[uylug-varios] SPAM de dominios .icu
Rodolfo Pilas
rpilas at pil.as
Tue Apr 23 22:14:24 PDT 2019
Tuve un cara-a-cara con el SPAM los últimos meses muy interesante, se los cuento cronológico:
Una empresa de Luxemburgo ShortDot SA obtiene la gestión del dominio .icu (como CTI, pero en inglés)
https://nic.icu
Otra empresa Namecheap https://www.namecheap.com que revende registros de muchos dominios pone a la venta los .icu a $ 1.29 el primer año.
Unos Spammers automatizan el registro de nuevos dominios, instalación de nuevos servidores SMTP y validación (certificados, dns, etc.) en forma diaria y comienzan a enviar spam desde nuevos dominios y nuevos servidores cada día.
Estuve estas semanas buscando al forma de bloquearlos de forma efectiva en varios servidores sin éxito ya que siempre recibía nuevos dominios (from) y siempre nuevos servidores (helo).
Ajuste algunos procesos de análisis de spam, pero cada vez que tienen un nuevo cliente para enviar spam, los correos cambian todo su contenido, por lo que a los pocos días comenzaba a recibir spam nuevamente.
Cada correo recibido tenía un tracking (con fotos) que confirmaba la lectura. Modifiqué los body sistemáticamente para evitar que los tracking llegaran a los destinatarios, esto mermó mucho la cantidad de spam diario pero semanalmente cambiaban los procesos de tracking.
Automaticé unos proceso de notificación y análisis que enviaban reportes diarios a abuse at nic.icu y abuse at namecheap.com. Corresponde decir que en ambas direcciones acusan recibo, Namecheap informa que bloquea los dominios reportados. Pero claro, al día siguiente nuevos dominios y nuevos servidores.
Hoy puse en lista negra todos los dominios .icu en cuanto servidor administro. Confío esto sea la solución, al menos hasta que los spamer se den cuenta que los .shop o .live están a menos de dos dólares en Namecheap.
Y por último, envié una ultima notificación a los abuse@ con un listado de los 560 dominios .icu bloqueados y los 167 servidores y rangos de IP en lista negra hasta la fecha… y escribí este correo.
---
Rodolfo Pilas
@pilasguru
https://pilas.guru
https://deployando.me
gpg: 2048R/23B5BE7B FCE6 6FC5 849D A0F6 E30D D1FC A33C 4E64 23B5 BE7B
-------------- next part --------------
An HTML attachment was scrubbed...
URL: <http://listas.uylug.org.uy/pipermail/uylug-varios-uylug.org.uy/attachments/20190424/a48564d6/attachment.html>
More information about the Uylug-varios
mailing list