[MASOCH-L] dom?nios que parecem terem sido criados para mandar spam

Roberto Lima smuxbr at gmail.com
Thu Apr 30 19:09:19 BRT 2015 

Prezados,

 E como podemos nos livrar de problemas/domínios do
tipo FyLitCl7Pf7kjQdDUOLQOuaxTXbj5iNG.com ? Acredite, ele existe.

Em 30 de abril de 2015 09:31, Leandro Carlos Rodrigues <
leandro at allchemistry.com.br> escreveu:

> On 30/04/2015 09:17, Leandro Carlos Rodrigues wrote:
>
>> On 30/04/2015 08:51, Eduardo Rigler wrote:
>>
>>> http://www.dnsbl.info/dnsbl-list.php
>>>
>>> DNSBL pra que se dá pra reinventar a roda, né? :-)
>>>
>>
>> A grande limitação da maioria das DNSBLs é que trabalham apenas com o IP
>> como chave. Um spammer esperto consegue driblar esta limitação muito
>> facilmente. As vezes você precisa de mais informações do que simplesmente
>> saber se um IP está listado. As vezes você quer fazer como o Danton, que
>> elevou o nível da guerra para tentar encontrar semelhanças entre seus
>> diversos adversários, que as vezes é o mesmo adversário mas não dá para
>> notar isso à primeira vista.
>>
>> Só para você ter um exemplo, eu peguei aqui os CNPJs e CPFs de spammers
>> notórios de domínios brasileiros que tem pelo menos 10 domínios registrados
>> (pode ter mais que 10). Minha consulta retornou 50 registros, sendo os
>> seguintes:
>>
>>    http://allchem.allchemistry.com.br/ownerid.txt
>>
>> Você acredita que estes caras possuem juntos  pelo menos 1196 domínios
>> registrados? Olha isso:
>>
>>    http://allchem.allchemistry.com.br/dominio.txt
>>
>
> Só para esclarecer, este último link possui domínios usados em algum
> momento por IPs brasileiros. Por isso aparecem domínios estrangeiros na
> lista. É possível pegar o ownerid do IP também. Para mim, se o domínio ou o
> IP for brasileiro, são contabilizados da mesma forma.
>
>
>
>> Deve ter muito mais que isso na realidade. E olha que eu peguei só os
>> caras que eu sei que tem pelo menos 10 domínios registrados cada.
>>
>>  Como eu disse na outra thread (não sei porque se separaram) eu uso MxScan
>>> (MailEnable) e em todas as vezes na melhor das hipóteses o e-mail teve o
>>> assunto marcado, via de regra ia para quarentena ou apagado, ao receber
>>> um
>>> e-mail consulto 9 listas globais diferentes e o processamento é muito
>>> rápido (1~2 segundos no máximo), deve existir pelo menos uma centena de
>>> blacklists por lá.
>>>
>>> []'s
>>>
>>>
>>> Em 30 de abril de 2015 08:34, Leandro Carlos Rodrigues <
>>> leandro at allchemistry.com.br> escreveu:
>>>
>>>  On 29/04/2015 16:43, Durval Menezes wrote:
>>>>
>>>>  Prezado Danton,
>>>>>
>>>>> On Wed, Apr 29, 2015 at 04:31:39PM -0300, Danton Nunes wrote:
>>>>>
>>>>>  Algu?m tem uma lista de TODOS os dom?nios cujo owner-c: ? MAACA1049?
>>>>>>
>>>>>> nic-hdl-br:  MAACA1049
>>>>>> person:      Marlise Aparecida Castequini
>>>>>> e-mail:william at roundcloud.com.br
>>>>>> created:     20150410
>>>>>> changed:     20150410
>>>>>>
>>>>>>  Ja' vi diversos casos parecidos. Mas nao acredito que seja possivel
>>>>> obter
>>>>> essa lista, uma vez que (ate' onde sei) nao ha' como pesquisar pelo
>>>>> nic-hdl-br
>>>>> no Registro.BR.
>>>>>
>>>>>   quero coloc?-los em uma lista de rejei??o definitiva, porque eles
>>>>> parecem
>>>>>
>>>>>> terem sido registrados especificamente para enviar spam. e n?o ? spam
>>>>>> inocente, costuma ser do tipo que leva a v?tima a baixar malware.
>>>>>>
>>>>>>  A solucao que ja' pensei em implementar (mas, e' claro, nao tive
>>>>> tempo
>>>>> :-) ),
>>>>> seria um plugin para o SpamAssassin que, para cada dominio,
>>>>> consultasse o
>>>>> Whois
>>>>> do Registro.BR para obter o nic-hdl-br, e entao verificasse se o mesmo
>>>>> se
>>>>> encontra
>>>>> em uma blacklist local, caso afirmativo somasse uns pontos no "score",
>>>>> e
>>>>> de
>>>>> qualquer forma guardasse o resultado da consulta em um cache local para
>>>>> evitar
>>>>> sobrecarregar o Whois. O problema seria o bloqueio que o Whois do
>>>>> Registro.BR
>>>>> implementa, bloqueando enderecos que fazem muitas consultas...
>>>>>
>>>>>  A gente utiliza esta técnica para consultar o campo ownerid do WHOIS.
>>>> Funciona muito bem e conseguimos pegar vários casos de spammer com
>>>> domínios
>>>> múltiplos. Mas as vezes acontece justamente isso que você disse: o
>>>> registro.br bloqueia depois de muitas consultas e a gente precisa
>>>> solicitar a eles o desbloqueio. A gente faz o cache local mas o volume
>>>> de
>>>> consultas flutua demais e as vezes ultrapassa o limiar deles. Da mesma
>>>> forma que a gente faz isso para o owneid, daria para fazer para o CIDR,
>>>> o
>>>> owner-c como o Danton gostaria, etc.
>>>>
>>>> Uma solução para o problema seria o registro.br disponibilizar um meio
>>>> de
>>>> fazer estas consultas sem bloqueio ou eles disponibilizarem a base de
>>>> dados
>>>> completa deles periodicamente. Eu já  tentei convencer eles a fazerem
>>>> isso
>>>> mas eles não entenderam o propósito e acharam que seria muito trabalho
>>>> para
>>>> eles e sem resultado.
>>>>
>>>> Outra solução seria a gente se juntar para criar um servidor cache de
>>>> consulta WHOIS. Uma vez implementado, bastaria fazer o seguinte: faz a
>>>> consulta neste servidor e, se retornar o resultado, use ele, senão o
>>>> próprio terminal que fez a consulta faria uma outra consulta no WHOIS,
>>>> pegando os campos de interesse e em seguida submeter o resultado no
>>>> servidor de cache. Dá um pouco de  trabalho para implementar mas uma vez
>>>> implementado, o volume de consulta ao WHOIS seria diluindo entre todos
>>>> os
>>>> terminais participantes e a probabilidade de algum ser bloqueado seria
>>>> bem
>>>> pequena. Mas caso aconteça o bloqueio do terminal, daria para solicitar
>>>> que
>>>> o proprio servidor de cache fizesse a consulta no WHOIS para extrair as
>>>> informações necessárias. Como a probabilidade seria pequena de bloqueio
>>>> do
>>>> terminal, o volume de solicitação de consulta pelo próprio servidor de
>>>> cache seria pequena, e por consequência a probabilidade dele próprio ser
>>>> bloqueado também. Esta solução não depende do registro.br mas somente
>>>> de
>>>> nós. A gente poderia fazer um protótipo e testar para ver como isso
>>>> funcionaria na realidade e quais são as implicações de fato.
>>>>
>>>>
>>>>  Se voce conseguir alguma solucao para o problema, avise a gente...
>>>>>
>>>>> Um Grande Abraco,
>>>>>
>>>>>  __
>>>> masoch-l list
>>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>>
>>>>  __
>>> masoch-l list
>>> https://eng.registro.br/mailman/listinfo/masoch-l
>>>
>>
>> __
>> masoch-l list
>> https://eng.registro.br/mailman/listinfo/masoch-l
>>
>
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list