Después de muchos correos que hemos recibidos con SPAM, MALWARE e incluso VIRUS, decidimos hacer esta lista negra para colocar todos los remitentes de correo que hasta el momento se han identificado como sospechosos o que están originando correo no deseado.
Primero debemos aprender a identificar el remitente real del correo sospechoso, ya que por lo regular este tipo de correo nos llega con un remitente falso para que cuando intentemos bloquear ese remitente, pues simplemente cambian periódicamente el remitente del correo por otro pero lo envían desde el mismo Servidor. Cada Servidor de correo tiene una dirección IP fija, técnicamente nunca cambia, siempre es la misma. Nos podemos valer de este supuesto para bloquear no el remitente sino más bien todo el servidor desde donde se envía el SPAM o correo no deseado.
Por ejemplo, nos llega este correo:
Se ve como un remitente real "CONTRATISTAS HUERTA Y ASOCIADOS SA DE CV <grupo_huerta@chasa.com.mx>", lo primero que intente hacer es contestarle que muy posiblemente fue un error del emisor de la factura, pero como no veo el archivo anexo con la supuesta factura (por lo general envian dos archivos uno con extension .PDF y otro con extension .XML), esto me hace sospechar que se trata de un SPAMMER, por lo que comienzo a analizar este correo:
Revisamos en opciónes del mensaje, la parte de X-Originating-IP
X-Originating-IP: 50.28.15.189. Ya teniendo la dirección IP desde donde se originó el correo sospechoso, vamos a entrar en una herramienta para comprobar si esta dirección IP esta enlistada en la lista Negra o black list.
http://mxtoolbox.com/blacklists.aspx
Después de cargar la página anterior, tecleamos la dirección IP sospechosa y hacemos clic en botón "Blacklist Check"
Aquí podemos observar que esta dirección IP ya está marcada en la lista negra o Black List, sin lugar a dudas es un correo con SPAM o MALWARE
Continuando el análisis, dentro de opciones del mensaje, observamos:
X-Originating-IP: [50.28.15.189]
Authentication-Results: mta1351.mail.gq1.yahoo.com from=chasa.com.mx; domainkeys=neutral (no sig); from=chasa.com.mx; dkim=permerror (no key)
Received: from 127.0.0.1 (EHLO ozer.artehosting.com.mx) (50.28.15.189)
by mta1351.mail.gq1.yahoo.com with SMTPS; Wed, 27 Apr 2016 00:37:47 +0000
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;
d=chasa.com.mx; s=default; h=Content-Type:MIME-Version:Message-ID:Date:
Subject:To:From; bh=581F7iGUNl8fEIZ2ht/QW0VXDoUTacEkzO6Gyl6bBiA=; b=Hhx4tVq3x
i1xNgrhcc/YW2z4azMRIsYsZ/OvFDkS2ZSlmK0Mj6d+fZfC8HCQbynL09Um+lWv86CJB2Od05oe+Q
gADtTBb9KkyPHxZ07DRFcfWuOCEQvTrI/bzp5IsR7TIThIZgC0ZOG3n2/nHoOuVS4KBeUZemAiMG8
DeLw5l+jfhLtlH7OFCmWs7qIXMZClHckyoBo1wKndyAb6LfiLFMostLi3YdHqlRf5OCYEsvq8x6Bq
/VN/Cz1wggJjBeLj9n7AQoh21FAZNawh647BtWzakCxM03GwarQU26GLbRPlIHf1uoyo951gb9pL6
7SG4HUNkCRK/iQSuXZ4BBCtcA==;
Received: from [189.142.221.102] (port=60728 helo=CHASAPC)
by ozer.artehosting.com.mx with esmtpa (Exim 4.86_1)
(envelope-from <grupo_huerta@chasa.com.mx>)
id 1avCM5-004Dhr-9I
for ; Tue, 26 Apr 2016 18:25:32 -0500
From: "CONTRATISTAS HUERTA Y ASOCIADOS SA DE CV " <grupo_huerta@chasa.com.mx>
To:
Subject: *** VIRUS ***RE: REENVIO UNA FACTURA TUYA
Date: Tue, 26 Apr 2016 16:34:08 -0500
Message-ID: <198201d1a012$e75492b0$b5fdb810$@chasa.com.mx>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_19AB_01D19FE8.FF436150"
X-Mailer: Microsoft Outlook 15.0
X-MS-TNEF-Correlator: 00000000900D1AE9C4CAB0438BE75630A16E38D124942400
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - ozer.artehosting.com.mx
X-AntiAbuse: Original Domain - yahoo.com.mx
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - chasa.com.mx
X-Get-Message-Sender-Via: ozer.artehosting.com.mx: authenticated_id: grupo_huerta@chasa.com.mx
X-Authenticated-Sender: ozer.artehosting.com.mx: grupo_huerta@chasa.com.mx
X-Antivirus: avast! (VPS 160426-3, 26/04/2016), Inbound message
X-Antivirus-Status: Infected
X-Attachment: winmail.dat#914871675|>FACTURA_23942.doc Virus: Other:Malware-gen [Trj] Deleted
Hay una parte dentro de las propiedades del mensaje que dice X-Antivirus-Status: Infected, esto indica que el antivirus detecto este mensaje con VIRUS y elimino el documento anexo FACTURA_23942.doc ya que contiene MALWARE
En lo particular utilizo AVAST como mi antivirus preferido ya que dentro de sus herramientas tiene esto que revisa el correo recibido así que es mi primera línea de defensa contra correos con MALWARE, en esta liga podrá descargar gratuitamente el Antivirus AVAST
https://www.avast.com
Si no deseamos recibir más mensajes de este remitente, entonces abrimos las opciones de correo no deseado.
En las opciones de correo no deseado, en la pestaña
Remitentes bloqueados, agregamos la dirección IP 50.28.15.189 (Dirección
del remitente verdadero del mensaje) y con esto estamos bloqueando todo mensaje
proveniente del Servidor de Correo desde donde se genera el MALWARE
Hasta el día de hoy, esta es la lista negra que tengo definida en los Remitentes Bloqueados:
@chasa.com.mx
@soundcentre.com.au
@visualnet.es
@wassa.com
113.162.48.89
122.55.101.134
123.23.27.120
14.186.7.117
14.187.236.100
181.164.123.2
181.46.140.126
188.50.147.110
190.154.141.170
190.187.16.238
195.248.191.95
201.156.200.31
201.255.109.237
207.207.2.119
216.35.196.26
216.97.239.30
5.190.60.20
50.28.15.189
67.227.187.247
81.16.242.69
87.237.13.75
admin@tjcperu.com.pe
chasa.com.mx
ganza.com.ua
grupo_huerta@chasa.com.mx
mail.tjcperu.com.pe
ozer.artehosting.com.mx
postmgf@ganza.com.ua
smtp6.ymlpsv.com
