Форум ''Интернет и Право''

Основной раздел => Спам, е-почта => Тема начата: dim47 от 28 Июня 2004, 17:00:19



Название: Что делать если...
Отправлено: dim47 от 28 Июня 2004, 17:00:19
... вдруг выяснилось что письма, проходящие через сервер "V" копируются на некий "левый" адрес ?

Поясню ситуацию:
- Отправил письмо с адреса "А" на адрес "Б";
  (майл-сервер "Б" находится на злополучном сервере "V")
- Позднее, получил письмо с адреса "Б", а вместе с ним и "отлуп" от сервера "V" - "ваше письмо не может быть доставлено по адресу "C"" (!!!)

Выглядит так, как будто кто-то настроил на одном из шлюзов сервера "V" копирование писем, приходящих на адрес "Б" на свой личный почтовый ящик "С". По "счастливой" случайности в один прекрасный момент эта процедура дала сбой...
"V" и "С" находятся в России.

Саппорт сервера "V" уже несколько дней хранит гробовое молчание.

Что делать ?


Название: Re:Что делать если...
Отправлено: Николай Николаевич Федотов от 28 Июня 2004, 19:08:01
Скорее всего, владелец адреса "Б" настроил пересылку всех получаемых писем на адрес "С".

Возможны и иные вполне легитимные варианты. Надо исследовать заголовки всех писем.


Название: Re:Что делать если...
Отправлено: Urix от 28 Июня 2004, 19:08:08
Цитировать
Что делать ?
Для начала показать заголовки обоих писем.


Название: Re:Что делать если...
Отправлено: dim47 от 28 Июня 2004, 19:21:26
Пожалуйста... Вот "отлуп"... В нем все видно.

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=
From:    MAILER-DAEMON@mx6.valuehost.ru <MAILER-DAEMON@mx6.valuehost.ru>
To:      juliasoft@не.спам.mail.ru <juliasoft@не.спам.mail.ru>
Date:    Thursday, June 24, 2004, 6:07:05 PM
Subject: failure notice
Files:   <none>
--====----====----====----====----====----====----====----====----====----===--
Hi. This is the qmail-send program at mx6.valuehost.ru.
I'm afraid I wasn't able to deliver your message to the following addresses.
This is a permanent error; I've given up. Sorry it didn't work out.

<info@northdesign.ru>:
62.118.251.205 failed after I sent the message.
Remote host said: 554 too many hops, this message is looping (#5.4.6)

--- Below this line is a copy of the message.

Return-Path: <juliasoft@не.спам.mail.ru>
Received: (qmail 69047 invoked by uid 89); 24 Jun 2004 18:06:21 +0400
Received: from unknown (HELO mx4.mail.ru) (194.67.57.14)
  by mx6.valuehost.ru with SMTP; 24 Jun 2004 18:06:20 +0400
Received: from f15.mail.ru (f15.mail.ru [194.67.57.45])
   by mx4.mail.ru (mPOP.Fallback_MX) with ESMTP id C2082115501
   for <admin@не.спам.juliasoft.com>; Thu, 24 Jun 2004 18:03:31 +0400 (MSD)
Received: from mail by f15.mail.ru with local
   id 1BdUp9-000Md3-00; Thu, 24 Jun 2004 18:03:31 +0400
Received: from [217.107.252.1] by msg.mail.ru with HTTP;
   Thu, 24 Jun 2004 18:03:31 +0400
From: Dmitry Koudryavtsev <juliasoft@не.спам.mail.ru>
To: juliasoft@mail.ru <juliasoft@не.спам.mail.ru>
Cc: admin@не.спам.juliasoft.com
Subject: ha-0624
Mime-Version: 1.0
X-Mailer: mPOP Web-Mail 2.19
X-Originating-IP: 217.107.253.159 via proxy [217.107.252.1]
Date: Thu, 24 Jun 2004 18:03:31 +0400
Reply-To: Dmitry Koudryavtsev <juliasoft@не.спам.mail.ru>
Content-Type: multipart/mixed;
   boundary="----7VaSnSJj-42gcXeSJDFTWn8o8:1088085811"
Message-Id: <E1BdUp9-000Md3-00.juliasoft-mail-ru@f15.mail.ru>


------7VaSnSJj-42gcXeSJDFTWn8o8:1088085811
Content-Type: text/plain; charset=koi8-r
Content-Transfer-Encoding: 8bit

[...]

------7VaSnSJj-42gcXeSJDFTWn8o8:1088085811
Content-Type: application/x-zip-compressed; name="20040624.ZIP"
Content-Disposition: attachment; filename="20040624.ZIP"
Content-Transfer-Encoding: base64

UEsDBAoAAAAAAOWJ2DAAAAAAAAAAAAAAAAAEAAAAQXBwL1BLAwQUAAIACACBgNYwttDGWLEBAACs
[...]
AAAAAQAgALaBvz8AAHJlYWRtZS50eHRQSwUGAAAAABsAGwBZBgAAVkYAAAAA

------7VaSnSJj-42gcXeSJDFTWn8o8:1088085811--

=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=



Название: Re:Что делать если...
Отправлено: Cool Fire от 28 Июня 2004, 23:33:16
Есть мнение, что это все глюки мыло.ру.
На всяк случай посмотри настроки редиректа, автоответа и пр.  своего ящика - может какой-то плохой мальчик втихаря их подкрутил...


Название: Re:Что делать если...
Отправлено: dim47 от 29 Июня 2004, 06:57:10
Маловероятно, но все-таки проверил. Чисто.
А вы RIPN-ите домены valuehost и "левый"...  весьма интересно...


Название: Re:Что делать если...
Отправлено: Urix от 29 Июня 2004, 08:59:53
Цитировать
А вы RIPN-ите домены valuehost и "левый"...  весьма интересно...
То, что valuehost постоянно "глючат" никого уже давно не удивляет. У них там может быть все что угодно. Это же valuehost. Понимать надо, с кем связались.


Название: Re:Что делать если...
Отправлено: Николай Николаевич Федотов от 29 Июня 2004, 09:53:20
Представляются наиболее вероятными две версии.

1 Владелец ящика admin@juliasoft.com настроил перенаправление (дублирование) полученных сообщений на info@northdesign.ru.

2 Это глюк сервера mx6.valuehost.ru

"Шпионская" версия также не может быть отброшена. Но проверить её довольно сложно.



Название: Re:Что делать если...
Отправлено: Urix от 29 Июня 2004, 11:19:36
Цитировать
1 Владелец ящика admin@juliasoft.com настроил перенаправление (дублирование) полученных сообщений на info@northdesign.ru.
Николай Николаевич! Я думаю, что владелец этого почтового ящика не имеет доступа на изменение файла /etc/aliases.


Название: Re:Что делать если...
Отправлено: dim47 от 30 Июня 2004, 07:09:02
Николаю Николаевичу:
1. Я владелец домена juliasoft.com и дублирование на чужой адрес не создавал.
2. Черезвычайно подозрительный :) глюк

Ну да ладно.
Понял что на ситуацию повлиять невозможно.
Спасибо за консультацию.
Если можно, либо удалите этот тред, либо поправьте e-mail адреса, чтобы спамерам не досталсь :)
Еще раз спасибо...


Название: Re:Что делать если...
Отправлено: Urix от 30 Июня 2004, 08:33:48
Вы можете и сами поправить адреса. Достаточно отредактировать свое сообщение.

Повлиять можно. Но сначала надо поймать "кота за хвост". Надо найти то место, откуда все проистекает. Для этого надо изучить заголовки обоих писем: доставленного верно и с "отлупом". Поля Received указывают на маршрут следования письма в обратном порядке. Последний одинаковый узел в обоих письмах в направлении к началу письма от начального узла
Received: from [***.***.***.*] by msg.mail.ru with HTTP;
   Thu, 24 Jun 2004 18:03:31 +0400

и будет указывать на тот узел, где произошло копирование сообщения. Поэтому я Вас и просил показать заголовки обоих писем. Зная узел на котором это все произошло можно будет уже предъявлять конкретные претензии к владельцу этого транзитного узла. Вплоть до уголовного преследования. Основания могут быть самые разные: от вмешательства в личную жизнь до получения несанкционированного доступа к охраняемой Законом информации. При большом желании за такие "фичи" можно даже лишить лицензии. Эти письма будут служить доказательством совершенного деяния, поэтому их нельзя уничтожать. И надо спешить. Время здесь работает против Вас. Логи могут удалить. Надо успеть процессуально закрепить доказательства.

P.S. Это больше похоже на то, что кого-то "ломанули". Тогда это точно работа для правоохранителей из отдела "К". А то они все больше по Горбушкам таскаются. "Бабло сшибают". Налицо законченный состав. Причем, чисто "хацкерский". Ловить надо злодея. Бьют всегда не за "украл", а за "попался"...


Название: Re:Что делать если...
Отправлено: dim47 от 01 Июля 2004, 08:39:35
===8<==============Original message text===============
Return-path: <juliasoft@не.спам.mail.ru>
Received: from mail by f15.mail.ru with local
        id 1BdUp9-000Md3-00; Thu, 24 Jun 2004 18:03:31 +0400
Received: from [217.107.252.1] by msg.mail.ru with HTTP;
        Thu, 24 Jun 2004 18:03:31 +0400
From: Dmitry Koudryavtsev <juliasoft@не.спам.mail.ru>
To: juliasoft@не.спам.mail.ru <juliasoft@не.спам.mail.ru>
Cc: admin@не.спам.juliasoft.com
Subject: ha-0624
Mime-Version: 1.0
X-Mailer: mPOP Web-Mail 2.19
X-Originating-IP: 217.107.253.159 via proxy [217.107.252.1]
Date: Thu, 24 Jun 2004 18:03:31 +0400
Reply-To: Dmitry Koudryavtsev <juliasoft@не.спам.mail.ru>
Content-Type: multipart/mixed;
        boundary="----7VaSnSJj-42gcXeSJDFTWn8o8:1088085811"
Message-Id: <E1BdUp9-000Md3-00.juliasoft-mail-ru@f15.mail.ru>

[...]
===8<===========End of original message text===========

Это оригинал полученного через mail.ru.
(то что через juliasoft.com/valuehost - позднее)


Название: Re:Что делать если...
Отправлено: Urix от 01 Июля 2004, 09:46:50
Скорее всего, это "взломали" самих mail.ru. Только первая запись Received совпадает. Кто-то в настройках их почтового сервера указал копирование Вашей почты именно на этот адрес. Это возможно сделать получив права суперпользователя. Либо это сделали их администарторы, либо их сервер кто-то "взломал". Здесь надо обращаться в органы, в милиции есть отдел "К". Это их прерогатива. Здесь законченный состав преступления. Только квалификация может быть разная в зависимости от того, кто эти действия совершал. Милиция должна будет изъять соответствующие логи со всех указанных в заголовках транзитных узлов и приобщить их в качестве доказательства. С этим надо спешить.

Не знаю, насколько я буду прав. Я не юрист, а технический специалист, разбирающийся в вопросах компьютерных преступлений с точки зрения уголовного права. "Гражданские" юристы, если что не так, меня поправят. Тут есть "шара" наказать mail.ru в виде компенсации морального вреда. Вы будете их "морщить" в рамках гражданского процесса, а уж они сами пусть бегут в милицию. Мотивация: Вы доверились mail.ru в том, что Ваша корреспонденция не будет доступна третьим лицам, как это установлено Конституцией России и ФЗ "О связи". Они же со своей стороны не выполнили своих обязательств перед Законом по защите Вашей личной корреспонденции от доступа к ней третьих лиц. КГБ с СОРМ-ом не в счет, не стоит теленку бодаться с дубом. В результате, Вы понесли значительный моральный ущерб в следствии вмешательства в Вашу личную жизнь из-за того, что Ваша личная переписка стала достоянием третьих лиц и сведения, которые Вы не хотели обнародовать, не только могут, но уже стали обнародованными. Дополнительно Вы просиет суд приостановить действие лицензии mail.ru до тех пор, пока они не докажут лицензирующему органу в области электросвязи своей способности исполнять обязательства, возлагаемые на них Законом.

Мало того, если в Вашей почте содержались конфиденциальные сведения коммерческого характера, то тем самым Вашему бизнесу нанесен ущерб за распространение сведений, составляющих Вашу коммерческую тайну. Например, это могли быть переговры о сделке, которая в конце концов не состоялась. Возможная причина: перехват Вашей корреспонденции и вмешательство в переговорный процесс третьих лиц. В этом случае можно вменить сумму не превышающую сумму сделки. Упущенную выгоду.

P.S. Но берегитесь, если это Вы сами сфабриковали такие письма. По логам это будет легко установить.
P.P.S. И, если пойдете куда-то и будете что-то делать, то отредактируйте здесь свои сообщения, убрав из них все адреса. Забейте буквы и цифры в адресах звездочками, как это сделал я. На всякий случай.


Название: Re:Что делать если...
Отправлено: dim47 от 02 Июля 2004, 08:52:13
А это второе, прошедшее через valuehost:

Return-Path: <juliasoft@не.спам.mail.ru>
Delivered-To: admin@не.спам.juliasoft.com
Received: (qmail 69047 invoked by uid 89); 24 Jun 2004 18:06:21 +0400
Received: from unknown (HELO mx4.mail.ru) (194.67.57.14)
  by mx6.valuehost.ru with SMTP; 24 Jun 2004 18:06:20 +0400
Received: from f15.mail.ru (f15.mail.ru [194.67.57.45])
        by mx4.mail.ru (mPOP.Fallback_MX) with ESMTP id C2082115501
        for <admin@не.спам.juliasoft.com>; Thu, 24 Jun 2004 18:03:31 +0400 (MSD)
Received: from mail by f15.mail.ru with local
        id 1BdUp9-000Md3-00; Thu, 24 Jun 2004 18:03:31 +0400
Received: from [217.107.252.1] by msg.mail.ru with HTTP;
        Thu, 24 Jun 2004 18:03:31 +0400
From: Dmitry Koudryavtsev <juliasoft@не.спам.mail.ru>
To: juliasoft@mail.ru <juliasoft@не.спам.mail.ru>
Cc: admin@не.спам.juliasoft.com
Subject: ha-0624
Mime-Version: 1.0
X-Mailer: mPOP Web-Mail 2.19
X-Originating-IP: 217.107.253.159 via proxy [217.107.252.1]
Date: Thu, 24 Jun 2004 18:03:31 +0400
Reply-To: Dmitry Koudryavtsev <juliasoft@не.спам.mail.ru>
Content-Type: multipart/mixed;
        boundary="----7VaSnSJj-42gcXeSJDFTWn8o8:1088085811"
Message-Id: <E1BdUp9-000Md3-00.juliasoft-mail-ru@f15.mail.ru>


Название: Re:Что делать если...
Отправлено: Urix от 03 Июля 2004, 08:51:21
Копирование почты произошло на узле f15.mail.ru