martedì 9 dicembre 2014

Spam da Libero.it

Frugando nella cartella spam di GMail (non lo faccio spesso ma ogni tanto controllo di non aver perso qualcosa) ho trovato una mail di mia zia ....curioso che GMail sbagli cosi' a classificare le mail.

Aprendo la mail ho trovato solo un link (http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilaulwse=
hm) il quale una volta cliccato rimandava a questo sito (http://mother-blog-home.com/)...ovviamente queste cose si fanno su macchine virtuali usa e getta...mia zia non puo' mandare queste mail ;>
(peraltro la prima volta che ho contattato il sito questo non era raggiungibile, il giorno successivo era invece presente)

 ok guardiamo meglio
aprendo gli header del messaggio e' chiaro perche' Google lo ha messo in spam ..l'ip dichiarato dal mittente non corrisponde al server di posta di libero.it

 andiamo avanti
il server di posta mittente (cne.gob.ve) e' relativo ad un sito istituzionale venezuelano per le elezioni elettorali (non libero) 
Il messaggio e' stato inoltrato da un client Microsoft ( questo non e' discriminante perche' da Libero si puo' scrivere sia webmail che tramite client di posta sul proprio Pc)

 Contattata mia zia mi ha detto che il suo account era stato usato per inviare mail a tutti i suoi contatti 
Il problema era quindi nel portatile ??? Sembra di no perche' non si spiegherebbe l'utilizzo di un mail server venezuelano

 Andando un po' a giro (per esempio qui) sembra che il problema sia una compromissione dei server di Libero.it...cambiare password dell'account sembra sostanzialmente inutile, forse e' meglio cambiare servizio di posta
----------------------------------------------------------------------------------                                                                                                                                                                                                                                                                
Delivered-To: xxxxxx@gmail.com
Received: by 10.216.40.6 with SMTP id e6csp81601web;
        Sat, 29 Nov 2014 14:40:43 -0800 (PST)
X-Received: by 10.42.4.201 with SMTP id 9mr1318337ict.23.1417300842579;
        Sat, 29 Nov 2014 14:40:42 -0800 (PST)
Return-Path: <xxxxxxxx@libero.it>
Received: from mail.cne.gob.ve (mail.cne.gob.ve. [190.202.82.22])
        by mx.google.com with SMTP id 9si9731310ica.66.2014.11.29.14.40.41
        for <xxxxxxxx@gmail.com>;
        Sat, 29 Nov 2014 14:40:42 -0800 (PST)
Received-SPF: fail (google.com: domain of xxxxxxx@libero.it does not designate 190.202.82.22 as permitted sender) client-ip=190.202.82.22;
Authentication-Results: mx.google.com;
       spf=fail (google.com: domain of xxxxxxxx@libero.it does not designate 190.202.82.22 as permitted sender) smtp.mail=xxxxxxx@libero.it
Received: from localhost (correo-2 [127.0.0.1])
by mail.cne.gob.ve (Postfix) with ESMTP id 681C74BED69
for <xxxxxxx@gmail.com>; Sat, 29 Nov 2014 22:34:42 +0000 (UTC)
X-Virus-Scanned: amavisd-new at cne.gob.ve
Received: from mail.cne.gob.ve ([127.0.0.1])
by localhost (correo-2.cne [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id PEa1gr_ZJWyY for <xxxxxxxxx@gmail.com>;
Sat, 29 Nov 2014 18:04:41 -0430 (VET)
Received: from mail.cne.gob.ve (67-32-134-95.pool.ukrtel.net [95.134.32.67])
(using TLSv1 with cipher DHE-RSA-AES256-SHA (256/256 bits))
(No client certificate requested)
by mail.cne.gob.ve (Postfix) with ESMTPSA id 1E4DE4BED3E
for <xxxxxxx@gmail.com>; Sat, 29 Nov 2014 18:04:39 -0430 (VET)
Authentication-Results: mail.cne.gob.ve; dkim=none reason="no signature";
dkim-adsp=none
Message-ID: <A4D9D0CA95F0A58CD5E10C49A47C1750@mail.cne.gob.ve>
From: "xxxxxxxx" <xxxxxxx@libero.it>
To: "xxxxxx" <xxxxxxx@gmail.com>
Subject: =?ISO-8859-1?Q?FW=3Amwmachado?=
Date: Fri, 29 Nov 2014 11:34:39 +0000
MIME-Version: 1.0
Content-Type: multipart/alternative;
 boundary="----=_NextPart_000_AFA7_0F92A445.54BC485A"
X-Priority: 3
X-MSMail-Priority: Normal
Importance: Normal
X-Mailer: Microsoft Windows Live Mail 16.4.3522.110
X-MIMEOLE: Produced By Microsoft MimeOLE V16.4.3522.110

 This is a multi-part message in MIME format.

 ------=_NextPart_000_AFA7_0F92A445.54BC485A
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: quoted-printable

 http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilaulwse=
hm 

  xxxxxxx@libero.it 
------=_NextPart_000_AFA7_0F92A445.54BC485A
Content-Type: text/html; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

 =EF=BB=BF<HTML><HEAD><META http-equiv=3D"content-type" content: text/html;=
 charset=3DUTF-8></HEAD><BODY><a href=
=3D"http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnpilau=
lwsehm">http://expressbookng.com/oikmco/oyurogwunaehhaadlwohrwyurbap.pvtqyqdnp=
ilaulwsehm</a>=
 <br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br><br>=
 xxxxxxxx@libero.it <br><br> </BODY></HTML>

 ------=_NextPart_000_AFA7_0F92A445.54BC485A--

-
Etichette:

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)

Perche' investire su Unix

 Un libro trovato nel libero scambio alla Coop su cio' che poteva essere e non e' stato...interessante la storia su Unix del primo c...