Comments 83
Прочитал заголовок раз 5 и повис. Имхо все же «режим реального времени».
я бы даже сказал не за минуту 10 адресов, а в 5-10 секунд падают новые 10-15 ящичков, вот раздолье то! :)
Хм, ограничение в виде hotmail/gmail не очень весело. Понятно, что настраивается, но ведь ручками придется это все писать…
UFO landed and left these words here
От этого спамерам ни холодно, ни жарко. На спаме свой куш имеют и в ближайшее время будут иметь. Как это ни прискорбно.

ps: я как и вы, не пылаю особой любовью к спамерам
Если бы еще какие-то фильтры ввели на сбор почты… ну там по тематике постов, по адресатам, по сфере деятельности и т.д. :)
UFO landed and left these words here
Странные люди… Сделают какую нибудь гадость и — обязательно надо похвастаться… Ну можно собрать e-mail-ы. И что? Можно и в лифте нассать. Такого же уровня достижение…
Нашли уязвимость, поигрались (just for fun), опубликовали, разработчики похватались за голову и срочно исправили. Хуже когда все эти уязвимости есть но про них никто не знает.
а где вы ее опубликовали? дайте догадаюсь — в багтрекере у разработчиков? Нет?
Написали им e-mail? Нет?
А где? Ах на хабре… Ну да… чтобы все знали о вашей «крутизне»… А разработчики — ну если они и читают хабр, то явно не будут первыми (а скорее — будут последними) кто прочтет…

UFO landed and left these words here
Это не я опубликовал, и между прочим разработчики могут не придать особого значения если опубликовать в баг трекере, ведь по сути это не уязвимость.
Нестыкуется.

Если опбликовать в багтрэкере ( месте, специально предназначенном для таких сообщений), то разработчики «не придадут значение». А если опубликовать на хабре. разработчики (twitter — Джек Дорси (Jack Dorsey), Биз Стоун (Biz Stone) и Эван Вильямс (Evan Williams) ) «схватятся за голову».

Я сомневаюсь что они читают хабр. И более того, я сомневаюсь что они вообще читают русскоязычные сайты,
Разработчики сделают в лифтах дырявый пол, чтоб продукты вандализма стекали в шахту /юмор/
я давно открыто пишу свой емейл в интернете и полагаюсь на спам-фильтры
вот ещё, шифроваться…
я около двух лет всегда в открытую пишу свой email и Gmail справляется со спамом, за что ему огромное спасибо.
последнее время стал просачиваться спам в gmail'e у меня. довольно много причем
Спамеры стали изощреннее защищаться от антиспама. Осмыленные имена отправителей, осмысленный текст письма вокруг спам-ссылки, использование смеси русских и латинских символов. Гмейл стабильно стал пропускать до 5 спам-писем в день у меня.
думаю, что берут тем, что адрес отправителя из моей адресной книги
А сколько у вас писем обычно бывает в папке «Спам»? А вдруг нужное письмо туда случайно попадёт? Найдёте его?
за неделю где-то тысяча-полторы писем в спаме
пару раз в неделю я просматриваю их темы на случай чего-то важного, но такие ошибки редки, штук десять в год, может меньше

кстати, очень удобно это делать, отсортировав по теме: спамеры не особо изобретательны
ох чорд… спасибо за чит и правда удобней :)
(через 40 минут плюсану карму, главное не забыть :)
ох чорд… спасибо за чит и правда удобней :)
Пойду исправлять заголовки… /юмор/
Виноваты не спамеры а чайники, которые никак не могут перейти на нормальный почтовый протокол. Долбаные провайдеры.
любопытно, какой открытый свободный нормальный протокол имеется в виду?
Я не знаю такого, но думаю что могли бы придумать, а может и придумали, надо только поискать. Главное что должны быть устранены недостатки старого протокола, где (по идее) любой узел мог отправить почту для любого узла. Понятно что сейчас есть фильтры и прочее, но все же. и нужен механизм централизованной блокировки спаммеров (и кстати четкое определение что счиатть спамом)

А там еще можно и подписи, и шифрование прибавить.

Главное отказаться от незащищенного устаревшего протокола (или считать все письма пришедшие по нему потенциально спамом).

думали, но не придумали ничего без большого брата
с большим братом придумали много разного, но почти никому это не интересно по понятным причинам
Помнится Бернстайн предлагал протокол, в котором отправка письма одному адресату стоила маленькую фиксированную сумм денег (скажем 50 копеек). Для нормальных людей не накладно, а спамерам будет заметно тяжелее…
а на вырученные деньги можно построить стену, об которую смогут убиться создатели всех стартапов; )
представьте себе жж, каким он был много лет назад: 20 тысяч пользователей, бесплатность, редкие добровольные пожертвования. Представьте также 20 000 оповещений о новом комментарии в день (естественно, разным получателям). Посчитайте стоимость этого в предложенной системе и вероятность того, что такой проект будет существовать без инвестиций.

может быть, вам не жалко жж, даже несмотря на то, что это крупнейшая и во многих смыслах лучшая платформа общения рунета?
Ну, это уже частности. Вполне вписывается в бернсайновскую модель вариант, когда подписки функционируют по другому, если пользователь подписался на эти новости/оповещения… А без согласия пользователя послать ему письмо — плати денежку.
почтовый сервер ничего не знает про согласие пользователя, он просто принимает почту
ах, вот вы о чём… невозможно синхронизировать данные на таком количестве серверов

невозможно вообще
все просто, надо писать почту в общак вот так petya(собака)гмайл.ком
В смысле песня есть такая:
"… улыбнитесь, ведь улыбка это флаг корабля..."
По поводу написания почты и различной замены "@" на разные символы, можно использовать другую идейку…
К примеру замутить скрипт, который будет парсить введённые данные на наличие e-mail адреса, и при выводе этих данных в комментах, или где либо, рисовать его через GD, и выводить уже как gif, или jpeg, а не как текст…
Причем если нормально всё реализовать, не будет заметно отличие вставок генерированных картинок в текст.

Конечно эта версия не прокатит для многих нынешних форумов, и блогов, но её можно использовать в новых проектах. Многие скажут, что очень много проблем будет с версткой картинок в текст, в любом случае этот вариант можно использовать не везде.

P.S. Не судите строго, это лишь идея, напишу скрипт отчитаюсь…

Не, ну я же не предлагаю дублировать капчу, я предлагаю выводить почтовые адреса, чтобы их невозможно было с первого взгляда отличить от текста, а вот при попытки скопировать или пропарсить…
Если людям сильно необходим этот почтовый адрес то они его сами наберут…
На самый крайний случай можно придумать какой нибудь JS скрипт, который будет выводить выпадающее меню с кнопкой «В буфер обмена», а сам адрес будет брать Аjax-oм из базы или откуда либо, тогда и пропарсить его не получиться, и вроде как для людей юзабельно.
>Если людям сильно необходим этот почтовый адрес то они его сами наберут…
Ага, точно.
Гвоздь бы в голову забить таким людям.

А еще можно гиперссылки не делать — сильно необходим URL — наберут.
только вводить руками этот адрес потом не очень удобно
я специально запостил в твиттер подставной ящик на своем персональном домене и спама не пришло, потому что они не знают мой домен для фильтрации
как вариант можно подбирать по доменным зонам, типа .ru .name и уже парсить сообщения
Я в своё время проводил этот эксперимент пару раз. Создавал новый ящик на различных российских крупных порталах и нигде его не светил. Вообще нигде. Даже в аську друзьям.
Через месяц примерно на него всё равно стал приходить спам. Вывод: спамерам сливают саму базу емэйлов, и абсолютно неважно, светите вы его или нет. С тех пор я расслабился и получаю от жизни удовольствие.
К слову, фильтрация спама сейчас очень хорошая. Как правило, менее 0,1%-0,5% спама оказывается во «Входящих» — то есть, единицы писем в неделю/месяц (в зависимости от конкретного сайта).
я больше года назад создал ящик на gmail.com и до сих пор там не одного спамного письма, правда я его не сильно афиширую
По поводу сливания баз абсолютно согласен… Скорее всего так и есть, и это не обязательно затеи сервисов, блогов, или форумов. Возможно это недобросовестные сотрудники продают базы, возможно это они подрабатывают спамом… :).
Хотя некоторые могут подумать так: «Если на моем сервисе(социалке, форуме) накопилось несколько тысяч почтовых адресов, то что добру пропадать, кинем и их в дело, а там никто ничего и не докажет, откуда e-mail в спам рассылке оказалсо...»
P.S. Сам сервисы или стартапы пока не открывал, спамеров — НЕНАВИЖУ, хотя с другой стороны это тоже работа. СПАМ — один из видов интернет- маркетинга. Представляю если бы так обозлились все на менеджеров по продажам, вот ситуации были бы.
Звонок в офис:
— Алло, Здравствуйте, я представляю компанию «Маленькие Шишки», с кем можно поговорить по поводу…
— Да пошли вы!!! Чёртовы менеджеры!!! Зае…!!!
И обсуждения на форумах:
Ох уж эти менеджеры, с ними что-то надо делать… Давайте объединимся в борьбу против менеджеров…
Ещё бы секретарш натаскивали: «Если менеджеры позвонят.....» :))) Извиняюсь за флуд, что-то навеяло…
А чего тут представлять. Самоходных «менеджеров по продажам», то есть всяких впаривателей, примерно так и посылают. Ходячая разновидность спама.
если бы вы результаты документировали по сайтам, получилась бы отличная статья
Думаю, имеет место рассылка «по словарю». Потом проверка — если к примеру, от vasya@domain.com пришёл bounce-back, значит такого не сущёствует — его вычёркиваем. Если же доставлено — ОК, адрес остаётся в базе. Вот и всё. А уж потом это базу адресов можно использовать сколько угодно раз. Ну или продать кому-то.
Один адрес представляет собой составной идентификатор из двух соединённых подчёрком слов, не являющихся ни именем, ни фамилией; второй адрес — это изменённый псевдоним, в словарях русского языка отсутствующий. Я не представляю себе словаря, который бы вмещал оба этих названия.

К тому же, компании как правило банят айпи за брутфорс, прокси тоже не лучший вариант, остаётся сеть адресов. Далее по принципу Оккама. Если рассмотреть потенциальные затраты на создание и обслуживание распределённой зомби-сети вирусов-брутфорсеров, то гораздо дешевле выйдет подкуп нужных людей в нужных компаниях. Что, скорее всего, и имеет место.

Согласен с предыдущими комментаторами, что это не является целью уважаемых проектов. Скорее всего, это самодеятельность отдельных сотрудников.
Вы меня неправильно поняли. Рассылка ведётся не по «словарю» в привычном понимании, тем более русского языка — по понятным причинам. Имена пользователей генерируются перебором возможных вариантов (тупой брутфорс). А уж потом к ним добавляются всякие @gmail.com, @hotmail.com, @mail.ru и прочие.

На счёт бана за подобные действия. Да, это так, везде это работает по-разному, но суть одинакова.
Мне прямой перебор? Мне кажется малоэффективным, а потому маловероятным.
Каждый символ идентификатора — логина может быть: a..z||0..9||.||_||-|| что составляет около 40 комбинаций на символ. Таким образом, перебор всех 4-х символьных логинов — уже 40^4 = 2,56·10^6 вариантов. Подбор меньшего из моих логинов, где идентификатор состоит из 6 символов, это уже 40^6 = 4,1·10^9 вариантов, что ОЧЕНЬ много. Я уже молчу про следующий логин, для которого цифра получается астрономической.
Малоэффективным? Ха-ха, спамерам не привыкать! =) какая результативность у спама? 0,00001%?
Абсолютно верно) Спам составляет большую часть email-траффика, а толку от него ноль. Крупные email-сервисы тратят огромное количество ресурсов, в том числе и денежных, на борьбу со спамом, скамом, фишингом и пр. В общем — спам must die ))
UFO landed and left these words here
а то спамерам не плевать на ваш дискомфорт? им лишь бы бабла срубить, а все остальное побоку
почтой пользоваться все нуднее и нуднее, приходится отсеивать 20-30 писем в день в inbox. ICQ тоже заспамили. Вчера увидел очень жесткий смс спам — пришло сообщение вида «вы получили бонус — 100 баллов, чтобы его активировать, вышлите бесплатную смс на номер XXXX с кодом YYYY. Стоимость смс 0р.». Смотрю на отправителя — web. 8) «Trust no one» © X-Files.
речь о gmail/yahoo. На моем сервере примерно 2-3 письма в день (отсеиваются 2-3 тыс тупых писем, которые приходят от ботов прямо на mx). Но мой gmail/yahoo аккаунты есть на некоторых форумах, в отличии от «личного» мыла.
не понял, о каком баге системы здесь некоторые говорят — спамеры просто взяли то, что лежит в открытую — сайми пользователя твиттера эти адреса и засветили. Вы же, уходя, запираете входную дверь на замок, а если кто не запирает, тот не удивляется, если у него что-то «взяли». Так и здесь, и не дело самого сервиса (твиттера) думать о том, как фильтровать в тивиттах адреса, максимум, что они могут — это запретить частые запросы, связанные с поиском адресов.
А скрипт, конечно, наипростейший, самое сложное в нем — регулярка. Настоящие спамеры уже давно, думаю, пользуются чем покруче.
«а если кто не запирает, тот не удивляется, если у него что-то «взяли». »

от этого тот, кто взял ни лучше, ни честнее не становится…
живя в NY, возненавидел обнаглевших спамеров…
там спамят телефоны… звонок, поднимешь трубку, включается бот и те втирают как вы не можете жить без сервиса компании «Голубая логуна»…
в день по 5-7 звонков… там алгоритм куда проше — открывается телефонная книга и пошел по порядку)
Вот «слегка» модифицированных, через cURL и засовывание в ДБ :)

<?php
set_time_limit(0);
ini_set('error_reporting', E_ALL | E_STRICT);
ini_set('display_errors', 1);

$file = get_web_page("http://search.twitter.com/search?q=gmail.com+OR+hotmail.com++OR+%22email+me%22+OR+inbox.lv+OR+mail.ru");
$file = strip_tags($file['content']);
 
preg_match_all(
    "([a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+(?:[A-Z]{2}|com|org|net|gov|mil|biz|info|mobi|name|aero|jobs|museum)\b)siU",
    $file,
    $matches);

$link = mysql_connect('host', 'user', 'pass');
mysql_select_db('db', $link);

foreach ($matches[0] as $match) {
	
	if (!empty($match)) {
		if (!mysql_query("INSERT INTO mails (mail) VALUES ('".$match."')")) {
			echo $match . ', ';
		}
	}
}

for ($i = 2; $i <= 5; $i++) {
	$file = get_web_page("http://search.twitter.com/search?q=gmail.com+OR+hotmail.com++OR+%22email+me%22+OR+inbox.lv+OR+mail.ru&page=".$i);
	$file = strip_tags($file['content']);
	 
	preg_match_all(
	    "([a-z0-9!#$%&'*+/=?^_`{|}~-]+(?:\.[a-z0-9!#$%&'*+/=?^_`{|}~-]+)*@(?:[a-z0-9](?:[a-z0-9-]*[a-z0-9])?\.)+(?:[A-Z]{2}|com|org|net|gov|mil|biz|info|mobi|name|aero|jobs|museum)\b)siU",
	    $file,
	    $matches);
	    
	foreach ($matches[0] as $match) {
		
		if (!empty($match)) {
			if (!mysql_query("INSERT INTO mails (mail) VALUES ('".$match."')")) {
				echo $match . ', ';
			}
		}
	}
}

mysql_close($link);

function get_web_page( $url )
{
    $options = array(
        CURLOPT_RETURNTRANSFER => true,     // return web page
        CURLOPT_HEADER         => false,    // don't return headers
        CURLOPT_FOLLOWLOCATION => true,     // follow redirects
        CURLOPT_ENCODING       => "",       // handle all encodings
        CURLOPT_USERAGENT      => "spider", // who am i
        CURLOPT_AUTOREFERER    => true,     // set referer on redirect
        CURLOPT_CONNECTTIMEOUT => 120,      // timeout on connect
        CURLOPT_TIMEOUT        => 120,      // timeout on response
        CURLOPT_MAXREDIRS      => 10,       // stop after 10 redirects
    );

    $ch      = curl_init( $url );
    curl_setopt_array( $ch, $options );
    $content = curl_exec( $ch );
    $err     = curl_errno( $ch );
    $errmsg  = curl_error( $ch );
    $header  = curl_getinfo( $ch );
    curl_close( $ch );

    $header['errno']   = $err;
    $header['errmsg']  = $errmsg;
    $header['content'] = $content;
    return $header;
}
Если уже писать собиралку с твиттера для спама, то *первый раз зашёл на твиттер и бегло осмотрел*
нужно записать ник, местоположение, до кучи сайт.
Так можно настроить таргетинг и прочие плюшки.
Если он отправил ссылку, то можно ему ответ написать «Я посмотрел, а ты это видел?»
Ради интереса поставил скриптик в крон на ночь, к утру получил >2400 уникальных мыл
Я написал свою версию.
Получил её и город обитания и ник человекомыла.
Сделал ещё один маленький скрипт для сортировки мыл и удаления дубликатов. Посмотрим, что будет через неделю.
Естественно это всё ради науки и не для спама. Люблю PHP.
Only those users with full accounts are able to leave comments. Log in, please.