Czasami podczas konstruowania emaila ktoś wpisze błędny adres. Zrobi zwykłą literówkę. Serwer pocztowy w takim przypadku daje komunikat "550 User unknown" a normalny program pocztowy wyświetla wtedy komunikat "wysłanie wiadomości nie powiodło się". Ale Microsoft Windows Live Mail będzie usiłował wysłać takiego emaila co 10 minut, nawet przez kilka miesięcy, za każdym razem dostając komunikat "550".

Na serwerze postfix, dla portu submission można ustawić:

submission inet n       -       -       -       -       smtpd
  -o smtpd_reject_unlisted_recipient=no

Spowoduje to przyjęcie do kolejki takiego nieprawidłowego emaila, podjęcie próby dostarczenia (łącznie z przeskanowaniem amavisem) a następnie wygenerowanie zwrotki (DSNa).

Dla klientów ustawionych na port 25 trzeba zrobić przekierowanie na port 587:

iptables -t nat -A PREROUTING -p tcp -s 1.2.3.4 --dport 25 -j REDIRECT --to-port 587

Nieaktualizowany Wordpress to ZUO. Zauważyłem na serwerze mnóstwo requestów POST do takigo pliku pochodzących z adresów IP:

195.62.53.174
185.130.5.243

Skrypt ten po odebraniu danych wykonywał połączenie do ruskich serwerów www.telphin.ru, sro-pso.ru, uczestnicząc w ataku DDOS na nie.

Dlatego:

[Files xmlrpc.php]
Require all denied
[/Files]

W celach rekrutacji firmy żądają wysłania im skanu dowodu osobistego. A potem dowiadujesz się, że taka firma nie istnieje a na twoje dane jest założone konto bankowe + kredyt.

Stanowisko Generalnego Inspektora Ochrony Danych Osobowych jest obecnie takie, że żądanie skanu dowodu jest legalne ALE musi być adekwatne do potrzeb. A rekrutacja nie jest w żanym przypadku adekwatna. Moim skromnym zdaniem dowód osobisty powinien być ważny tylko i wyłącznie z osobą, której on dotyczy. Jeżeli napotkacie na firmę żądającą skanu dowodu osobistego to zgłoście się z tym na Policję - być może ochronicie kogoś przed długiem, chodzeniem po sądach i utratą pieniędzy (któych jako osoba szukająca pracy zapewne nie ma zbyt wiele)

to strona, która wzorem Pobieraczka stosuje ukryte w Regulaminie opłaty za korzystanie z ich usług.

ich Regulamin został rozłożony na czynniki pierwsze: https://umowy.info/?act=contract&id=83

W dniach 2015-11-13,14 afisz24.eu rozeslał spam podszywając się pod redaktora Dziennika Internautów, który ich wcześniej negatywnie opisał. No cóż, jest to przestępstwo - można więc uznać że kariera osób odpowiedzialnych za afisz24.eu była błyskotliwa, lecz krótka.

Nawet po polsku napisany:

Szanowni Państwo,
zgodnie z zaakceptowanymi przez Państwo warunkami umowy dotyczącej naszych usług zobowiązali się Państwo do opłacenia zamówionej usługi w terminie 7 dni od dnia zawarcia umowy. Z uwagi na to, że dotychczas nie odnotowaliśmy wpłaty, doręczamy niniejsze wezwanie do zapłaty.

Jednocześnie informujemy, iż dalszy brak zapłaty za zamówioną usługę spowoduje konsekwencje prawne co wiąże się z dodatkowymi kosztami. W stosunku do osób uchylających się od zapłaty możliwe jest przekazanie sprawy zewnętrznej firmie prawno-windykacyjnej lub natychmiastowe postępowanie sądowe i egzekucja komornicza należności.

Niniejszym prosimy o dobrowolne uregulowanie należności w kwocie 1.535,00 zł w nieprzekraczalnym terminie 5 dni od momentu otrzymania niniejszej wiadomości. W załączniku przesyłam zaległą fakturę VAT.

Faktura jest zabezpieczona hasłem: wezwanie-5235

--
Sebastian Pietrzak
specjalista ds. windykacji klienta biznesowego

S. Pietrzak Kancelaria Prawna sp.k.
Departament Monitoringu i Windykacji
Spokojna, 11b
03-366 Warszawa

W środku załącznik, u mnie się nie chciał nawet rozpakować (bug w wirusie?)

na szczęście spam się nie przedostał:

MAIL from v124908.home.net.pl[188.128.183.194]: 550 5.1.8 <kolorowydruk_129745_m2016@mailmarketingowo.pl>: Sender address rejected: Domain not found;

a "DOMAIN NAME: mailmarketingowo.pl is queued up for registration"

co to oznacza? ano oznacza, że spamer kupił sobie specjalnie domenę do spamowania i nie traci czasu na pierdoły. (jego admin ma inteligencję sera szwajcarskiego)

Coraz częsciej po wejściu na stronę www jestem bombardowany popup-layerem "zostaw swoją opinię", "twoja ankieta jest dla nas ważna", "zasubskrybuj newsletter". Problem w tym, że ja najpierw chcę przeczytać co na takiej stronie jest a dopiero potem mogę powiedzieć czy strona mi się spodobała na tyle, abym poświęcił swój czas wypełniajac ankietę. To nielogiczne.

"W przypadku jesli nie zycza sobie Panstwo nigdy wiecej w przyszlosci otrzymac podobnego zapytania z naszej strony prosimy o odpowiedz zwrotna NIE, zamiast informowania operatora naszego serwera."

dostałem emaila: "Dziewczynka chorująca na wodogłowie bardzo prosi o pomoc. Kinga Wiecławska chodzi do szkoły... o wsparcie finansowe.  Na rachunek PL 44 1240 6986 1000 0000 0479 3123" ze zdjęciem jakiegoś dziecka w środku. A chłopiec (!) ze zdjęcia ma na imię Wania (ваня). I jest z Ukrainy, nie ma wodogłowia lecz guza mózgu. Znalazlem na serwisie ogłoszeniowym identyczną historię z numerem konta PL 12 1750 0012 0000 0000 2908 1263, data 28/05/2015, z innym zdjęciem lecz też fake - bo skradzionym ze strony amerykańskiej fundacji. Inne nazwisko w innym serwisie ogłoszeniowym: "Eliza Byler" i konto PL 22 1940 1076 6585 7223 0000 0000.

Treść ogłoszeń i spamu jest skradziona z artykułu z dnia 2013-03-19 z serwisu przyszloscdladzieci.org

Szukając dalej: na blogu justyna24.wordpress.com oraz mojapassa.blogspot.com, tuż obok artykułu "Sposób na szybki zarobek online" autorka "Justyna kastet" pisze, że "już wpłaciła" a dziecko ma na imię Alicja. Zdjęcie jest skopiowane z forum naczyniaki.pl a autorem jest "Inez_w", wątek z października 2012. Inne dziecko "Kacper" z inną chorobą, tym razem bez zdjęcia za to konto jest to samo. Widocznie 15k PLN miesięcznie zarobku w piramidzie nie wystarcza i trzeba kombinować...

Także z takich adresów:

[188.246.129.66] lodzka.policja.gov.pl
Subject: Twoja skrzynka pocztowa zostala czasowo zawieszona!!!

Jakby ktoś chciał drugi nagłówek Received z adresem IP:

Received: from [10.153.45.138] (unknown [105.112.8.14])

Received: from [10.153.45.138] (unknown [105.112.8.13])

Received: from [10.153.45.138] (unknown [105.112.8.12])

Received: from [10.153.45.138] (unknown [105.112.8.11])

Received: from [10.153.45.138] (unknown [105.112.8.9])

inetnum:        105.112.0.0 - 105.127.255.255
netname:        Airtel-Nigeria
descr:          Airtel Networks Limited
country:        NG

Zbiera zajebiste żniwo. No bo tak: przychodzi email niby z DHL, napisany w barbarzyńskim języku niemieckim, z linkiem do zipa, którego trzeba pobrać, rozpakować, kliknąć tego exe, co to ma w środku. Firefox mi dzisiaj zablokował pobranie takiego pliku. Antywirusy na pewno wyświetlaja pierdyliard alertów -  a mimo tego znajdą się tacy (i nie mówię tu o pojedynczych przypadkach tylko o tysiącach userów), którzy sobie tego wirusa zainstalują. Ręce opadają.

Bo można się zabrać za zaległą robotę. Na przykład home.pl odpowiedział mi na zgłoszenie włamania na jeden z ich serwerów z dnia 24 lutego 2015 (po dwóch miesiącach). Odpowiedzieli, że obecnie strona nie budzi ich zastrzeżeń - pewnie dlatego, że powiadomiłem też właściciela strony a ten ją poprawił.

Dostałem spam z adresu 21proevmalcx@prology.in.ua, 188.40.124.23, drugi Received wskazuje na 185.91.175.145. Spam reklamujący usługi spamowania. W środku jest link do www.kairem.co.ua, który przekierowuje na esop.in.ua a ten dopiero na 21provision.com.pl. Natomiast na domenie esop.in.ua spamer zapomniał umieścić DirectoryIndex, bo wyświetlają się katalogi - po nazwie oraz przekierowaniu jakie robią - sama viagra i kredyty.

mta-all65.info.allegro.pl: Helo command rejected: Host not found

450 4.7.1 Client host rejected: cannot find your reverse hostname (problemy z DNSami odwrotnymi)

Rusków... (nie, żebym się czegoś innego spodziewał) a konkretnie do 31.184.195.247

Spam binbotowy jest rozsyłany z serwerów webowych na których nastapiło włamanie. (dziurawy Wordpress, Joomla etc.)
Skrypt uruchamiający wysyłanie spamu jest wywoływany z adresu IP 31.184.195.247

Link w treści spamu prowadzi do kolejnych serwerów webowych a one przekierowują na stronę bio-options.pl. Ta strona zachęca do rejestarcji na uTrader.com.

bio-options.pl.         120     IN      A       193.230.220.76
bio-options.pl.         7589    IN      NS      ns2.iltivihh3.ru.
bio-options.pl.         7589    IN      NS      ns1.iltivihh3.ru.
ns1.ILTIVIHH3.ru.       758     IN      A       193.230.220.76
ns2.ILTIVIHH3.ru.       758     IN      A       193.230.220.76

76.220.230.193.in-addr.arpa domain name pointer RovalNET-EX-net.iNES.RO.

inetnum:        193.230.220.0 - 193.230.220.255
netname:        IODES-RO
descr:          IODES TRADING SRL
country:        ro
admin-c:        IS115-RIPE
admin-c:        INES-RIPE
tech-c:         INES-RIPE
status:         ASSIGNED PA
mnt-by:         AS3233-MNT
mnt-lower:      AS3233-MNT
mnt-routes:     AS12310-MNT
source:         RIPE # Filtered

role:           iNES Internet NOC
address:        2-6 Virgil Madgearu st.
address:        sector 1
address:        Bucharest / ROMANIA
phone:          +40 31 620 20 20
fax-no:         +40 31 620 20 99
phone:          +40 21 232 21 12
fax-no:         +40 21 232 34 61
admin-c:        INES-RIPE
tech-c:         TU790-RIPE
tech-c:         DC1119-RIPE
tech-c:         BP1868-RIPE
tech-c:         BC2200-RIPE
tech-c:         ARS3376
nic-hdl:        INES-RIPE
remarks:        --------------------------------
remarks:        abuse reports: abuse@ines.ro
remarks:        NOC Phone 24x7: +40 31 620 20 20
remarks:        NOC Phone 24x7: +40 21 232 21 12
remarks:        NOC E-mail: support@ines.ro
remarks:        --------------------------------
mnt-by:         AS12310-MNT
source:         RIPE # Filtered

person:         Iosif SZAVUJ
address:        IODES TRADING SRL
address:        Dr. Djuvara E. Street, 31-33, vila 2, ap 4
address:        sector 6, 77201
address:        Bucharest - Romania
phone:          +40-21-6374552
fax-no:         +40-21-6374552
nic-hdl:        IS115-RIPE
mnt-by:         AS3233-MNT
source:         RIPE # Filtered

inetnum:        31.184.192.0 - 31.184.255.255
netname:        RU-PIN-20110304
descr:          Petersburg Internet Network ltd.
country:        RU
org:            ORG-PINl1-RIPE
admin-c:        PINl1-RIPE
tech-c:         PINl1-RIPE
status:         ALLOCATED PA
mnt-by:         RIPE-NCC-HM-MNT
mnt-lower:      MNT-PIN
mnt-routes:     MNT-PIN
mnt-domains:    MNT-PIN
source:         RIPE # Filtered

organisation:   ORG-PINl1-RIPE
org-name:       Petersburg Internet Network ltd.
org-type:       LIR
address:        Petersburg Internet Network ltd.
address:        Nikolay Metluk
address:        Sedova str, 80
address:        192171
address:        Saint-Petersburg
address:        RUSSIAN FEDERATION
phone:          +78126772525
phone:          +78126772555
fax-no:         +78123093916
abuse-mailbox:  abuse@pinspb.ru
mnt-ref:        RIPE-NCC-HM-MNT
mnt-ref:        MNT-PIN
mnt-by:         RIPE-NCC-HM-MNT
admin-c:        MNV32-RIPE
tech-c:         SEO-RIPE
abuse-c:        PIN44050-RIPE
source:         RIPE # Filtered

role:           PIN ROLE
address:        Russia, SPb, Sedova 80
admin-c:        MNV32-RIPE
tech-c:         PIN44050-RIPE
nic-hdl:        PINl1-RIPE
mnt-by:         MNT-PIN
source:         RIPE # Filtered