[MASOCH-L] Domínios com MX localhost

Leandro leandro at spfbl.net
Fri Sep 2 09:35:34 -03 2016 

Caceta. Você foi bem além Roberto. Só mergulhando no mundo desses caras
para sacar as artimanhas deles.

Se quiser pegar esses casos no SPFBL, tem que usar o comando GENERIC da
seguinte forma:

spfbl ganeric add .localhost

É a partir deste ponto que a ferramenta de ANALISE vai caçando esses caras
em background e bloqueando automaticamente. Aliás ele faz mais que isso.
Qualquer MX genérico, inválido, fechado ou inexistente, bloqueia automático
por conta da norma que remetente tem que ter MX ativo, respondendo e origem
genuína.

Porém a lista GENERIC não está na versão oficial do SPFBL pois está em fase
de teste. Assim que ficar estável eu libero.

Até lá, se quiser usar a versão de teste, segue o link:

https://dl.dropboxusercontent.com/u/44768624/SPFBL.jar

Lembrando que o uso da versão de teste é por sua conta e risco.

Abraços,
Leandro
SPFBL.net

Em 2 de setembro de 2016 09:05, Roberto Lima <smuxbr at gmail.com> escreveu:

> Leandro,
>
>  Fiz uma pesquisa a partir de todos os dominios cadastrados no mesmo ID do
> e-store.com.br e encontrei mais MX com localhost:
>
> acessoriosstore.com.br. 300     IN      MX      10 localhost.
> altecstore.com.br.      300     IN      MX      10 localhost.
> calculadorascasio.com.br. 214   IN      MX      10 localhost.
> camerasnikon.com.br.    215     IN      MX      10 localhost.
> camerasnikonstore.com.br. 215   IN      MX      10 localhost.
> casiostore.com.br.      215     IN      MX      10 localhost.
> chevroletestore.com.br. 300     IN      MX      10 localhost.
> e-store.com.br.         216     IN      MX      10 localhost.
> estore.com.br.          300     IN      MX      10 localhost.
> gmestore.com.br.        300     IN      MX      10 localhost.
> gopolestore.com.br.     300     IN      MX      10 localhost.
> goproacessoriosstore.com.br. 217 IN     MX      10 localhost.
> isoundstore.com.br.     217     IN      MX      10 localhost.
> knogstore.com.br.       217     IN      MX      10 localhost.
> loweprostore.com.br.    217     IN      MX      10 localhost.
> oneforallstore.com.br.  300     IN      MX      10 localhost.
> philipstore.com.br.     219     IN      MX      10 localhost.
> polarpro.com.br.        219     IN      MX      10 localhost.
> polarprostore.com.br.   219     IN      MX      10 localhost.
> produtosmotorola.com.br. 300    IN      MX      10 localhost.
> skullcandystore.com.br. 300     IN      MX      10 localhost.
> storechevrolet.com.br.  300     IN      MX      10 localhost.
> storegopro.com.br.      220     IN      MX      10 localhost.
> targusstore.com.br.     300     IN      MX      10 localhost.
> vivitarstore.com.br.    300     IN      MX      10 localhost.
>
> A maioria dos dominios foram criados entre o fim de Agosto e o inicio desse
> mês de Setembro e reforça a ideia do Leandro de que somente criam para
> enviar spam no 'grace period'.
>
> Ainda não encontrei referencias desses dominios no SPFBL, mas não duvido
> que logo estará pipocando no BLOCK do sistema.
>
> Abs.
>
> Em 2 de setembro de 2016 08:29, Leandro <leandro at spfbl.net> escreveu:
>
> > Rubens,
> >
> > Ontem conversávamos sobre domínios com MX localhost na Rodada de Negócios
> > da Abrahosting. Eu disse que iria te passar os casos de domínios
> > brasileiros com esta configuração fraudulenta.
> >
> > Consegui encontrar apenas esse caso @e-store.com.br aqui no MD:
> >
> > ubuntu at matrix:~$ dig mx e-store.com.br | grep IN
> > ;e-store.com.br.                        IN      MX
> > e-store.com.br.         232     IN      MX      10 localhost.
> > ubuntu at matrix:~$
> >
> > Porém gostaria de alertar o pessoal da lista que a prática é bem mais
> comum
> > com domínios estrangeiros e pegamos o tempo todo esses casos:
> >
> > ubuntu at matrix:~$ egrep -ho " new BLOCK .+ at .+ added by
> > '.localhost;GENERIC'"
> > /var/log/spfbl/spfbl.*.log
> >  new BLOCK '@nlzv.com' added by '.localhost;GENERIC'
> >  new BLOCK '@by.org' added by '.localhost;GENERIC'
> >  new BLOCK '@jrr.org' added by '.localhost;GENERIC'
> >  new BLOCK '@zid.org' added by '.localhost;GENERIC'
> >  new BLOCK '@zd.org' added by '.localhost;GENERIC'
> >  new BLOCK '@vyct.com' added by '.localhost;GENERIC'
> >  new BLOCK '@ircfa.com' added by '.localhost;GENERIC'
> >  new BLOCK '@baby-coupons.net' added by '.localhost;GENERIC'
> >  new BLOCK '@tntdn.com' added by '.localhost;GENERIC'
> >  new BLOCK '@ibid.pl' added by '.localhost;GENERIC'
> >  new BLOCK '@barjules.com' added by '.localhost;GENERIC'
> >  new BLOCK '@ovsi.com' added by '.localhost;GENERIC'
> > ubuntu at matrix:~$
> >
> > Parece que o spammer quer facilidade e cadastra esses domínios
> descartáveis
> > com configurações simples como essa. O pior de tudo é que retornos de
> erro
> > vão para o próprio MTA que está recebendo.
> >
> > A inteligência dos caras para enganar não tem limites. Por outro lado,
> eles
> > nos deram uma forma muito eficiente de pega-los.
> >
> > Abraços,
> > Leandro
> > SPFBL.net
> > __
> > masoch-l list
> > https://eng.registro.br/mailman/listinfo/masoch-l
> >
> __
> masoch-l list
> https://eng.registro.br/mailman/listinfo/masoch-l
>

More information about the masoch-l mailing list