Neljä verkon turvallisuuspalvelua ilmoittaa osoitteen vaaralliseksi ja yksi epäilyttäväksi.
Kuitenkin roskapostia saapuu Kookossaarten osoitteen nimissä jatkuvalla syötöllä.
Johtuneeko siitä, että se on "vain peiteosoite", joka ei ehkä olekaan se todellinen lähettäjä? Osoite "info@vaiddzed.cc" on luokiteltuvaaralliseksi, sen pitäisi riittää plokkaukseen.
Vapaan tekstin avulla on mahdollista suodattaa kirjeitä vaivatta. Jos ei halua plokata koko kookossaarelaista ulos, voi sanayhdistelmällä plokata vain nämä haittapopstit. Kirjeiden header sisältää paljon samaa materiaalia, vaikka huijarin "mainos"-sisällöt vaihtelevat.
Namesilo, joka on rekisteröinyt tuon domainnimen, ei ole kiinnostunut kontrolloismaan mihin osoitetta käytetään.
Osoitetta hostaa (ylläpitää) Xeon LLC, Venäjälle Moskovaan reksieröity palveluntarjoaja. Yritykselle ei löydy haulla verkkosivua. Xenon on prosessorimerkki. LLC (lyhenne sanoista Logical Link Control) tai (A limited liability company) eli osakeyhtiö eli nimi ei oikeasti kerro mitään.
Olen yrittänyt myös saada venäläisen palveluntarjoajan plokkaamaan heidän palvelussaan vaikuttavia domainnimiä mutta toistaiseksi tuloksetta.
Tuntuu siltä, että suodatusta postipalveluiden tasolla ei myöskään olla halukkaita tekemään.Laiskuudestako? Jos niin, niin se laiskuus saattaa tulla kansantaloudellisesti kalliiksi.Se osa kohderyhmästä, joka näihin ansoihin lankeaa, ei ymmärrä ostaa suodinpalveluita, eikä itse osaa niitä selaimiinsa laittaa.
On syytä tällä taustalla pohtia, esimekiksi, mihin virusasennuksilla haltuunotettuja koneita aijotaan käyttää. Tällainen maassapostitus tuskin osuu täysin tyhjään.
Viimeisinkin e-mail saapui edelleenkin venäläiseltä koneelta. IP osoitteen omistaja on Pietarin seudulta, kone on paikallistettu Moskovan seudulla.
X- alkuisia (vapaasisältöisiä otsakkeita) on mm. MailChimp ohjelmasta,
sekä sen mahdollisesti käyttämästä Hartwallareenan-sähköpostilistasta.
"Custom X-Headers page to create the X-Header names for your emails. You may create up to four x-headers for your email."
Headerin mukann alkuperäisin postileima olisi: for <Janne.XXXXXXXX@netti.fi>; Fri, 27 Aug 2021 10:09:30 +0000 (GMT).
Yksityishenkilönimiä on headerissa muitakin. Mielenkiintoista on jälleen tuo päivämäärä. Tämä X-headersisältö vaikuttaa kopioidun vakiohämäyksenä jokaiseen kirjeeseen.
Jokaisen kirjeen linkit vievät lyhennettyyn (yleensä bit.ly) -osoitteeseen joka on vaaralliseksi luokitellussa palvelimessa. Olen kirjoittanut itse kirjeistä enemmän artikkelissa: https://vaarallinenweb.blogspot.com/2022/01/roskaposti-ryoppy-venajalta-jatkuu.html
Tein kirjeen headerista kommentoidun selvitykset omana tulkintanani. Jos joku on eri mieltä, kertokaa ihmeessä.
----------------------------KOMMENTOITU-HEADER----------------------------
Received: via tmail-2007f.2015-sau for
fp6592.200; Tue, 11 Jan 2022 05:11:41 +0200
(EET)
Received: from vs24.mail.saunalahti.fi (vs24.mail.saunalahti.fi
[62.142.117.201])
by
be400.mail.saunalahti.fi (Postfix) with ESMTP id A75916006B
for
<fp6592@be400.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:41 +0200 (EET)
Received: from vs24.mail.saunalahti.fi (localhost [127.0.0.1])
by
vs24.mail.saunalahti.fi (Postfix) with ESMTP id BCE8520F88
for
<fp6592@be400.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:39 +0200 (EET)
Received: from fe27.mail.saunalahti.fi (fe27.mail.saunalahti.fi
[62.142.117.205])
by
vs24.mail.saunalahti.fi (Postfix) with ESMTP id AF06220F9C
for
<fp6592@be400.vs.mail.saunalahti.fi>; Tue, 11 Jan 2022 05:11:39 +0200
(EET)
Received: by fe27.mail.saunalahti.fi (Postfix)
id
A5B7790006; Tue, 11 Jan 2022 05:11:39 +0200 (EET)
Delivered-To: fp6592@fe27.mail.saunalahti.fi
X-Client-Addr: 78.140.242.72 (Lähettäjäkoneen IP osoitteen omistaja on Pietarin seudulta,
kone on paikallistettu Moskovaan)
Received: from shrmhronline.xyz
(unknown [78.140.242.72]) 72 (välittäjäkoneen IP osoitteen omistaja on Pietarin seudulta,
kone on paikallistettu Moskovaan = sama kone)
by fe27.mail.saunalahti.fi (Postfix)
with ESMTP id 9F3279000D
for
<hannu.kuukkanen@xxxxxxxx.fi>; Tue, 11 Jan 2022
05:11:39 +0200 (EET)
(lopullinen vastaanottaja eli minä)
SITTEN ALKAA SILLISALAATTI
SAAPUNUT SAUNALAHTEEN 2021
joulukuussa?
Received: via tmail-2007f.2015-sau for ie75533.2200; Tue, 21 Dec 2021 05:16:23 +0200 (EET)
Received: from cf51.stp.mail.saunalahti.fi (cf51.stp.mail.saunalahti.fi
)
by
be407.mail.saunalahti.fi (Postfix) with ESMTP id 5AA9E6025B
for
<ie75533@be407.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:23 +0200 (EET)
X-Original-Sender: TIETOA ei ole esitetty
X-Halon-SA: 0.7 Halon Security AB – SAUNALAHDEN koneelta
X-Halon-RPD: 50 Halon Security AB – SAUNALAHDEN koneelta
Received: from vs21.mail.saunalahti.fi (vs21.mail.saunalahti.fi )
by
cf51.stp.mail.saunalahti.fi (Halon) with ESMTPS
id
5fb97aa9-620c-11ec-800a-005056bdd921;
Tue, 21 Dec 2021
05:16:22 +0200 (EET)
Received: from vs21.mail.saunalahti.fi (localhost )
by
vs21.mail.saunalahti.fi (Postfix) with ESMTP id 94F3C20070
for
<ie75533@be407.cf.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)
Received: from fe25.mail.saunalahti.fi (fe25.mail.saunalahti.fi )
by
vs21.mail.saunalahti.fi (Postfix) with ESMTP id 8A0742006B
for
<ie75533@be407.vs.cf.mail.saunalahti.fi>; Tue, 21 Dec 2021 05:16:22 +0200 (EET)
(Tämä
e-mail on seikkaillut 21 Joulukuuta 2021 Saunalahden koneilla mutta päästetty
edelleen läpi myöhemmin? Spammisuotimet eivät ole toimineet)
X-Client-Addr: 185.255.132.197 (lähettäjäkone Venäjällä)
Received: from
amazon.com (unknown ) (The 'Received from' would be
the server that sent or relayed the email
ELI tämä on välittäjäkone, ELI posti on kierrätetty tämän koneen kautta joskus, tai Amazonin osoite on mukana hämäystarkoituksessa)
by
fe25.mail.saunalahti.fi (Postfix) with ESMTP id 7FEE150002
for
<timo.xxxxxxxxx@xxxxxxxx.fi>; Tue, 21
Dec 2021 05:16:22 +0200 (EET)
(Vieraan yksityishenkilön sähköpostiosoite)
Received: via tmail-2007f.2015-sau for qxsgaaaa.24; Thu, 11 Nov 2021 22:34:49 +0200 (EET)
Received: from fe28.mail.saunalahti.fi (fe28.mail.saunalahti.fi )
by
be414.mail.saunalahti.fi (Postfix) with ESMTP id BD76260035
for
<qxsgaaaa@be414.mail.saunalahti.fi>; Thu, 11 Nov 2021 22:34:49 +0200
(EET)
(Tämä
e-mail on seikkaillut 11 Marraskuuta 2021 Saunalahden koneilla mutta päästetty
edelleen läpi myöhemmin 21.12.21?)
X-Client-Addr: 37.230.141.72 (kone Alankomaissa mutta rekisteröity Venäjälle. Green Group LTD address:
124489, Russia, Moscow, Zelenograd,)
Received: from ojvv.thoughtful.digital
(ojvv.thoughtful.digital ) (kone Alankomaissa mutta
rekisteröity Venäjälle. Green Group LTD
address: 124489, Russia, Moscow, Zelenograd,)
by
fe28.mail.saunalahti.fi (Postfix) with ESMTP id B5305E0008
for
<adamas@xxxxxxx.fi>; Thu, 11
Nov 2021 22:34:49 +0200 (EET)
(MailChimp
väittää, että tämä kirje ei ole tullut heidän palvelustaan, vaikka siltä
näyttää. Ikään kuin Hartwallareenan sähköpostilistalla? Sieltäkö on peräisin tuo vieras osoite "adamas"?)
DKIM-Signature: v=1; a=rsa-sha256;
c=relaxed/relaxed; d=mailchimpapp.net;
s=k2;
t=1630058970; i=info=3D hartwallarena.fi@mailchimpapp.net;
bh=JAr3Jg088UC0Lbz6SP2bzv0hyRTzv+kpv09g0v7KOQk=;
h=Subject:From:Reply-To:To:Date:Message-ID:List-ID:List-Unsubscribe:
List-Unsubscribe-Post:Content-Type:MIME-Version;
b=Ce9guX/ZdzcLi0wGwj7EC3n1aJ4zsyPguFrxbtT6BFmLKTdQ9KLRxme1+O7CItFpE
/gEC4dka0GkUuHihaoCjvTDWxrHVj8tXQytuxB3lrq4mTiy8t6+cb+Y3yEz5pXMFWP
wgyaMG3ojTZ+TjNvfTUhW15XdS9N9TNIIWrf7Q20iB6YKX28CZkRjAN9qzRvduri/2
8kkBviCqerjjqLngE44qUGQlKtEfWABmKtx+nb3h2CrPPrr5all3tfzQUmlzXCm4nW
+jBq/fV0R6YuBJ2CrCFowiVXL++LWo2ApqCvOszlkX7bEegsPmU3aoN8E33PP4O49o
rHrxobhcxKi/Q==
Received: from localhost (localhost )
by mail114.atl301.rsgsv.net
(Mailchimp) with ESMTP id 4GwwRt3f7lzNCdK8t
for
<Janne.xxxxxxxxx@netti.fi>; Fri, 27 Aug 2021
10:09:30 +0000 (GMT)
(MailChimp
väittää, että tämä kirje ei ole tullut heidän palvelustaan. Saattaa pitää
paikkansa ja tämä olisi vain hämäykseksi mukaan kopioitua vanhaa roskaa, kuten
päivämäärästä 27 Elokuuta 2021, saattaa lukea. En tunne edes ketään Jannea.)
TÄMÄ
SEURAAVA OSUUS ON NÄKYVÄÄ TEKSTIÄ (koodattuna headerissa)
Subject:
=?UTF-8?B?SGFua2kgcGFyZW1waSBNdWlzdGkgamEga2Vza2l0dHltaXNreWt5?=
(Aihe: ”Hanki parempi Muisti ja keskittymiskyky” avattuna)
From:
=?UTF-8?B?QWl2b2plbiB0ZXJ2ZXlz?= info@vaiddzed.cc (Kookossaarilla oleva kone jota domannimeä on ilmeisimmin käytetty vain peitteenä)
(Lähettäjä: “Aivojen terveys” avattuna. Lähettäjänimeä ei ole)
To: hannu.kuukkanen@xxxxxxxx.fi
Date: (aikaleima OLI TYHJÄ)
Message-ID: 4flKnmoPf2AZXjWBOFcvNoaXeq.9327808f57.20210827100925.5b35183e77.fde32546@mail114.atl301.rsgsv.net
(liittyy MailChimp toimintaan)
X-Mailer:
MailChimp Mailer - *CID5b35183e779327808f57*
X-Campaign:
mailchimpe0423e98ba961f510cd0ff9b1.5b35183e77
X-campaignid:
mailchimpe0423e98ba961f510cd0ff9b1.5b35183e77
X-Report-Abuse:
Please report abuse for this campaign here:
https://mailchimp.com/contact/abuse/?u=e0423e98ba961f510cd0ff9b1&id=5b35183e77&e=9327808f57
(MailChimp
väittää, että tämä kirje ei ole tullut heidän palvelustaan. Saattaa pitää
paikkansa ja tämä olisi vain hämäykseksi mukaan kopioitua vanhaa roskaa. Neljä
vapaamuotoista X-headeria voidaan postiin lisätä)
X-MC-User:
e0423e98ba961f510cd0ff9b1
(Making an inference from the rest of the headers, X-MC-User
refers to the MailChimp user that sent you that email as part of a campaign. ELI tämä liittyy MailChimp postitukseen jota MailChimp
kieltää palvelunsa kautta lähettäneensä. Käyttäjäkoodin avulla ilmeisesti
selviäisi alkuperäinen lähettäjä mutta koodin tausta on vain MailChimpin tiedossa. Sitäpaitsi vieras lähetys on saatettu rosvota joltain vallatulta koneelta)
Feedback-ID: 25453903:25453903.4376537:us3:mc
"Feedback Loop - If you’re a large volume sender, you
can use the FeedBack Loop (FBL) to identify campaigns in your traffic that are
getting a high volume of complaints from Gmail users. The FBL is particularly
useful to ESPs to detect abuse of their services.
Note: FBL data will only pertain to @gmail.com recipients." - FBL-tiedot
koskevat vain @gmail.com-vastaanottajia.
"Senders will need to embed a new header called the Feedback-ID, consisting of
parameters (called Identifiers) that uniquely identify their individual
campaigns. Any Identifiers with an unusual spam rate and that might cause
deliverability issues will be reported in the Postmaster Tools FBL dashboard." koskee vain @gmail.com-vastaanottajia
List-ID:
e0423e98ba961f510cd0ff9b1mc list <e0423e98ba961f510cd0ff9b1.412253.list-id.mcsv.net>
"local addresses used for spam" (verkkoyhteisö on äänestänyt
tämän mcsv.net osoitteen haitalliseksi)
X-Accounttype: pd
List-Unsubscribe:
<https://hartwallarena.us3.list-manage.com/unsubscribe?u=e0423e98ba961f510cd0ff9b1&id=f21abb2aa6&e=9327808f57&c=5b35183e77>,
mailto:unsubscribe-mc.OMPdFW6cIaM1b38dV7ryKRoxmQmOss.md5BHih7IIrRW9H-RUmitkFWtz@mailin.mcsv.net?subject=unsubscribe
(verkkoyhteisö
on äänestänyt tämän .mcsv.net osoitteen haitalliseksi)
List-Unsubscribe-Post:
List-Unsubscribe=One-Click
"In addition to the List-Unsubscribe header, another
line - the “List-Unsubscribe-Post” – is added."
Eli tuo toinen tagi sisältää osoitteen ja
toinen estää suoran osoitteen poiston ” prevent
accidental unsubscribe by anti-spam software. Tarkoittaa, että roskapostittajaa
suojellaan”. MUTTA koko tämän postikampanjan ulossuodattaminen olisi suomalaisille sp-palvelujen toimittajille mahdollista, jos tahtoa riittää. Tulisi riittää, koska kyseessä on kansallisen turvallisuuden uhka. Näitä ei saa palauttaa takaisin, vaan ne tulee ohjata roskikseen.
Content-Type: text/html;charset=UTF-8
MIME-Version: 1.0