# Форум на русском языке  > Решения по информационной безопасности  > Антиспам  >  Куда посылать жалобу на спам

## Geser

Вы получили письмо с рекламой, которое не запрашивали. Вы не имеете представления как эта информация попала к Вам. Вы не хотите ее получать и не хотите платить деньги за скачивание подобного мусора. Что делать ? Отправьте жалобу провайдеру спамера, который засоряет Ваш почтовый ящик! 

Как же определить источник спама и куда обращаться ? Рассмотрим полные технические заголовки письма спамера, которые мы взяли ТОЛЬКО для примера. Вот они : 


Return-Path: [email protected]
Received: (from [email protected])
          by mp.aha.ru (8.9.2/8.9.3) id NAA17717
          for ; Mon, 8 Mar 1999 13:07:37 +0300 (MSK)
From: [email protected]
Received: from pb(192.168.9.253) by mp via smap (V1.3)
      id sma017715; Mon Mar  8 13:07:27 1999
Received: from ns1.aha.ru (ns1.aha.ru [195.2.80.142])
       by pb.hq.zenon.net (8.9.3/8.9.3) with ESMTP id NAA10167
       for ; Mon, 8 Mar 1999 13:07:27 +0300 (MSK)
Received: from sunny.aha.ru (sunny.aha.ru [195.2.83.112])
       by ns1.aha.ru (8.9.3/8.9.3/aha-r/0.04B) with ESMTP id NAA01309
       for ; Mon, 8 Mar 1999 13:07:26 +0300 (MSK)
Received: by sunny.aha.ru id NAA05601;
  (8.8.8/vak/1.9) Mon, 8 Mar 1999 13:06:46 +0300 (MSK)
Received: from relay1.aha.ru(195.2.83.105) by sunny.aha.ru via smap (V1.3)
       id sma005562; Mon Mar  8 13:06:34 1999
Received: from news2.aha.ru (news2.aha.ru [195.2.83.101])
       by relay1.aha.ru (8.9.3/8.9.3/aha-r/0.04B) with ESMTP id NAA14968
       for ; Mon, 8 Mar 1999 13:06:35 +0300 (MSK)
Received: from relay1.aha.ru by news2.aha.ru with ESMTP id NAA17732;
  (8.8.8/vak/1.8e) Mon, 8 Mar 1999 13:06:34 +0300 (MSK)
Received: from mta-x1.yahoomail.com (das-1-51.sitek.net [195.212.189.51])
       by relay1.aha.ru (8.9.3/8.9.3/aha-r/0.04B) with SMTP id NAA14946;
       Mon, 8 Mar 1999 13:06:29 +0300 (MSK)
Message-Id: <[email protected]>
Date: оМ, 8 мар 1999 09:27:48
Subject: Добрый день.
X-UIDL: 658db0f690690ee0476aa868e3bc252a
Status: O

Обратите внимание на последнее поле Received в этом заголовке. Оно выделено "жирным" шрифтом. Оно, это последнее сверху Received, и несет информацию о том, с какого IP адреса спам попал в Сеть. В данном случае это адрес 195.212.189.51. Далее нужно установить кому принадлежит данный IP адрес. Заходим эту страницу, вводим в поле поиска полученный ip адрес и смотрим результат (тут он приведен в сокращенном виде): 


inetnum:   195.212.0.0 - 195.212.255.255
netname:   EU-IBM-960711
descr:     IBM Global Network Europe
descr:     OPENNET IP networ
descr:     Provider Local Registry
country:   EU
admin-c:   NI9-RIPE
tech-c:    ENI1-RIPE
status:    ALLOCATED PA
mnt-by:    RIPE-NCC-HM-MNT
descr:     IBM EMEA Customer LAN
descr:     For routing issues, email [email protected]
descr:     For addressing issues, email [email protected]
descr:     For abuse issues, email [email protected]

Обратите внимание на последнюю строчку - в ней явно указан адрес службы, разбирающей жалобы на спам. 

Выводы: 


1. Диапазон адресов принадлежит IBM.com. 

2. Можно, конечно, отправить жалобу на [email protected] (spam report), но, поскольку, этот диапазон IP адресов предназначен для дальнейшего выделения другим субпровайдерам, давайте посмотрим, куда нас выведет команда tracert (windows): 

c:\tracert 195.212.189.51
traceroute to 195.212.189.51    (195.212.189.51), 30 hops max, 40 byte packets
 1  m9-3-fa1-1-0-110.zenon.Net    (195.2.83.2)
 2  m9-2-fa6-0-90.zenon.Net    (195.2.70.10)
 3  m3-bvi-1.msk-m9.rostelecom.net (195.161.2.133)
 4  MSK-M9-1.Rostelecom.Net    (195.161.0.2)
 5  gin-nyy-ac1.Teleglobe.net    (207.45.199.157)
 6  gin-nyy-bb4.Teleglobe.net    (207.45.223.17)
 7  gin-spn-bb1.Teleglobe.net    (207.45.223.6)
 8  sprint-nap.ibm.net       (192.157.69.20)
 9  nyor1sr1-5-0.ny.us.ibm.net    (198.133.27.6)
10  port1br1-5-0-1.pt.uk.ibm.net (165.87.220.33)
11  ehni1br2-4-0-1.eh.de.ibm.net (165.87.221.17)
12  mosc1br1.mos.ru.ibm.net    (152.158.24.1)
13  152.158.24.72   (152.158.24.72)
14  10.0.0.2    (10.0.0.2)
15  62.200.32.36 (62.200.32.36)
16  gw.sitek.net (195.212.225.1) 
...

Как видно из данного фрагмента, провайдером спамера является владелец домена sitek.net.

Теперь надо определиться, на какой конкретно адрес нужно отсылать наши претензии. Действующие internet-стандарты определяет несколько имен, которые могут присутствовать на почтовом internet-сервере:


Согласно RFC822 6.3, C.6 адрес [email protected] должен присутствовать на всех почтовых серверах; 
Интересующий нас адрес [email protected] заявлен в более позднем стандарте rfc2142 и, к сожалению, некоторыми провайдерами игнорируется.; 
Документ RFC3013 определяет порядок взаимодействия с провайдерами в части наличия определенных адресов электронной почты. 
Что рекомендуется делать: 

Отправить жалобу на [email protected] со своим комментарием и обязательно приложить спаммерское письмо. Если приходит ответ, что адреса такого нет, то отправить жалобу на адрес [email protected] Если и здесь ответа нет, остается написать своему собственному провайдеру (с примерами заголовков писем), и попросить специалистов его технических служб принять меры. 

Итак, разобрав наш пример, отправляем нашу жалобу на : 

[email protected] 
[email protected] 
Примерный текст жалобы :


===
Здравствуйте. 

Нами был получен спам, части которого приводятся ниже.

Возможно, он был отправлен с Вашего сервера, в нем используются адреса Вашей компании или спамер воспользовался услугами Вашей компании для доступа в интернет. Пожалуйста, окажите воздействие на этого человека любым доступным Вам способом. Заранее благодарны Вам за уделенное внимание и за время, которое Вы потратите на решение этой проблемы. Если адрес спамера вымышленный и он не имеет к Вам никакого отношения, примите наши извинения; во всяком случае спам выглядит так, будто он действительно был отправлен с Вашего сервера.
===


English version :


===


Hello,

Below is a SPAM received by our system. It originated from your site, used an address referencing your site, used your company for connectivity, or in some way involved you. Please deal with this person according to any AUP&#039;s you have. Thanks for your time and attention to this problem. If the spammer&#039;s return address is a forgery and your domain was used, please consider this just an advisory message. If a user&#039;s forwarded mail caused you to receive this message, please accept our apologies; you look like a relay from here. We&#039;ll fix it if you let us know. 
===


Отправляйте жалобу и ждите реакции. Иногда бывает, что некоторые, особенно крупные, провайдеры не отвечают на письма с жалобами. Их можно понять - меры они приняли, дело сделано, но ответ каждому пожаловавшемуся написать просто некогда. Будьте вежливы. Никогда, даже если спамер Вас сильно обидел, не нужно с своих жалобах и последующем общении с техническим персоналом провайдера спамера опускаться до хамства. Ваш доброжелательный тон ускорит решение проблемы. 

http://www.antispam.ru/4user/examples_header.shtml

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## kb

Честно говоря, не совсем правильно. Лучше передать это письмо службе поддержки своего провайдера. Во-первых, они уж обязаны отреагировать. А во-вторых, все эти Received могут быть подделкой. Кроме пары последних. Лучше пусть специалисты посмотрят.

----------


## pig

Почти весь спам, который просачивается на мой корпоративный сервер, имеет один-единственный Received: - мой собственный. Исключение - спам, который шлют на мой Mail.ru-ящик с пересылкой. То есть, почти никто сейчас эти заголовки не подделывает. Незачем, поскольку шлют через армию зомби.

----------


## kb

> Почти весь спам, который просачивается на мой корпоративный сервер, имеет один-единственный Received: - мой собственный. Исключение - спам, который шлют на мой Mail.ru-ящик с пересылкой. То есть, почти никто сейчас эти заголовки не подделывает. Незачем, поскольку шлют через армию зомби.


Ну, ты меня не опровергнул... Если сейчас нету, не значит что потом не будет. Дыра в протоколе остается. А письма без Received перед твоим сервером нужно бы блокировать, если они не из локалки идут. Кроме того, блокировать если IP не ресолвится в обратную зону, или если ресолвится, но это - диал-ап, и тому подобное. Тут еще непочатый край для улучшений.

----------

