Хроника боевых действий: seminar.com.ua


ПРЕДУПРЕЖДЕНИЕ!
Если Вы собираетесь использовать некоторые методы описанные здесь (ответ спамом на спам), будьте осторожны!
В случае если ваши действия приведут к сбоям в работе систем связи и электронной почты, вы можете получить неприятности с законом!
Обратите внимание, что почтовый сервер получателя может находиться в другой стране, учтите ее законодательство!

К сведению:
Замусориванием почтовых ящиков спамера - очень эффективный метод борьбы с ним, обычно достаточно 1000 копий его же (или чужого) спама.
Реальные адреса спамера почти всегда можно найти через поисковики по указанному в спаме телефону, или по ссылке на сайт (в спаме).
Как правило, повторного спама от той же конторы не наблюдается.

Исходный спам, получен Sat, 14 Aug 2004 22:37:33 +0300 (EEST) от pimout5-ext.prodigy.net [207.115.63.73]

Виндетта по поисковикам полностью удалась, источник спама:
"Международный информационный Консалтинговый Центр" (ICIC)
http://seminar.com.ua
Туда же вели http://biznes.kiev.ua и http://icic.com.ua
04080, г. Киев, yл. Фpyнзе, 19/21
+38 044 455-99-99 (по ночам факс в автоответе)
Директор:
Полевенко Александр Николаевич
icic@biznes.kiev.ua
icic@icic.com.ua
Коммерческий директор:
Полевенко Лилия В. (не проверено)

Спамер получил 1000 копий своего же спама на следующие адреса:
postmaster@seminar.com.ua
office@seminar.com.ua
info@seminar.com.ua
В этот раз спамер вместо того что бы заглохнуть, начал рассылать спам с моим адресом отправителя, это кстати еще и мошенничество!
Определено по большому количеству SMTP-CallBack (проверок существования адреса отправителя) и возвратов спама некоторыми глупыми почтовиками.
Архив возвратов (518kb)

Ну что же, он хотел войны - он ее получил!
В 9:00 начата непрерывная бомбежка спамера всяким мусором.
В 14:47 было получено письмо от аплинка, в котором он цитирует жалобу спамера:

> From: International centre for Information&Consulting <info@icic.com.ua>
> Subject: примите меры против этого пользователя!!!
>
> уже второй день от моего имени мне же идут письма от этого
> пользователя.

Видимо процитировано не все письмо, но этого достаточно что бы понять, что бомбежка принесла результаты ;-)
Аплинк кстати, после разъяснения причин - подтерся этой жалобой в туалете, и правильно, кто будет всерьез рассматривать жалобы спамера на ответный спам? ;-)

Вторым получателем жалобы был hostmaster/ГАВ/ripe.net, видимо спамер предполагал что в RIPE умеют читать по русски, в чем я сильно сомневаюсь... В любом случае, не от RIPE, не от администратора почтового сервера спамера, не чего не поступало.

Гражданин Полевенко решил жаловаться, ну что же, я то же жаловаться умею:

> Date: Tue, 17 Aug 2004 05:35:37 +0300
> To: postmaster/ГАВ/a-registrator.com.ua, postmaster/ГАВ/tsua.net, postmaster@dns.com.ua, postmaster@colocall.net, postmaster@imena.com.ua, postmaster@mirotel.net, postmaster/ГАВ/hostmaster.net.ua
>
> Здравствуйте!
>
> Каждый из Вас предоставляет регистрационный, почтовый, или Веб сервис,
> одному из доменов:
> seminar.com.ua
> biznes.kiev.ua
> icic.com.ua
> принадлежащих к некоему "Консалтинговому Центру", возглавляемому
> (по его собственному заявлению) Полевенко Александром Николаевичем,
> 04080, г. Киев, ул. Фрунзе, 19/21.
> Возможно эти данные вымышленные, как я понимаю, их указывал сам
> Полевенко. Но это уже не столь важно.
>
> Дело в том, что это лицо (или группа лиц) уже более суток производят
> рассылку спама от моего имени (указывая мой E-Mail адрес).
> На данный момент я насчитал около 45000 попыток возврата мне этой
> почты, и проверок существования отправителя. Учитывая что
> конфигурации почтовых систем, производящие подобные действия, далеко
> не повсеместны, а так же, кеширование результатов проверок,
> реальное количество этого спама на данный момент не менее 200...500
> тыс. писем, и он продолжает рассылатся.
>
> Я прошу Вас, вмешаться в ситуацию, и приостановить обслуживание
> вышеперечисленных доменов, на основании нарушения их владельцем
> общепризнанных норм сетевого этикета и правил пользования сетью
> (OFISP), причинения морального и материального ущерба сотням тысяч
> получателей его спама, фальсификации адреса отправителя - что по сути
> является мошенническим действием.
> В свое время так поступил Росниирос с печально известным Центром
> одного из иностранных языков...
>
> Попытки урезонить это явление обращением в службу abuse@
> BellSouth.net, за которой зарегистрирован IP 68.152.6.62 производящий
> рассылку, и даже отправки на реальные адреса спамеров большого
> количества мусора, пока не к чему не привели, спам продолжают
> рассылать.
>
> Всю необходимую информацию вы найдете в прилагаемых возвратах,
> к многим из них приложена копия спама.
> Это только малая часть, которая проскочила вчера, до включения
> специального фильтра. Ее легко можно проверить у администраторов
> соответствующих почтовых серверов.
>
> Веб сайты http://seminar.com.ua и http://biznes.kiev.ua идентичны,
> http://icic.com.ua приводит к переадресации на http://www.seminar.com.ua
> В разделе "Контакты" упомянутых сайтов, находится тот самый телефон из
> спама "+38(044) 4559999", к тому же, совпадает тематика, и почтовый
> адрес с тем что указан в информации о домене icic.com.ua.
> Все это в сумме дает неопровержимое доказательство прямой причастности
> всех перечисленных доменов к рассылке.
>
> Так же, обращаю Ваше внимание на то, что эта организация занимается
> рассылками спама уже довольно давно, и с всевозрастающей наглостью,
> по которой давно превзошла cepi.com.ua (о нем не сегодня).
> К тому же, случай использования ими в спаме моего E-Mail уже второй.
>
> Я надеюсь что Вы не заставите меня обращаться в ICANN или
> крупные антиспамерские организации в случае бездействия или спихивания
> проблемы спама исключительно на администраторов почтовых серверов.

На это был получен один отрицательный ответ:

> From: postmaster@colocall.net (Internet Data Center "ColoCALL")
>
> Мы можем принять меры только на основании договора. А именно,
> если письмо послано через один из наших серверов, или если в
> письме указан контактный e-mail или ссылка на сайт, находящийся
> на одном из наших серверов. Пересланные Вами письма не были
> посланы с использованием наших серверов, и они не содержат
> ссылок на сайт http://biznes.kiev.ua, домен которого поддерживается
> на http://dns.com.ua. Меры будут приняты как только Вы предоставите
> хотя бы одно письмо, удовлетворяющее вышеперечисленным требованиям.

ColoCALL полетел в черный список почтовика:
relay.dns.com.ua ERROR:5.7.1:550 relay.dns.com.ua Serve for SPAMmer biznes.kiev.ua
relay2.colocall.net ERROR:5.7.1:550 relay2.colocall.net Serve for SPAMmer biznes.kiev.ua
min.colocall.net ERROR:5.7.1:550 min.colocall.net Serve for SPAMmer biznes.kiev.ua

Туда же полетели не ответившие (и продолжившие предоставление сервиса спамеру) товарищи:
relay2.imena.com.ua ERROR:5.7.1:550 relay2.imena.com.ua Serve for SPAMmer icic.com.ua
mail.imena.com.ua ERROR:5.7.1:550 mail.imena.com.ua Serve for SPAMmer icic.com.ua
pegas.mirotel.net ERROR:5.7.1:550 pegas.mirotel.net Serve for SPAMmer icic.com.ua

Так же было получено два положительных ответа, которые меня вполне удовлетворили:

1:
> From: Peter Lavee <abuse/ГАВ/tsua.net>
>
> Клиент Полевенко Александр Николаевич (выделенная линия) отключен с 17:00 17-Авг-2004 .

2:
> From: Natalia <elena/ГАВ/a-counter.com.ua> (Alpha Counter Ltd)
>
> 17.08.04. Службой хостинга Alpha-Hosting начата процедура расторжения договора
> на предоставление услуг хостинга с владельцем домена seminar.com.ua.
> Процедура предусматривает срок 30 календарных дней с момента
> оповещения клиента. Клиент оповещен и ищет новый хостинг.
> Для информации. Возможность рассылки почты с нашего сервера или с
> сервера провайдера "Технологические системы" для этого клиента
> исключена уже на протяжении года.
>
> С уважением.
> Генеральный директор
> ООО "Альфа Каунтер"
> Власова Людмила Игоревна.

К тому же, обнаружена ликвидация домена seminar.com.ua
> # host -t any seminar.com.ua
> Host not found.

http://whois.com.ua так же ответил:
> No entries found for domain seminar.com.ua

27 августа домен возник снова, на этот раз сервис спамеру любезно предоставил Golden telecom.

Всем спасибо, все свободны.

Приложения:

Письмо Полевенко уставшего от бомбежки и ответ на него.

ColoCall сам оказался спамером, улетел в блокировку.


21 сентября "центр" снова разослал спам, психическое здоровье этого человека/людей вызывает у меня серьезные сомнения, вменяемый человек адекватно связывающий причину и следствие, не стал бы продолжать спамить туда, где получил для себя столько проблем.
Беглый просмотр показал, что для домена seminar.com.ua какие либо DNS записи отсутствуют, http://www.biznes.kiev.ua и http://www.icic.com.ua фактически не работают, но почту эти домены все же принимают, kiev.sovam.com и mirotel.net перестали принимать почту для спамера, приятно.
Кстати, в спаме сменился телефон, записывайте: (044) 233-23-27.
Характерные признаки этого спама все те же, название "Международный информационный Консалтинговый Центр", содержание - реклама семинаров, адрес для якобы отписки info@contract.com.cn
Спам отправлен его рассыльщику в 10-и тыс. копий ;-)

E-Mail адреса имеющие отношение к этой спамерской конторе:
E-MailComment
info@seminar.com.ua 
office@seminar.com.ua 
postmaster@seminar.com.ua 
icic@seminar.com.uaПолевенко
vika@seminar.com.ua 
info@icic.com.uaПолевенко
office@icic.com.ua 
postmaster@icic.com.ua 
icic@icic.com.uaПолевенко
info@biznes.kiev.ua 
office@biznes.kiev.ua 
postmaster@biznes.kiev.ua 
icic@biznes.kiev.uaПолевенко
platts@biznes.kiev.uaНекая Lily Stepanchenko (LS4-UANIC)


16 ноября
Константин из Днепропетровска сообщил о рассылке "Консалтинговым центром" спама с использованием его E-Mail в качестве адреса отправителя.
Поскольку снова всплыла эта тема, я провел небольшую проверку, кто сейчас обслуживает интересы спамера в Интернет...
Итак, "Доска позора" пособников спамера (по состоянию на 17/11/2004):

Colocall Ltd. (relay2.colocall.net, relay.dns.com.ua, ns.dns.com.ua, ns2.dns.com.ua, 62.149.2.7)
hostsila.net (master.hostsila.com, slave.hostsila.net)
ThePlanet.com Internet Services, Inc. (67.19.154.148)
AGAVA Software (ns1.agava.net.ru, ns2.agava.net.ru, 217.107.212.11)
ТзОВ Хостмайстер (Обслуживание Украинских доменов: biznes.kiev.ua, icic.com.ua, seminar.com.ua, seminar.kiev.ua)

biznes.kiev.ua
biznes.kiev.ua name server master.hostsila.com
biznes.kiev.ua name server slave.hostsila.net
biznes.kiev.ua mail is handled (pri=0) by biznes.kiev.ua
www.biznes.kiev.ua is a nickname for biznes.kiev.ua
biznes.kiev.ua has address 67.19.154.148

icic.com.ua
icic.com.ua name server master.hostsila.com
icic.com.ua name server slave.hostsila.net
icic.com.ua mail is handled (pri=0) by seminar.com.ua
www.icic.com.ua is a nickname for icic.com.ua
icic.com.ua has address 67.19.154.148

seminar.com.ua
seminar.com.ua name server ns2.agava.net.ru
seminar.com.ua name server ns1.agava.net.ru
seminar.com.ua has address 217.107.212.11
www.seminar.com.ua has address 217.107.212.11

seminar.kiev.ua
seminar.kiev.ua name server ns2.dns.com.ua
seminar.kiev.ua name server ns.dns.com.ua
seminar.kiev.ua mail is handled (pri=10) by relay.dns.com.ua
seminar.kiev.ua mail is handled (pri=20) by relay2.colocall.net
seminar.kiev.ua has address 62.149.2.7
www.seminar.kiev.ua has address 62.149.2.7

По приведенным ссылкам все желающие могут найти контактную информацию пособников спамера.
Требуйте прекращения обслуживания этого спамера, при этом можно (и нужно) ссылаться на общепринятые "Нормы пользования Сетью" (OFISP) осуждающие спам, прецедент прекращения РосНИИРОС обслуживания домена "Центра американского английскиго" (americancenter.ru), а так же, прекращение по моей жалобе "Технологические системы" и "Альфа Каунтер" обслуживания интересов "Консалтингового центра".
Прикладывайте к жалобам доказательства в виде той пакости которую Вам прислали (обязательно со служебными заголовками писем!), их всегда можно проверить по лог-файлам почтовых серверов.