da consulta em um cache local 
>>>> para
>>>> evitar
>>>> sobrecarregar o Whois. O problema seria o bloqueio que o Whois do
>>>> Registro.BR
>>>> implementa, bloqueando enderecos que fazem muitas consultas...
>>>>
>>> A gente utiliza esta técnica para consultar o campo ownerid do WHOIS.
>>> Funciona muito bem e conseguimos pegar vários casos de spammer com 
>>> domínios
>>> múltiplos. Mas as vezes acontece justamente isso que você disse: o
>>> registro.br bloqueia depois de muitas consultas e a gente precisa
>>> solicitar a eles o desbloqueio. A gente faz o cache local mas o 
>>> volume de
>>> consultas flutua demais e as vezes ultrapassa o limiar deles. Da mesma
>>> forma que a gente faz isso para o owneid, daria para fazer para o 
>>> CIDR, o
>>> owner-c como o Danton gostaria, etc.
>>>
>>> Uma solução para o problema seria o registro.br disponibilizar um 
>>> meio de
>>> fazer estas consultas sem bloqueio ou eles disponibilizarem a base 
>>> de dados
>>> completa deles periodicamente. Eu já  tentei convencer eles a 
>>> fazerem isso
>>> mas eles não entenderam o propósito e acharam que seria muito 
>>> trabalho para
>>> eles e sem resultado.
>>>
>>> Outra solução seria a gente se juntar para criar um servidor cache de
>>> consulta WHOIS. Uma vez implementado, bastaria fazer o seguinte: faz a
>>> consulta neste servidor e, se retornar o resultado, use ele, senão o
>>> próprio terminal que fez a consulta faria uma outra consulta no WHOIS,
>>> pegando os campos de interesse e em seguida submeter o resultado no
>>> servidor de cache. Dá um pouco de  trabalho para implementar mas uma 
>>> vez
>>> implementado, o volume de consulta ao WHOIS seria diluindo entre 
>>> todos os
>>> terminais participantes e a probabilidade de algum ser bloqueado 
>>> seria bem
>>> pequena. Mas caso aconteça o bloqueio do terminal, daria para 
>>> solicitar que
>>> o proprio servidor de cache fizesse a consulta no WHOIS para extrair as
>>> informações necessárias. Como a probabilidade seria pequena de 
>>> bloqueio do
>>> terminal, o volume de solicitação de consulta pelo próprio servidor de
>>> cache seria pequena, e por consequência a probabilidade dele próprio 
>>> ser
>>> bloqueado também. Esta solução não depende do registro.br mas 
>>> somente de
>>> nós. A gente poderia fazer um protótipo e testar para ver como isso
>>> funcionaria na realidade e quais são as implicações de fato.
>>>
>>>
>>>> Se voce conseguir alguma solucao para o problema, avise a gente...
>>>>
>>>> Um Grande Abraco,
>>>>
>>> __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l

More information about the masoch-l mailing list