[MASOCH-L] Domínios com MX localhost
Roberto Lima
smuxbr at gmail.com
Fri Sep 2 09:05:57 -03 2016
Leandro,
Fiz uma pesquisa a partir de todos os dominios cadastrados no mesmo ID do
e-store.com.br e encontrei mais MX com localhost:
acessoriosstore.com.br. 300 IN MX 10 localhost.
altecstore.com.br. 300 IN MX 10 localhost.
calculadorascasio.com.br. 214 IN MX 10 localhost.
camerasnikon.com.br. 215 IN MX 10 localhost.
camerasnikonstore.com.br. 215 IN MX 10 localhost.
casiostore.com.br. 215 IN MX 10 localhost.
chevroletestore.com.br. 300 IN MX 10 localhost.
e-store.com.br. 216 IN MX 10 localhost.
estore.com.br. 300 IN MX 10 localhost.
gmestore.com.br. 300 IN MX 10 localhost.
gopolestore.com.br. 300 IN MX 10 localhost.
goproacessoriosstore.com.br. 217 IN MX 10 localhost.
isoundstore.com.br. 217 IN MX 10 localhost.
knogstore.com.br. 217 IN MX 10 localhost.
loweprostore.com.br. 217 IN MX 10 localhost.
oneforallstore.com.br. 300 IN MX 10 localhost.
philipstore.com.br. 219 IN MX 10 localhost.
polarpro.com.br. 219 IN MX 10 localhost.
polarprostore.com.br. 219 IN MX 10 localhost.
produtosmotorola.com.br. 300 IN MX 10 localhost.
skullcandystore.com.br. 300 IN MX 10 localhost.
storechevrolet.com.br. 300 IN MX 10 localhost.
storegopro.com.br. 220 IN MX 10 localhost.
targusstore.com.br. 300 IN MX 10 localhost.
vivitarstore.com.br. 300 IN MX 10 localhost.
A maioria dos dominios foram criados entre o fim de Agosto e o inicio desse
mês de Setembro e reforça a ideia do Leandro de que somente criam para
enviar spam no 'grace period'.
Ainda não encontrei referencias desses dominios no SPFBL, mas não duvido
que logo estará pipocando no BLOCK do sistema.
Abs.
Em 2 de setembro de 2016 08:29, Leandro <leandro at spfbl.net> escreveu:
> Rubens,
>
> Ontem conversávamos sobre domínios com MX localhost na Rodada de Negócios
> da Abrahosting. Eu disse que iria te passar os casos de domínios
> brasileiros com esta configuração fraudulenta.
>
> Consegui encontrar apenas esse caso @e-store.com.br aqui no MD:
>
> ubuntu at matrix:~$ dig mx e-store.com.br | grep IN
> ;e-store.com.br. IN MX
> e-store.com.br. 232 IN MX 10 localhost.
> ubuntu at matrix:~$
>
> Porém gostaria de alertar o pessoal da lista que a prática é bem mais comum
> com domínios estrangeiros e pegamos o tempo todo esses casos:
>
> ubuntu at matrix:~$ egrep -ho " new BLOCK .+ at .+ added by
> '.localhost;GENERIC'"
> /var/log/spfbl/spfbl.*.log
> new BLOCK '@nlzv.com' added by '.localhost;GENERIC'
> new BLOCK '@by.org' added by '.localhost;GENERIC'
> new BLOCK '@jrr.org' added by '.localhost;GENERIC'
> new BLOCK '@zid.org' added by '.localhost;GENERIC'
> new BLOCK '@zd.org' added by '.localhost;GENERIC'
> new BLOCK '@vyct.com' added by '.localhost;GENERIC'
> new BLOCK '@ircfa.com' added by '.localhost;GENERIC'
> new BLOCK '@baby-coupons.net' added by '.localhost;GENERIC'
> new BLOCK '@tntdn.com' added by '.localhost;GENERIC'
> new BLOCK '@ibid.pl' added by '.localhost;GENERIC'
> new BLOCK '@barjules.com' added by '.localhost;GENERIC'
> new BLOCK '@ovsi.com' added by '.localhost;GENERIC'
> ubuntu at matrix:~$
>
> Parece que o spammer quer facilidade e cadastra esses domínios descartáveis
> com configurações simples como essa. O pior de tudo é que retornos de erro
> vão para o próprio MTA que está recebendo.
>
> A inteligência dos caras para enganar não tem limites. Por outro lado, eles
> nos deram uma forma muito eficiente de pega-los.
>
> Abraços,
> Leandro
> SPFBL.net
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>
More information about the masoch-l
mailing list