Сказ про то, как уютно спамеры чувствуют себя в «Вымпелкоме» и про гостеприимно распахнутый почтовый сервер одного из крупнейших операторов связи.
В прошлом году мне повалил спам с адресов в домене @corbina.ru, а я люблю получать спам, больше я люблю только жаловаться на него в ФАС, а с недавних пор еще и судить спамеров (как-нибудь расскажу об этом).
Ну повалил – и повалил, я дежурно достал свежий комплект ссаных тряпок и сел писать жалобу: тогда-то, там-то при таких-то обстоятельствах я получил спам с адреса, кхм, webmaster@corbina.ru Согласно данным служебных заголовков, спам был отправлен с IP 95.29.140.112, кхм, который недвусмысленно указывает на 95-29-140-112.broadband.corbina.ru…
С этого момента стало интереснее: адрес отправителя подделать – как два байта переслать, но подставить «левый» адрес в том же домене, через SMTP-сервер которого отправляется письмо, в сети «Вымпелкома», are you ahueli tam seriosly?!
ФАС, с которым я поделился своей радостью от получения спама, сперва бодро взялся за дело, но вскоре втихую прикрыл его, и вот почему:
Установлено, что направление спорных писем проходило через электронные адреса <...>. Данные электронные адреса принадлежат ПАО «ВымпелКом» (ИНН: 7713076301). Комиссией Московского УФАС России установлено следующее. ПАО «Вымпелком» (далее – Общество) представило документы и сведения, согласно которым Общество является владельцем и администратором домена corbina.ru. Однако в своих пояснениях Общество указало, что адреса электронной почты <...>, <...> не существуют. Рассматриваемые электронные письма могли быть направлены с «подстановкой» адреса электронной почты.
Следите за руками: демоны были IP-адреса наши, не отрицаем, а вот e-mail адреса отправителя – не наши, их враги в вентиляцию подбросили (что, скорее всего, чистая правда). На этом основании доблестный ФАС кокетливо поправляет лапшу на ушах и прекращает производство: ПАО «ВымпелКом» (ИНН: 7713076301) неуиноен! Впрочем, любовь антимонопольной службы к лапше «доверчивость» ФАС – предмет отдельной дискуссии в суде, сейчас я о другом.
Спам с адресами отправителя в домене @corbina.ru продолжает исправно поступать, из свеженького:
From: «Мария» <ns@corbina.ru>
Received: from 95-29-142-181.broadband.corbina.ru ([95.29.142.181]:63568) by <…>; Tue, 29 Jul 2025 17:08:29 +0300
То есть минимум последние полгода broadband.corbina.ru невозбранно пропускает исходящую почту с рандомным адресом в домене corbina.ru, а «Вымпелком» вместо того, чтобы залатать дыру и насовать барбосок абоненту-спамеру, лепит горбатого на разборках в ФАС: это враги, по заказу кураторов!
Глупые спамеры, арендующие billetproof серваки в Белизе и марающие свои и без того грязные лапы о затрояненные IoTы – вот вам импортозамещение от отечественного поставщика решений для спама маркетинговых коммуникаций!
poige
\@
"broadband" и ip по шаблону в записи обратного DNS — это скорее индикаторы того, что это обычный абонент оператора. Где тут почтовый сервер самого оператора?
ifap Автор
XXX запрашивает SPF/DKIM и получает ответ, что все ОК.
poige
И? Кривой SPF:
v=spf1 a mx ptr ip4:195.14.50.0/24 ip4:85.21.78.0/24 ip4:78.107.19.0/24 ip4:83.102.180.10 ip4:78.107.197.44 ?all— у них там
?all, да, кривой, но не эквивалентен «почтовому серверу оператора» ни разу. Замечу, что список "white listed senders", тот самый IP (на который вы возбудились) не включает.Шаблонная «обратка» в DNS — это уже звоночек, но whois-то сделать элементарно, и он про этот IP говорит чётко:
inetnum: 95.24.0.0 - 95.30.255.255netname: BEELINE-BROADBANDdescr: Dynamic IP Pool for broadband customersВы, прежде чем панику наводить, сначала разобрались бы в мат. части. На такой SPAM, если уж так хочется возбудиться, нужно смотреть в тот же whois:
remarks: Report spam and abuse: abuse@beeline.ruifap Автор
Я не имел в виду, что это корпоративный почтовик самого Пчелайна, если Вы об этом.