polspam.testweb.webtest.etop.pl

[KIKI]

https://securitytrails.com/domain/polspam.testweb.webtest.etop.pl/dns

to jest ciekawostka. O co może chodzić?

[KIKI]

http://www.polspam.testweb.webtest.etop.pl/

?????????

[KIKI]

http://polspam.net.pl

??????????????????????

[Henryk Hajdan]

W dniu 2021.07.26 o 20:40, KIKI pisze:
> http://polspam.net.pl
>
> ??????????????????????


Dziwisz się ? Bo ja nie.

Tak jak chyba w niedzielę oglądałem w TVN24 debatę dziennikarz.
Redaktor naczelny "Tygodnika Podhalańskiego" opowiadał, jak to władza
lokalna z Zakopanego walczy z dziennikarzami, co piszą prawdę o
burmistrzu, staroście itd. Ale "TP" się trzyma, bo ma za sobą
czytelnika, który to czytelnik i lokalny biznesmen idzie do kiosku (czy
na www) kupuje gazete, daje reklamy i ogłoszenia i TP może działać.

To samo tutaj.
Polspam robi swoje. Ma duzo uzytkowników, bo jest dużo spamerów, a
wydaje mi się, sprawdzając co niektóre domeny na
https://multirbl.valli.org że tylko polspam listuje polskojęzyczne spamy.
Wierni użytkownicy nie zrezygnują z polspamu.

[***** ***]

Mylisz się.
Polspam.pl listuje wszystkie domeny i IP które WYSYŁAJĄ LUB UCZESTNICZĄ W
JAKIKOLWIEK SPOSÓB W WYSYŁCE SPAMU LUB SĄ ZLECENIODAWCAMI SPAMU.

A wysyłka może być nawet z czarnej dupy.

[KIKI]

On 26.07.2021 21:39, Henryk Hajdan wrote:

> To samo tutaj.
> Polspam robi swoje. Ma duzo uzytkowników, bo jest dużo spamerów, a
> wydaje mi się, sprawdzając co niektóre domeny na
> https://multirbl.valli.org że tylko polspam listuje polskojęzyczne spamy.
> Wierni użytkownicy nie zrezygnują z polspamu.

Zgadza się, zagraniczne listy nie filtrują polskojęzycznego spamu
chociaż był moment, że spamhous wyłapywał nasz spam i to bardzo dużo.
Teraz nie wyłapuje praktycznie nic, nawet zagranicznego nie łapie ale
spamu generalnie nie mam w skrzynkach. Branża fintech z etop.pl króluje
ale w odbiciach. OVH teraz przejął część syfu z Aruby i domen
regionalnych. Nie wiem co robi Aruba, bo wisi na wszystkich możliwych
listach i nie przebija się. Kiedyś domeny regionalne leciały z iq.pl, a
później ukrywały się tam jako cudza klasa, a teraz nie wiem, bo je mam
wpisane na sztywno. No i jeszcze niebieski ale niebieski nie stosuje
forteli. Niebieski ma stale te same 3 klasy i jak ktoś nie chce to sobie
je nawet dopisze do firewalla. Nie cwaniakują z tym skakaniem po
wygrzanych IP.

[Dżon]

> Mylisz się.
> Polspam.pl listuje wszystkie domeny i IP które WYSYŁAJĄ LUB UCZESTNICZĄ W
> JAKIKOLWIEK SPOSÓB W WYSYŁCE SPAMU LUB SĄ ZLECENIODAWCAMI SPAMU.
>
> A wysyłka może być nawet z czarnej dupy.
>

To ja się dołożę.
Poniżej "czarna dupa",a adresacja wskazuje na kraj: TR.
Nasi rodzimi spamerzy ostatnio ostro z tego kraju śmiecą.
Czyli polski spam spoza schengen.

5.180.104.0,5.180.107.255
45.131.0.0,45.131.3.255
45.136.4.0,45.136.7.255
45.141.148.0,45.141.151.255
45.147.45.0,45.147.47.255
77.83.200.0,77.83.203.255
91.194.55.0,91.194.55.255
93.190.217.0,93.190.217.255
109.236.49.0,109.236.51.255
185.86.6.0,185.86.6.255
185.88.172.0,185.88.173.255
185.254.31.0,185.254.31.255
193.17.5.0,193.17.5.255
193.17.7.0,193.17.7.255
193.111.76.0,193.111.76.255
193.160.141.0,193.160.141.255
193.160.143.0,193.160.143.255
194.116.228.0,194.116.229.255
194.116.236.0,194.116.237.255
194.146.26.0,194.146.26.255
194.146.36.0,194.146.36.255
194.146.47.0,194.146.47.255
194.146.50.0,194.146.50.255
2a09:8780::,2a09:8787:ffff:ffff:ffff:ffff:ffff:ffff
2.58.124.0,2.58.127.255
37.123.96.0,37.123.103.255
45.10.150.0,45.10.150.255
45.12.64.0,45.12.67.255
45.67.84.0,45.67.87.255
45.81.140.0,45.81.142.255
45.83.124.0,45.83.127.255
45.83.136.0,45.83.139.255
45.83.180.0,45.83.183.255
45.86.52.0,45.86.55.255
45.86.228.0,45.86.231.255
45.89.24.0,45.89.27.255
45.136.180.0,45.136.183.255
45.139.64.0,45.139.67.255
45.155.124.0,45.155.124.255
45.156.44.0,45.156.47.255
45.158.88.0,45.158.91.255
77.83.132.0,77.83.135.255
85.115.204.0,85.115.207.255
85.153.4.0,85.153.4.255
85.153.6.0,85.153.9.255
85.153.20.0,85.153.23.255
85.153.28.0,85.153.31.255
85.153.34.0,85.153.35.255
85.153.41.0,85.153.42.255
85.153.44.0,85.153.46.255
85.153.56.0,85.153.57.255
85.153.59.0,85.153.59.255
85.153.100.0,85.153.103.255
85.153.127.0,85.153.127.255
89.249.138.0,89.249.143.255
91.186.208.0,91.186.209.255
91.188.216.0,91.188.219.255
103.243.162.0,103.243.163.255
139.28.72.0,139.28.73.255
139.28.75.0,139.28.75.255
178.20.224.0,178.20.231.255
185.9.156.0,185.9.159.255
185.61.46.0,185.61.47.255
185.72.8.0,185.72.11.255
185.118.140.0,185.118.143.255
185.182.188.0,185.182.191.255
192.124.180.0,192.124.183.255
192.144.44.0,192.144.47.255
193.16.12.0,193.16.15.255
193.39.188.0,193.39.191.255
193.164.7.0,193.164.7.255
194.34.104.0,194.34.106.255
194.87.24.0,194.87.27.255
212.11.64.0,212.11.64.255
212.193.28.0,212.193.31.255
213.238.172.0,213.238.172.255
2a00:9bc0::,2a00:9bc0:ffff:ffff:ffff:ffff:ffff:ffff
80.93.64.0,80.93.79.255
212.48.0.0,212.48.31.255
213.209.0.0,213.209.19.255
213.209.20.0,213.209.30.255
213.209.31.0,213.209.33.255
213.209.34.0,213.209.63.255
37.123.101.64,37.123.101.95
194.146.47.128,194.146.47.255
51.83.218.192,51.83.218.255
194.146.26.128,194.146.26.255
85.237.214.0,85.237.214.255
194.169.48.0,194.169.48.255
194.247.44.0,194.247.44.255
216.177.131.0,216.177.131.255
216.185.52.0,216.185.52.255
37.221.64.0,37.221.67.255
45.147.148.0,45.147.151.255
45.150.109.0,45.150.111.255
77.83.134.0,77.83.134.255
94.154.128.0,94.154.131.255
139.28.74.0,139.28.75.255
139.28.168.0,139.28.171.255
185.61.45.0,185.61.47.255
193.151.168.0,193.151.171.255
185.243.30.128,185.243.30.143
81.152.0.0,81.152.250.255
45.147.44.0,45.147.47.255
31.11.128.0,31.11.172.255
31.11.173.0,31.11.202.255
31.11.203.0,31.11.228.255
31.11.229.0,31.11.255.255
31.22.96.0,31.22.103.255
31.41.208.0,31.41.215.255
31.135.168.0,31.135.175.255
37.8.192.0,37.8.208.255
37.8.209.0,37.8.214.255
37.8.215.0,37.8.255.255
37.77.152.0,37.77.159.255
62.122.112.0,62.122.119.255
77.222.224.0,77.222.251.255
77.222.252.0,77.222.255.255
78.31.152.0,78.31.159.255
78.88.0.0,78.88.31.255
78.88.32.0,78.88.43.255
78.88.44.0,78.88.123.255
78.88.124.0,78.88.191.255
78.88.192.0,78.88.219.255
78.88.220.0,78.88.255.255
82.139.0.0,82.139.63.255
83.143.40.0,83.143.47.255
83.143.136.0,83.143.143.255
83.243.104.0,83.243.111.255
88.156.0.0,88.156.64.255
88.156.65.0,88.156.78.255
88.156.79.0,88.156.143.255
88.156.144.0,88.156.167.255
88.156.168.0,88.156.222.255
88.156.223.0,88.156.255.255
89.151.0.0,89.151.63.255
91.192.76.0,91.192.79.255
91.226.6.0,91.226.7.255
91.230.164.0,91.230.167.255
91.231.116.0,91.231.117.255
93.105.0.0,93.105.40.255
93.105.41.0,93.105.42.255
93.105.43.0,93.105.71.255
93.105.76.0,93.105.87.255
93.105.92.0,93.105.142.255
93.105.143.0,93.105.179.255
93.105.180.0,93.105.182.255
93.105.183.0,93.105.255.255
94.231.48.0,94.231.63.255
95.160.0.0,95.160.19.255
95.160.20.0,95.160.31.255
95.160.32.0,95.160.59.255
95.160.60.0,95.160.69.255
95.160.70.0,95.160.79.255
95.160.80.0,95.160.170.255
95.160.171.0,95.160.231.255
95.160.232.0,95.160.239.255
95.160.240.0,95.160.255.255
109.107.0.0,109.107.9.255
109.107.10.0,109.107.31.255
109.197.56.0,109.197.71.255
109.241.0.0,109.241.255.255
178.235.0.0,178.235.137.255
178.235.140.0,178.235.150.255
178.235.151.0,178.235.239.255
178.235.244.0,178.235.255.255
185.51.180.0,185.51.183.255
192.166.120.0,192.166.121.255
193.201.18.0,193.201.19.255
193.242.136.0,193.242.137.255
194.54.188.0,194.54.191.255
195.26.72.0,195.26.75.255
195.28.170.0,195.28.171.255
195.191.162.0,195.191.163.255
195.225.92.0,195.225.95.255
195.242.252.0,195.242.255.255
2a00:9f00::,2a00:9f00:a:ffff:ffff:ffff:ffff:ffff
2a00:9f00:b::,2a00:9f00:10:ffff:ffff:ffff:ffff:ffff
2a00:9f00:11::,2a00:9f00:ffff:ffff:ffff:ffff:ffff:ffff
185.253.212.0,185.253.212.255
91.194.55.128,91.194.55.255
5.181.84.0,5.181.86.255
31.14.21.0,31.14.21.255
45.10.192.0,45.10.192.255
45.132.182.0,45.132.182.255
45.140.236.0,45.140.239.255
45.144.213.0,45.144.213.255
45.144.215.0,45.144.215.255
77.47.180.0,77.47.183.255
77.47.210.0,77.47.213.255
77.83.38.0,77.83.39.255
77.90.149.0,77.90.150.255
84.247.23.0,84.247.23.255
91.198.66.0,91.198.66.255
92.114.3.0,92.114.3.255
176.223.114.0,176.223.114.255
185.148.241.0,185.148.241.255
185.148.243.0,185.148.243.255
185.230.15.0,185.230.15.255
185.254.92.0,185.254.92.255
188.240.0.0,188.240.0.255
188.241.73.0,188.241.75.255
193.16.151.0,193.16.151.255
193.16.156.0,193.16.156.255
193.161.206.0,193.161.206.255
193.169.238.0,193.169.239.255
195.178.128.0,195.178.131.255
212.111.207.0,212.111.207.255
212.111.211.0,212.111.211.255
213.209.133.0,213.209.134.255
213.209.136.0,213.209.136.255
213.209.143.0,213.209.144.255
213.209.157.0,213.209.157.255

[KIKI]

On 26.07.2021 22:18, ***** *** wrote:

> Mylisz się.
> Polspam.pl listuje wszystkie domeny i IP które WYSYŁAJĄ LUB UCZESTNICZĄ W
> JAKIKOLWIEK SPOSÓB W WYSYŁCE SPAMU LUB SĄ ZLECENIODAWCAMI SPAMU.
>
> A wysyłka może być nawet z czarnej dupy.

To mało, polspam powinien listować też przekierowania na strony
lądowania i to co w treści maila. Te kutasy ślą z czarnej dupy ale
wskazują w treści już inne adresy. Samym banem na wysyłającego nic nie
da się zrobić. A co z tym 2.5 Milonem domen co raportowałem kilka postów
wyżej? Tego nie da się łatwo pohamować jak nie uda się poznać tych
domen. Ręcznie wyklikałem 10019 domen do Libre-calc i je obrobiłem,
strona za stroną ale to jest kropla w morzu, a takich gniazd szerszeni
jest więcej.

[KIKI]

On 26.07.2021 22:34, Dżon wrote:
>> Mylisz się.
>> Polspam.pl listuje wszystkie domeny i IP które WYSYŁAJĄ LUB UCZESTNICZĄ W
>> JAKIKOLWIEK SPOSÓB W WYSYŁCE SPAMU LUB SĄ ZLECENIODAWCAMI SPAMU.
>>
>> A wysyłka może być nawet z czarnej dupy.
>>
>
> To ja się dołożę.
> Poniżej "czarna dupa",a adresacja wskazuje na kraj: TR.
> Nasi rodzimi spamerzy ostatnio ostro z tego kraju śmiecą.
> Czyli polski spam spoza schengen.

O żesz ku ile klas adresowych. Nie sądziłem, że aż tyle. Z Turcji idzie
spam ale chyba się odbija, bo mało dostaję. Ale faktycznie jak
przychodzi to z Turcji. Znaleźli sobie podatny grunt.

[Dżon]

W dniu 26.07.2021 o 22:35, KIKI pisze:

A skąd masz te 2 i pół bańki niny domen ?
Z rękawa ?
I jesteś w stanie ocenić, że w takiej liczbie domen jest tylko syf ?
Jak ? Się pytam ...

[KIKI]

On 26.07.2021 23:09, Dżon wrote:

>
> A skąd masz te 2 i pół bańki niny domen ?
> Z rękawa ?
> I jesteś w stanie ocenić, że w takiej liczbie domen jest tylko syf ?
> Jak ? Się pytam ...

One wyglądają na zaparkowane, prowadzą do czarnego ekranu ale jak
patrzysz w historię dowolnej z nich to mają co chwilę zmianę delegacji
na różne adresy IP. Nawet co kilka dni.
Z takich kilkunastu domen dostałem spam seriami, taki sam spam jak do
niedawna z domen regionalnych.

[- Antagonista -]

@KIKI @Dżon
Mnie ta strona ani trochę nie dziwi.
Polspam to aktualnie: brak możliwości zdelistowania, brak jakiegkolwiek kontaktu, formularz wiecznie w 'fazie testów', jedyny mail na stronie to spamtrap
.
Niejasne reguły wrzucania na RBL, umieszczanie całych domen, które padły ofiarą spoofingu na listy domenowe i powiązanych z nimi IP na listy IP, pomimo posiadania przez owe domeny SPFa z hardfailem i DMARC z rejectem.
Tak nie powinien wyglądać porządnie zarządzany RBL, na tą chwilę to generator false-positiveów i rosyjska ruletka, a nie wartościowe źródło, kto generuje spam.

[KIKI]

On 16.10.2021 18:32, - Antagonista - wrote:

> @KIKI @Dżon
> Mnie ta strona ani trochę nie dziwi.

> Brak możliwości delistowania, brak jakiegkolwiek kontaktu, formularz wiecznie w 'fazie testów', jedyny kontakt to spamtrap.
> Niejasne reguły wrzucania na RBL, umieszczanie domen, które padły ofiarą spoofingu, pomimo posiadania przez nich SPFa z hardfailem i DMARC z rejectem.
> Tak nie powinien wyglądać porządnie zarządzany RBL, na tą chwilę to generator false-positivów i widzimisię autora.

Przynajmniej spam nie przychodzi. Na samym polspamie też polegać nie
można, bo część i tak przepuszcza. Ci co mają false positiv-y to powinni
przenieść się z daleka od adresacji, z której rozsyłany jest spam albo
po prostu w spamie uczestniczy, szczególnie jak ASN wisi na kilku
listach np UC3. Ja taki ruch też klasyfikuję spamassassinem i za ASN też
daje punkty. Z RHSBL nie przyjmuję maili w ogóle, odbijam w diabły.
Wyłącz sobie raz polspam to zobaczysz jak nalezie syfu, można rzec od
razu zacznie.

Ofiarą spoofingu to padają zwykle ofiary, które nie mają dkim + dmarc +
spf, poprawnego spf bez includów do sieci spamerskich i falek.

Daj przykład domeny to omówimy czy jest dobrze zabezpieczona, poszukamy
raportów w sieci co wysyłała lub spam zlecała i na ilu listach widnieje.
Tylko tak można podyskutować.
A ty myślisz, że jak przestaną spamować to cofną czas? Spamowali to ta
informacja jest gdzieś w sieci i na czarnych listach, czasami i 20 i 30tu.
Taka czarna lista to moim zdaniem powinna być mądrzejsza. Powinien być
to blockchain na zasadzie bitcoina. Raz wpisana domena nigdy nie znika.
Byłaby tylko adnotacja phishing czy spam. A kogo to obchodzi czy był to
phishing? Na pewno nie odbiorców spamu.

[KIKI]

On 16.10.2021 18:34, - Antagonista - wrote:

> Niejasne reguły wrzucania na RBL, umieszczanie całych domen,

Ja mam takie przemyślenia, że jak ja czy ty dostajemy spam to każdy z
nas wie czy to co dostał było spamem czy nie. Każdy z nas odsiewa kilka
takich maili dziennie i każdy z nich powinien obligatoryjnie lądować na
czarnych listach. Tyle tylko, że domena spamująca jest na przykład z
adresacji aruby albo etopu i nie wiesz skąd przyjdzie kolejny spam. Taka
aruba ma setki tysięcy adresów i z jednych szedł spam, na innych była
skojarzona strona lądowania, a jeszcze na innych mail do odbierania
poczty przez spamera. Tak było 2 lata temu, na początku covida.
Teraz skaczą sobie po kontynentach, spam z Rosji, strona lądowania
Aruba, a mail z etopu, a zleceniodawcą znana marka. Moim zdaniem wszyscy
powinni wisieć na firewallach i czarnych listach. I marzy mi się żeby od
razu taka domena trafiała do adblockera reklam. To powinno tak działać w
obie strony, że baza adblockerowa powinna być też bazą domen mailowych,
razem żeby były.

Ja dopisałem arubę do firewalla, ze sto regułek i już nic nie
przychodzi. Także nie ma mi kto wysłać maila z aruby więc mam ich gdzieś
i z Pfsens-a nie wyjmę. Niebieskiego mam na firewallu, a etopu nie bo
testuję co za domeny przychodzą. Ćwiczę filtry i regułki na nich ale
zwykły mail też nie przyjdzie. Tyle, że widzę co się dzieje w branży
fintechów. Te fintechy kiedyś zmienią lokalizację albo się rozpierzchną
i trzeba będzie je filtrować w przyszłości.

[KIKI]

On 16.10.2021 18:34, - Antagonista - wrote:

> Niejasne reguły wrzucania na RBL, umieszczanie całych domen, które padły ofiarą spoofingu na listy domenowe i powiązanych z nimi IP na listy IP,

Czemu nie odpisujesz?
Podaj te domeny to omówimy każdą z osobna. Jest nas tutaj kilku i
szansa, że wpadł im spam od tej domeny jest na pewno wysoka.

Wiesz ja kilka lat temu dopisywałem domeny w postfixie i nic to nie
dawało. Jak była domena na przykład:
aaa.waw.pl
bbb.waw.pl
ccc.waw.pl
...
to dopisywałem je kolejno do pliku, robiłem postmap i restart postfixa.
Później stwierdziłem, że to nie ma sensu, więc dopisałem sobie cały
waw.pl i problem spamu z waw.pl zniknął.
Niech się walą ci co mają pocztę w domenie waw.pl, pisz.pl, naklo.pl,
zagan.pl i tak dalej.
Tak samo jak maile reklamowe i transakcyjne. Co mnie obchodzi subdomena,
jak to wysyła główna domena i nie przewidzę co za subdomenę utworzą
następnego dnia.
Po prostu walka ze spamem jest ciężka i jestem zdania, że trzeba drążyć
temat kto stoi za spamem, jakie ma inne domeny, kto zleca spam i jakie
są jego domeny i wszystkie należy zgłaszać.
Często spam jednego podmiotu pochodzi z kilkudziesięciu domen, za
którymi ten podmiot się ukrywa. Przykładem jest spam kalendarzowy, SEO i
tak dalej.

Podaj domeny, o które ci chodzi to omówimy wspólnie z grupowiczami. Ja
mam spam z kilku lat, nie kasuję go. Dziesiątki tysięcy zarchiwizowanych
w thunderbirdzie. Podaj domenę...

[KIKI]

On 26.07.2021 20:26, KIKI wrote:
> https://securitytrails.com/domain/polspam.testweb.webtest.etop.pl/dns
>
> to jest ciekawostka. O co może chodzić?
>

Szukałem właśnie spamera na SecurityTrails i przy okazji znalazłem
kolejną ciekawostkę:

https://securitytrails.com/domain/ola-boga-nie-wytrzymom-ona-miala-a-jo-ni-mom.polspam.net/dns

http://ola-boga-nie-wytrzymom-ona-miala-a-jo-ni-mom.polspam.net/

Czy ktoś wie o co chodzi?

[Arni]

W dniu 2021-10-20 o 15:39, KIKI pisze:

o to, że spamer jest zdesperowany do tego stopnia, ze prosi swoje ofiary
o naciskanie adminów ich poczty o wyłączenie filtrowania za pomocą
polspamu. Gdybym używał polspamu i dostał taka prośbę od użytkownika
chyba bym zszedł ze śmiechu.
Nie wiem na co ci debile liczą

--
Arni