Вхід і реєстрація
Про роботу · 12 вересня 2016, 22:44 1968
Oleksandr Suvorov, https://spgr.org.ua/uk/ в Foundries.IO

Спам от SoftServ

А вот и СофтСерв зашкварился. С какого-то перепуга прислали спам со своими вакансиями под видом дайджеста, на который я никогда не подписывался.
Нет, я понимаю HR, у них работа сложная, но разве это — метод? Вы всерьез расчитываете, что, после получения такого спама, рейтинг СофтСерва у потенциальных кандидатов вырастет?

Received: by 10.28.218.204 with SMTP id r195csp1880046wmg;
        Mon, 12 Sep 2016 05:29:00 -0700 (PDT)
X-Received: by 10.55.145.197 with SMTP id t188mr6244417qkd.233.1473683340753;
        Mon, 12 Sep 2016 05:29:00 -0700 (PDT)
Return-Path: <[email protected]>
Received: from drone171.ral.icpbounce.com (drone171.ral.icpbounce.com. [207.254.213.228])
        by mx.google.com with ESMTPS id m24si8091028qta.39.2016.09.12.05.28.59
        for <[email protected]>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Mon, 12 Sep 2016 05:29:00 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 207.254.213.228 as permitted sender) client-ip=207.254.213.228;
Authentication-Results: mx.google.com;
       dkim=pass [email protected];
       spf=pass (google.com: domain of [email protected] designates 207.254.213.228 as permitted sender) [email protected]
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; s=default; d=icontactmail3.com;
 h=Mime-Version:From:To:Date:Reply-To:Subject:List-Unsubscribe:Feedback-ID:Content-Type:Message-ID;
 bh=8YshPvCmG1H35OOKkGDEvetH796rJ3EmeELbvdD9pNE=;
 b=S/Nm+VKnKbcmHFiJArhMBBbXvyffwOduGHqJdMMD3ebFqBd9uwEEQtFsx/tBH4cOD0OEyibFBQ1H
   Q7EgAe6VbKs00cgp3ynftUsEq0T4DN7I0ZY/q9qkVENGxQrq0uAN6pvYsXk/qdgdwiLE1bWFa9xt
   flwPiJLdfpYFMrK5x9s=
Mime-Version: 1.0
From: "SoftServe" <[email protected]>
To: <[email protected]>
Date: Mon, 12 Sep 2016 08:28:52 -0400
Reply-To: [email protected]
Subject: SoftServe Pulse N88
Errors-To: [email protected]
List-Unsubscribe: <https://app.icontact.com/icp/listunsubscribe.php?r=339440286&l=7746&s=YTYS&m=365741&c=749837>, <mailto:[email protected]>
X-List-Unsubscribe: <https://app.icontact.com/icp/listunsubscribe.php?r=339440286&l=7746&s=YTYS&m=365741&c=749837>
X-Unsubscribe-Web: <https://app.icontact.com/icp/listunsubscribe.php?r=339440286&l=7746&s=YTYS&m=365741&c=749837>
Feedback-ID: 749837_7746_365741:749837_7746:749837:icontact
X-ICPINFO: 
X-Return-Path-Hint: [email protected]
Content-Type: multipart/alternative; boundary="cdf82e78-582d-4a55-9037-dacf81ae37d3"
Message-ID: <[email protected]>


--cdf82e78-582d-4a55-9037-dacf81ae37d3
Content-Type: text/plain; charset = "utf-8"
Content-Transfer-Encoding: quoted-printable

[1]SoftServe Pulse #88 - =D0=A1=D0=B5=D1=80=D0=BF=D0=B5=D0=BD=D1=8C 2016

«Тримайте руку на пульсі!
SoftServe Pulse — дайджест компанії SoftServe, який щомісяця інформує Вас про найважливіші новини та події нашої компанії. Тут можна також дізнатись про гарячі вакансії, можливості навчання та кар’єрного росту у SoftServe...»
и прочая бла-бла-бла.

Как обычно, копия уехала в spamcop.net. Ждите привет и повышение расценок от вашего оператора рассылок! :)

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Євген Козлов Front-end developer в SoftServe 14.09.2016 01:24

внутрянка.
нафиг она вам — не понятно.
даже не уверен, шо вы сможете по ссылкам переходить, находясь вне корпоративной сети.
ошибка какая-то, хз.

зашкварился
С какого-то перепуга
но разве это — метод?
Вы всерьез расчитываете
обоже, скорее ведро воды, тут у месье пригорает!
Відповісти
Підтримати
Artyom Krivokrisenko 14.09.2016 04:12
внутрянка.
нафиг она вам — не понятно.
даже не уверен, шо вы сможете по ссылкам переходить, находясь вне корпоративной сети.
В смысле, внутренняя корпоративная рассылка софтсерва утекла в паблик?

Это зашквар похлеще, чем почта НАЗК, ходящая через мирандовский почтовый сервер.

Відповісти
Підтримати
Євген Козлов
Євген Козлов Front-end developer в SoftServe 15.09.2016 15:55
внутренняя корпоративная рассылка софтсерва
дайджест внутренней социалки-портала новостей. очень-очень секретная информация.
Это зашквар
охоспади
Відповісти
Підтримати
Artyom Krivokrisenko
Andriy Kupchanko 15.09.2016 16:56

Скандали!! Ітнрігі!! Утєчкі!!!
Не думаю, що внутрянка. Отримував таке регулярно, поки не момітив кнопки «відписатись» :)

www.dropbox.com/...6-09-15 16.54.52.png?dl=0

P.S.: Ніколи не мав до СофтСерва жодного відношення, за вийнятком єдиного відвідування it weekend

Відповісти
Підтримати
Євген Козлов
Євген Козлов Front-end developer в SoftServe 15.09.2016 17:31
P.S.: Ніколи не мав до СофтСерва жодного відношення, за вийнятком єдиного відвідування it weekend
мда. действительно, такое не выглядит как ошибка, а именно — намеренность :-/
меня бы лично такое напрягло.
поддерживаю.
Відповісти
Підтримати
Andriy Kupchanko
Sergii Voloshyn Product Manager в DOU.ua 15.09.2016 17:36

Для интереса посмотрел страницу регистрации:
itweekend.ua/...ly/register/en/itw-dn-16o
( картинкой: i.imgur.com/bGWdNH2.png )

Там внизу написано такое:

By clicking “Submit” button, I am giving LLC SoftServe the permission to use my personal data (name, surname, place of work, position, contact telephone and e-mail) with the aim of including me into the list of speakers for professional events (conferences, round tables etc.), into the reserve list of LLC SoftServe and for getting notifications with company news, hot vacancies and promotional events.
Відповісти
Підтримати
Євген Козлов
Олексій Пєніє 14.09.2016 00:12

Я на їхній дайджест підписаний, то ж перевірив свого листа. Плагін перевірки DKIM для Thunderbird каже, що це мило підписано icontactmail3.com, проте відправителем значиться [email protected] . Тобто, це не підробка, це реальний дайджест, але SoftServe накосячив із заголовками, тому антиспами і без спам-репортів будуть косо озиратися на такий дайджест.

Кнопарь «відписатися» є, тому проблеми нема. Хоча це не виправдовує розсилку на непідписані адреси.

IMHO тема не варта топіка на DOU.

Відповісти
Підтримати
Костя Третяк 13.09.2016 22:50

Хоча я не є сісадміном, але сробую проаналізувати надану інфу, цікаво глянути чи мав хтось право відправляти пошту із 207.254.213.228 від імені softserveinc.com

$ dig any softserveinc.com

; <<>> DiG 9.10.3-P4-Ubuntu <<>> any softserveinc.com
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 23088
;; flags: qr rd ra; QUERY: 1, ANSWER: 11, AUTHORITY: 0, ADDITIONAL: 7

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;softserveinc.com.		IN	ANY

;; ANSWER SECTION:
softserveinc.com.	2937	IN	A	13.65.97.243
softserveinc.com.	2937	IN	TXT	"MS=ms57175556"
softserveinc.com.	2937	IN	TXT	"v=spf1 ip4:195.160.232.16/28 ip4:52.33.140.131 ip4:195.160.232.84 ip4:195.160.232.114 a mx"
softserveinc.com.	2937	IN	SOA	ns.softserveinc.com. root.softserveinc.com. 2016091313 21600 7200 1814400 3600
softserveinc.com.	2937	IN	NS	ns3.softserveinc.com.
softserveinc.com.	2937	IN	NS	ns.softserveinc.com.
softserveinc.com.	2937	IN	NS	ns2.softserveinc.com.
softserveinc.com.	2832	IN	MX	20 mail.softserveinc.com.
softserveinc.com.	2832	IN	MX	15 mail4.softservecom.com.
softserveinc.com.	2832	IN	MX	30 mail3.softserveinc.com.
softserveinc.com.	2832	IN	MX	10 mail2.softserveinc.com.

;; ADDITIONAL SECTION:
ns.softserveinc.com.	1025	IN	A	195.160.232.20
ns2.softserveinc.com.	1025	IN	A	52.33.140.131
ns3.softserveinc.com.	1025	IN	A	12.197.51.10
mail2.softserveinc.com.	1859	IN	A	195.160.232.35
mail.softserveinc.com.	1869	IN	A	195.160.232.17
mail3.softserveinc.com.	1878	IN	A	52.33.140.131

;; Query time: 62 msec
;; SERVER: 192.168.4.45#53(192.168.4.45)
;; WHEN: Tue Sep 13 22:35:47 EEST 2016
;; MSG SIZE  rcvd: 480

Хм, покищо ІР-адреси відправника ніде не значиться, хоча ще треба перевірити яка вона у mail4.softserveinc.com

$ host mail4.softserveinc.com
mail4.softserveinc.com has address 195.160.232.19

Ні, і ця ІР-адреса також відмінна від 207.254.213.228.

Куди ж копати? По-перше, у spf-підписі відсутній параметр -all, який би забороняв відсилати пошту усім, окрім перелічених серверів. По-друге, може проблема ще й в наступному?

$ host -t mx mail.softserveinc.com
mail.softserveinc.com has no MX record

$ host -t mx mail2.softserveinc.com
mail2.softserveinc.com has no MX record

$ host -t mx mail3.softserveinc.com
mail3.softserveinc.com has no MX record

$ host -t mx mail4.softserveinc.com
mail4.softserveinc.com has no MX record

Як бачимо, ніде не фігурує ІР-адреса 207.254.213.228 як довірительна, з якої можна відправляти пошту від імені softserveinc.com, але здається присутні помилки в доменних записах, які дозволяють мухлювати від їх імені.

Відповісти
Підтримати
Andriy Kupchanko 15.09.2016 15:32

Ваше розслідування до доводить жодного криміналу з SPF

Як бачимо, ніде не фігурує ІР-адреса 207.254.213.228 як довірительна, з якої можна відправляти пошту від імені softserveinc.com, але здається присутні помилки в доменних записах, які дозволяють мухлювати від їх імені.

зверніть увагу на оригінальні хедери:

Return-Path: <[email protected]>
Received-SPF: pass (google.com: domain of [email protected] designates 207.254.213.228 as permitted sender) client-ip=207.254.213.228;
Authentication-Results: mx.google.com;
dkim=pass [email protected];
spf=pass (google.com: domain of [email protected] designates 207.254.213.228 as permitted sender) [email protected]

Ніколи не бачили хедери листа, відправленого через Amazon SES чи інших «розсильщиків», і як це інтерпретує наприклад GMail? www.dropbox.com/...6-09-15 15.29.06.jpg?dl=0

Хоча це не виправдовує СофтСерс перед ТС

Відповісти
Підтримати
Костя Третяк

Підписатись на коментарі

Не підписуватись
Скористайтесь акаунтом
×
з умовами використання сайту і політикою конфіденційності.