Спам от SoftServ

А вот и СофтСерв зашкварился. С какого-то перепуга прислали спам со своими вакансиями под видом дайджеста, на который я никогда не подписывался.
Нет, я понимаю HR, у них работа сложная, но разве это — метод? Вы всерьез расчитываете, что, после получения такого спама, рейтинг СофтСерва у потенциальных кандидатов вырастет?

Received: by 10.28.218.204 with SMTP id r195csp1880046wmg;
        Mon, 12 Sep 2016 05:29:00 -0700 (PDT)
X-Received: by 10.55.145.197 with SMTP id t188mr6244417qkd.233.1473683340753;
        Mon, 12 Sep 2016 05:29:00 -0700 (PDT)
Return-Path: <bounces+749837.339440286.365741@icpbounce.com>
Received: from drone171.ral.icpbounce.com (drone171.ral.icpbounce.com. [207.254.213.228])
        by mx.google.com with ESMTPS id m24si8091028qta.39.2016.09.12.05.28.59
        for <...@gmail.com>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 12 Sep 2016 05:29:00 -0700 (PDT)
Received-SPF: pass (google.com: domain of bounces+749837.339440286.365741@icpbounce.com designates 207.254.213.228 as permitted sender) client-ip=207.254.213.228;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@icontactmail3.com;
       spf=pass (google.com: domain of bounces+749837.339440286.365741@icpbounce.com designates 207.254.213.228 as permitted sender) smtp.mailfrom=bounces+749837.339440286.365741@icpbounce.com
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=icontactmail3.com;
 h=Mime-Version:From:To:Date:Reply-To:Subject:List-Unsubscribe:Feedback-ID:Content-Type:Message-ID;
 bh=8YshPvCmG1H35OOKkGDEvetH796rJ3EmeELbvdD9pNE=;
 b=S/Nm+VKnKbcmHFiJArhMBBbXvyffwOduGHqJdMMD3ebFqBd9uwEEQtFsx/tBH4cOD0OEyibFBQ1H
   Q7EgAe6VbKs00cgp3ynftUsEq0T4DN7I0ZY/q9qkVENGxQrq0uAN6pvYsXk/qdgdwiLE1bWFa9xt
   flwPiJLdfpYFMrK5x9s=
Mime-Version: 1.0
From: "SoftServe" <hr@softserveinc.com>
To: <...@gmail.com>
Date: Mon, 12 Sep 2016 08:28:52 -0400
Reply-To: hr@softserveinc.com
Subject: SoftServe Pulse N88
Errors-To: bounces+749837.339440286.365741@icpbounce.com
List-Unsubscribe: <https://app.icontact.com/icp/listunsubscribe.php?r=339440286&l=7746&s=YTYS&m=365741&c=749837>, <mailto:bounces+749837.339440286.365741@icpbounce.com>
X-List-Unsubscribe: <https://app.icontact.com/icp/listunsubscribe.php?r=339440286&l=7746&s=YTYS&m=365741&c=749837>
X-Unsubscribe-Web: <https://app.icontact.com/icp/listunsubscribe.php?r=339440286&l=7746&s=YTYS&m=365741&c=749837>
Feedback-ID: 749837_7746_365741:749837_7746:749837:icontact
X-ICPINFO: 
X-Return-Path-Hint: bounces+749837.339440286.365741@icpbounce.com
Content-Type: multipart/alternative; boundary="cdf82e78-582d-4a55-9037-dacf81ae37d3"
Message-ID: <0.1.5E.B42.1D20CF138F91032.0@drone171.ral.icpbounce.com>


--cdf82e78-582d-4a55-9037-dacf81ae37d3
Content-Type: text/plain; charset = "utf-8"
Content-Transfer-Encoding: quoted-printable

[1]SoftServe Pulse #88 - =D0=A1=D0=B5=D1=80=D0=BF=D0=B5=D0=BD=D1=8C 2016

«Тримайте руку на пульсі!
SoftServe Pulse — дайджест компанії SoftServe, який щомісяця інформує Вас про найважливіші новини та події нашої компанії. Тут можна також дізнатись про гарячі вакансії, можливості навчання та кар’єрного росту у SoftServe...»
и прочая бла-бла-бла.

Как обычно, копия уехала в spamcop.net. Ждите привет и повышение расценок от вашего оператора рассылок! :)

👍НравитсяПонравилось0
В избранноеВ избранном0
LinkedIn
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Допустимые теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

внутрянка.
нафиг она вам — не понятно.
даже не уверен, шо вы сможете по ссылкам переходить, находясь вне корпоративной сети.
ошибка какая-то, хз.

зашкварился
С какого-то перепуга
но разве это — метод?
Вы всерьез расчитываете
обоже, скорее ведро воды, тут у месье пригорает!
внутрянка.
нафиг она вам — не понятно.
даже не уверен, шо вы сможете по ссылкам переходить, находясь вне корпоративной сети.
В смысле, внутренняя корпоративная рассылка софтсерва утекла в паблик?

Это зашквар похлеще, чем почта НАЗК, ходящая через мирандовский почтовый сервер.

внутренняя корпоративная рассылка софтсерва
дайджест внутренней социалки-портала новостей. очень-очень секретная информация.
Это зашквар
охоспади

Скандали!! Ітнрігі!! Утєчкі!!!
Не думаю, що внутрянка. Отримував таке регулярно, поки не момітив кнопки «відписатись» :)

www.dropbox.com/...6-09-15 16.54.52.png?dl=0

P.S.: Ніколи не мав до СофтСерва жодного відношення, за вийнятком єдиного відвідування it weekend

P.S.: Ніколи не мав до СофтСерва жодного відношення, за вийнятком єдиного відвідування it weekend
мда. действительно, такое не выглядит как ошибка, а именно — намеренность :-/
меня бы лично такое напрягло.
поддерживаю.

Для интереса посмотрел страницу регистрации:
itweekend.ua/...ly/register/en/itw-dn-16o
( картинкой: i.imgur.com/bGWdNH2.png )

Там внизу написано такое:

By clicking “Submit” button, I am giving LLC SoftServe the permission to use my personal data (name, surname, place of work, position, contact telephone and e-mail) with the aim of including me into the list of speakers for professional events (conferences, round tables etc.), into the reserve list of LLC SoftServe and for getting notifications with company news, hot vacancies and promotional events.

Я на їхній дайджест підписаний, то ж перевірив свого листа. Плагін перевірки DKIM для Thunderbird каже, що це мило підписано icontactmail3.com, проте відправителем значиться hr@softserveinc.com . Тобто, це не підробка, це реальний дайджест, але SoftServe накосячив із заголовками, тому антиспами і без спам-репортів будуть косо озиратися на такий дайджест.

Кнопарь «відписатися» є, тому проблеми нема. Хоча це не виправдовує розсилку на непідписані адреси.

IMHO тема не варта топіка на DOU.

Хоча я не є сісадміном, але сробую проаналізувати надану інфу, цікаво глянути чи мав хтось право відправляти пошту із 207.254.213.228 від імені softserveinc.com

$ dig any softserveinc.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> any softserveinc.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23088
;; flags: qr rd ra; QUERY: 1, ANSWER: 11, AUTHORITY: 0, ADDITIONAL: 7

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;softserveinc.com.		IN	ANY

;; ANSWER SECTION:
softserveinc.com.	2937	IN	A	13.65.97.243
softserveinc.com.	2937	IN	TXT	"MS=ms57175556"
softserveinc.com.	2937	IN	TXT	"v=spf1 ip4:195.160.232.16/28 ip4:52.33.140.131 ip4:195.160.232.84 ip4:195.160.232.114 a mx"
softserveinc.com.	2937	IN	SOA	ns.softserveinc.com. root.softserveinc.com. 2016091313 21600 7200 1814400 3600
softserveinc.com.	2937	IN	NS	ns3.softserveinc.com.
softserveinc.com.	2937	IN	NS	ns.softserveinc.com.
softserveinc.com.	2937	IN	NS	ns2.softserveinc.com.
softserveinc.com.	2832	IN	MX	20 mail.softserveinc.com.
softserveinc.com.	2832	IN	MX	15 mail4.softservecom.com.
softserveinc.com.	2832	IN	MX	30 mail3.softserveinc.com.
softserveinc.com.	2832	IN	MX	10 mail2.softserveinc.com.

;; ADDITIONAL SECTION:
ns.softserveinc.com.	1025	IN	A	195.160.232.20
ns2.softserveinc.com.	1025	IN	A	52.33.140.131
ns3.softserveinc.com.	1025	IN	A	12.197.51.10
mail2.softserveinc.com.	1859	IN	A	195.160.232.35
mail.softserveinc.com.	1869	IN	A	195.160.232.17
mail3.softserveinc.com.	1878	IN	A	52.33.140.131

;; Query time: 62 msec
;; SERVER: 192.168.4.45#53(192.168.4.45)
;; WHEN: Tue Sep 13 22:35:47 EEST 2016
;; MSG SIZE  rcvd: 480

Хм, покищо ІР-адреси відправника ніде не значиться, хоча ще треба перевірити яка вона у mail4.softserveinc.com

$ host mail4.softserveinc.com
mail4.softserveinc.com has address 195.160.232.19

Ні, і ця ІР-адреса також відмінна від 207.254.213.228.

Куди ж копати? По-перше, у spf-підписі відсутній параметр -all, який би забороняв відсилати пошту усім, окрім перелічених серверів. По-друге, може проблема ще й в наступному?

$ host -t mx mail.softserveinc.com
mail.softserveinc.com has no MX record

$ host -t mx mail2.softserveinc.com
mail2.softserveinc.com has no MX record

$ host -t mx mail3.softserveinc.com
mail3.softserveinc.com has no MX record

$ host -t mx mail4.softserveinc.com
mail4.softserveinc.com has no MX record

Як бачимо, ніде не фігурує ІР-адреса 207.254.213.228 як довірительна, з якої можна відправляти пошту від імені softserveinc.com, але здається присутні помилки в доменних записах, які дозволяють мухлювати від їх імені.

Ваше розслідування до доводить жодного криміналу з SPF

Як бачимо, ніде не фігурує ІР-адреса 207.254.213.228 як довірительна, з якої можна відправляти пошту від імені softserveinc.com, але здається присутні помилки в доменних записах, які дозволяють мухлювати від їх імені.

зверніть увагу на оригінальні хедери:

Return-Path: <bounces+749837.339440286.365741@icpbounce.com>
Received-SPF: pass (google.com: domain of bounces+749837.339440286.365741@icpbounce.com designates 207.254.213.228 as permitted sender) client-ip=207.254.213.228;
Authentication-Results: mx.google.com;
dkim=pass header.i=@icontactmail3.com;
spf=pass (google.com: domain of bounces+749837.339440286.365741@icpbounce.com designates 207.254.213.228 as permitted sender) smtp.mailfrom=bounces+749837.339440286.365741@icpbounce.com

Ніколи не бачили хедери листа, відправленого через Amazon SES чи інших «розсильщиків», і як це інтерпретує наприклад GMail? www.dropbox.com/...6-09-15 15.29.06.jpg?dl=0

Хоча це не виправдовує СофтСерс перед ТС

Подписаться на комментарии