Полезные вопросы

так чем это можно исправить?

From:

cgvictor.livejournal.com

Ничем. Меня тоже бесит. Особенно, когда какое-нибудь заспамленное чмо начинает мне писать "Dear Sir, please unsubscribe me from your mailing lists related penis enlargement".
Вот, в Москве уже справились с одной такой проблемой - прецедент был...

From:

Первым делом надо выяснить, какой именно у вас случай из двух вышеуказанных:

1) У вас вирус. В этом случае вам надо его удалить (письма еще будут некоторое время приходить, потом перестанут).

2) Вируса у вас нет, а просто спамеры отправляют писма с вашим обр. адр. Ничего удивительного - с моим тоже отправляют.

Вы не можете что-то с этим сделать, но можете поставить почтовый фильтр, который будет выбрасывать все письма от mailer-daemon. Минус в том, что если письмо, которое вы кому-то отправите, не дойдет, то вы об этом не узнаете, т.к. не получите сообщение о недоставке.
Тогда, сообщите где у вас адрес (в каком домене) и как вы читаете почту (почтовой программой типа outlook express или через сайт например mail.ru).

=============

Чтобы определить какой у вас их двух случаев (вирус или нет), забростье сюда примеры сообщений о недоставке. Лучше несколько, т.к. нужная информация есть не во всех. Нужны заголовки оригинального (недоставленного) письма. Также нужен ваш IP (чтобы сравнить). Сообщите, у вас модем, DSL, локалка, или что.

Можно пойти другим путем - проверять именно наличие вирусов. Один из способов: скачайте программу hijackthis: http://www.merijn.org/files/hijackthis.zip , а сгенерированный ей лог забросьте сюда. Насколько мне известно, это хорошая программа (я ею пользуюсь), и ничего вредного она не содержит.

From:

вот как сглазил. утром пришло 5 подобных сообщений и только что ещё 10.
только немного изменились. раньше ещё были такие, в которых в текстах перечислялись почтовые ящики, на которые не могли доставиться пиьсма и все они были с одного домена.
у меня модем. ящик на мейл.ру. читаю письма через сайт
ну вот примеры
1)Mail Delivery System
Mail delivery failed: returning message to sender
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

diplom1@cp2.hostersheaven.net
(generated from sale@diplom1.ru)
Disk quota exceeded:
mailbox is full: retry timeout exceeded

------ This is a copy of the message, including all the headers. ------

Return-path: <wut@mail.ru>
Received: from [195.210.238.252] (helo=BSN-210-238-252.dsl.siol.net)
by cp2.hostersheaven.net with smtp (Exim 4.44)
id 1DxiOg-0005h6-R9; Wed, 27 Jul 2005 13:40:22 +0400
Message-ID: <003501c59286$0ed266b0$0f0e0d0c@adminpost>
From: =?koi8-r?B?68/XwczF1yDhzMXL08HOxNI=?= <wut@mail.ru>
To: <wut@mail.ru>
Subject: =?koi8-r?B?z8LOz9fMxc7JxSDB09PP0tTJzcXO1MEg?=
Date: Wed, 27 Jul 2005 04:37:26 -0600
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_002F_01C592A7.95B46B30"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1437
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441

потом идёт текст типа такого: 08zPINPP1NLVxM7Jy8/XPyANCu7FIMjXwdTBxdQg0sHCz97JyCDNxdPUPw3rz9bBzs/FIMvSxdPMzyDEzNEg0tXLz9fPxMnUx

-----------------------------------------------------
2) Hi. This is the qmail-send program at mx.tele-kom.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<ecovolga@t-k.ru>:
user is over quota

--- Below this line is a copy of the message.

Return-Path: <wut@mail.ru>
Received: (qmail 43169 invoked by uid 555); 27 Jul 2005 09:30:12 -0000
Delivered-To: smtp-ecovolgaru-sales@ecovolga.ru
Received: (qmail 43142 invoked by uid 555); 27 Jul 2005 09:30:12 -0000
Received: from 213.80.148.6 (65.42.193.228)
by t-k.ru with TeleMail/2 id 1122456609-43052
for support@ecovolga.ru; Wed, 27 Jul 13:30:09 2005 +0400 (MSD)
Message-ID: <003501c59286$0ed266b0$0f0e0d0c@adminpost>
From: =?koi8-r?B?68/XwczF1yDhzMXL08HOxNI=?= <wut@mail.ru>
To: <wut@mail.ru>
Subject: =?koi8-r?B?z8LOz9fMxc7JxSDB09PP0tTJzcXO1MEg?=
Date: Wed, 27 Jul 2005 04:29:20 -0600
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_002F_01C592A7.95B46B30"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1437
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
---------------------------------------------------------
---------------------------------------------------------
3) MAILER-DAEMON@mx.tele-kom.ru

failure notice
Hi. This is the qmail-send program at mx.tele-kom.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<ecovolga@t-k.ru>:
user is over quota

--- Below this line is a copy of the message.

Return-Path: <wut@mail.ru>
Received: (qmail 43172 invoked by uid 555); 27 Jul 2005 09:30:12 -0000
Delivered-To: smtp-ecovolgaru-ecovolga@ecovolga.ru
Received: (qmail 43142 invoked by uid 555); 27 Jul 2005 09:30:12 -0000
Received: from 213.80.148.6 (65.42.193.228)
by t-k.ru with TeleMail/2 id 1122456609-43052
for support@ecovolga.ru; Wed, 27 Jul 13:30:09 2005 +0400 (MSD)
Message-ID: <003501c59286$0ed266b0$0f0e0d0c@adminpost>
From: =?koi8-r?B?68/XwczF1yDhzMXL08HOxNI=?= <wut@mail.ru>
To: <wut@mail.ru>
Subject: =?koi8-r?B?z8LOz9fMxc7JxSDB09PP0tTJzcXO1MEg?=
Date: Wed, 27 Jul 2005 04:29:20 -0600
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_002F_01C592A7.95B46B30"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1437
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441

----------------------------------------------------

From:

Да, это не вирус, а отходы жизнедеятельности спамеров.

Что с этим можно сделать - я написал:
{
можете поставить почтовый фильтр, который будет выбрасывать все письма от mailer-daemon. Минус в том, что если письмо, которое вы кому-то отправите, не дойдет, то вы об этом не узнаете, т.к. не получите сообщение о недоставке.
}

Поскольку вы пользуетесь мейлру, можно поставить фильтр их средствами.
Как сделать фильтр, написано здесь:

http://www.mail.ru/pages/help/121.html

From:

спасибо большое. буду пробовать

From:

amd751.livejournal.com

ничем. адрес ваш попал в список спамеров. будет использоваться и при расылке спама к вам и также при отсылке спама другим подставляясь в поле отправителя..

ps: все таки проверьте свой комп на вирусы..

From:

sunnycat.livejournal.com

ну и третий вариант, который никто не указал - таким образом рассылается спам :) Очень удобно - в письмо "недоставленно" вы наверняка полезете.

From:

posthum.livejournal.com

я тоже склоняюсь к этому варианту

From:

Вы правы только в том случае, если в письме содержится какой-либо спам, что не указано в оригинальном посте :) Хотя лично я с такими делами не сталкивался.

From:

нет, рекламы там никакой нет внутри

From:

Как правило, письма о недоставке приходят в таком виде, что просмотреть оригинальное письмо довольно трудно, и обычный пользователь этого сделать не может.
То есть это просто отходы.

From:

Или это вообще невозможно.

From:

pseudodemetrius.livejournal.com

Обычная практика: один раз получил сообщение о недоставке письма из Осетии; в аттечменте — ИСПОЛНЯЕМЫЙ файл под названием вроде Document.bat (даже не знал, что exe-шник можно так переименовывать); второй — из Швеции, с приглашением зайти на сайт провайдера единственного моего шведского корреспондента в директорию "/support" (or smth like this), при том, что реальный support вышеупомянутого провайдера находился совершенно по другому адресу. В Осетии — тоже только один корреспондент; ни тому, ни другому в то время я не писал.

From:

Я возможно непонятно выразился. Я хотел сказать, что иногда текст оригинального письма вообще не присутствует в сообщении о недоставке. Таким образом, рекламную роль он не может играть. В других случаях, оригинальное письмо присутствует, но в таком виде, что не каждый догадается, как его посмотреть.

Я говорил о настоящих сообщениях о недоставке, а не о вирусах.

Вы о другом пишете:
{
Обычная практика: один раз получил сообщение о недоставке письма из Осетии; в аттечменте — ИСПОЛНЯЕМЫЙ файл под названием вроде Document.bat (даже не знал, что exe-шник можно так переименовывать);
}
Это другой случай, который надо отличать. Это вирус, замаскированный под сообщение о недоставке. Второй случай - возможно, тоже (ссылка может указывать не туда, куда написано).

From:

pseudodemetrius.livejournal.com

Да, неправильно понял вашу фразу (не помню, чтобы сам когда-нибудь получал сообщения о недоставке без приложения).
Насчет того, что "не каждый догадается, как [оригинальное письмо] посмотреть" — мышкой кликать умеет почти каждый; проблема скорее в том, что "не каждый" догадается фальшивое приложение не смотреть.
По поводу моего письма со ссылкой — формально, это, пожалуй, был все-таки спам, хотя, скорее всего, и не коммерческий.

From:

Ну да, одни не станут смотреть ни фальшивое, ни настоящее приложение, а другие будут беспечно открывать и то и другое.

Но бывает и по-другому - когда никакого вложения вообще нет, а весь текст исходного письма приведен просто как текст. Включая все бывшие там вложения, закодированные в base64, или текст в quoted-printable. Пример был приведен выше:

------ This is a copy of the message, including all the headers. ------

Return-path: <wut@mail.ru>
Received: from [195.210.238.252] (helo=BSN-210-238-252.dsl.siol.net)
by cp2.hostersheaven.net with smtp (Exim 4.44)
id 1DxiOg-0005h6-R9; Wed, 27 Jul 2005 13:40:22 +0400
Message-ID: <003501c59286$0ed266b0$0f0e0d0c@adminpost>
From: =?koi8-r?B?68/XwczF1yDhzMXL08HOxNI=?= <wut@mail.ru>
To: <wut@mail.ru>
Subject: =?koi8-r?B?z8LOz9fMxc7JxSDB09PP0tTJzcXO1MEg?=
Date: Wed, 27 Jul 2005 04:37:26 -0600
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_002F_01C592A7.95B46B30"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2800.1437
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441

потом идёт текст типа такого: 08zPINPP1NLVxM7Jy8/XPyANCu7FIMjXwdTBxdQg0sHCz97JyCDNxdPUPw3rz9bBzs/FIMvSxdPMzyDEzNEg0tXLz9fPxMnUx

Последняя строчка - это и есть начало закодированного аттачмента (возможно, картинка или html). Многие спамерские письма устроены так, что никакого осмысленного текста там нет, а вся информация в картинке.

Прочитать исходное письмо можно так - надо скопировать весь текст исходного письма начиная с заголовка в текстовый редактор (например notepad или far), сохранить его как файл с расширением eml и потом открыть, он должен открыться почтовкой. По крайней мере у меня он открывается в thebat. Если текст не был обрезан, все должно быть видно (иногда сервер его обрезает, если очень длинный).

Естественно, все это не каждый станет делать.

----------------------
Кстати, это оказалась не картинка, а текст. Вот что я получил в результате раскодирования последней строчки вышеприведенного куска:

сло сотрудников?
Не хватает рабочих мест?
Кожаное кресло для руководит

From:

Это не вирус в прямом смысле слова, это spyware. Обычный антивирус такие вещи не ищет и не удалят, т.к. это не в его компетенции. Для лечения подобный заразы поставьте, например, Ad-Aware (взять можно, например на http://www.samlab.ws) с последними обновлениями базы и "прошерстите" машину.

Что могут сделать: если у ящик провайдера, то ввиду боязни попасть в стоп/спам/блэк-лист за границей Вам просто отлючат почтовый сервис до тех пор, пока Вы не справитесь с проблемой.
Беслатные почтовые службы по-обыкновению с такими проблемами не возятся, им и своих хватает, но Вы в любом случае проходите через сервера провайдера и грузите их лишним хламом, а потому может произойти описанное выше.

В отношении проставления Вашего обратного адреса в спам-письмах - да, такое возможно, но эта вероятность по шансам ниже, чем вероятность спайвера.

From:

Провериться никогда не мешает, конечно.

В данном случае я не вижу никаких признаков заражения. Письма отправлены с разных IP-адресов, один в Словении, другой в Волгограде. У yuri_wut в юзеринфо написано, что он живет в Киеве.

Это IP-адреса машин, с которых письма были отправлены - подделать их нельзя, т.к. их проставляет тот сервер, который генерирует сообщение о недоставке.
--

Мне такие письма приходят регулярно - в неделю как минимум несколько штук придет, иногда несколько десятков. Спайвера нет, насколько я могу судить. Заголовки указывают куда угодно, но не на мою машину. Я считаю, что моя квалификация достаточна, чтобы отличить результат работы вируса на моей машине и рассылку спама посторонними с указанием моего адреса.
Я конечно, понимаю, что мой адрес там не единственный (иначе мне бы пришли тысячи этих писем), а они, по-видимому, берут "обратные" адреса случайным образом из той же базы, что и прямые.

Вот только что пришло:

От кого: MAILER-DAEMON@hermes.hw.ru
Дата: 27 Июл 2005 17:22:43
Тема: Undeliverable mail: Продаю щенков Пиренейской Горной Собаки. [!! SPAM]

Failed to deliver to 'victoria@rbc.ru'
LOCAL module(account victoria@rbc.ru) reports:
unknown user account

И дальше в том же роде.

Оригинальное письмо не сохранено. Однако, рядом лежит другое письмо, с темой "Delivery reports about your email [FAILED(27)]", и вот к нему приложено оригинальное недоставленное письмо, в котором, натурально, предлагают купить щенков. Все это совершенно обычное дело.

From:

Судя по заголовкам, Вы правы - рендомом выбираются адреса отправителей. В принципе для спамеров это гораздо это выгоднее, чем ставить адреса вида "ogabuqoblb@bbra.com", практически безошибочно распознаваемые любыми антиспамовскими фильтрами. Плюс к этому серверные фильтры работают по ещё более "неудобной" схеме - определяется "жив" и валиден ли отправитель. Если да, пропускается, если нет - убивается.
Я покопался в папке спама, да, действительно, есть такие письма...

From:

Они могли бы ставить несуществующие адреса в существующих доменах. Проверить существование отправителя легко только в том случае, если отправитель из этого же домена - тогда у почтового сервера есть полный список ящиков, и он может просто заглянуть в него. Если не из этого, то простого способа нет, можно только попробовать имитировать отправку письма. Никто не будет этого делать для КАЖДОГО письма. Сами такие проверки в массовых количествах воспринимаются как враждебное поведение и подготовка к спаму.
Не говоря уж о том, что второй сервер при попытке имитировать отправку, может запустить такую же проверку в отношении первого, и они войдут в бесконечный цикл. Ни один программист в здравом уме такого не запрограммирует.

Короче: спамеры могли бы ставить несуществующие адреса в существующих доменах. Этого я от них и хочу.

From:

Естественно приведённая мною схема работает только в той ситуации, если я использую тот же сервер отправителя. Если же сервер сторонний по отношению к двоим (отправителю и получателю), эффекта не добъешся.

Короче: спамеры могли бы ставить несуществующие адреса в существующих доменах. Этого я от них и хочу.
Смысл в таких действиях? Ну пусть адрес будет выглядеть как ogabuqoblb@mail.ru, что дальше? В результате это действительно уберёт доставку существующему отправителю отлупа, но при этом любой фильтр всё равно убьёт это письмо. А для спамера это невыгодно.

From:

Я вас не очень понял, поэтому попробую объяснить подробнее, что я имею в виду.

Допустим, спамер посылает письмо на адрес ivanov@mail.ru . Он может подставлять обратный адрес jdhjhsakhj@yandex.ru , и сервер мейл.ру не сможет проверить его валидность. А посылая письмо petrov@yandex.ru, можно подписываться hpweiefk@hotmail.com . И так далее. Нет такого фильтра, который бы определил, есть адрес или нет.

-------
Вообще, надо бы у нас принять такой закон против спама, как Америке. Вот это было бы полезно.

From:

Именно это я и имел ввиду. Но это невыгодно спамеру, т.к. адреса типа "jdhjhsakhj@yandex.ru" убиваются почтовыми фильтрами.
Да у них тоже не всё слава богу... была нашумевшая история про SpamCop, когда их обвинили в создании препятствий для бизнеса Короля Спама.

From:

{
Но это невыгодно спамеру, т.к. адреса типа "jdhjhsakhj@yandex.ru" убиваются почтовыми фильтрами.}

Да каким же образом? Откуда фильтр может узнать, что адрес не существует, если он в другом домене?

From:

Дык фильтр же не проверяет исключительно доменную принадлежность. Есть же ещё и другие параметры.

From:

Каким образом фильтр может определить, что адрес "jdhjhsakhj@yandex.ru" не существует?

From:

Да не определяет он его существование или отсутствие. Он определяет его как, гурбо говоря, "набор символов", что является основанием для выставления спам-рейтига. Ну Вы себе создадите адрес с таким названием "jdhjhsakhj"? Вряд ли.

From:

Можно по словарю подбирать. Типа, ivanov2312.

From:

Можно, конечно, но толку тоже маловато - есть ещё и проверка содержимого письма.

From:

Это тут ни при чем. Мы говорили о том, насколько несуществование адреса отправителя понижает шансы письма быть доставленным. По-моему, не понижает.

From:

Проверял по серверу хостера - да, он не инициирует отправку с себя только в том случае, если не находит подставленный в базе адресов. Во всех других ситуациях отправка осуществляется.
Но, на принимающем сервере можно установить проверку заголовков: если подставленный адрес "tram-param@mail.ru", а сервер-отправитель в заголовках указан "@gmail.com", результат понятен.

From: