Marcin Kulas napisał(a):

> Sprawdziłem pierwszy lepszy z brzegu (mx7.go2.pl) i nie pozwolił
> przesłać byle czego. A że spam z nich wychodzi, to już inna bajka.

A takie rzeczy jak to, co dotarło do mojego znajomego (zresztą niestety
z wstawionym przez wirus moim adresem - musiał zostać pobrany przez
Bagle'a z zainfekowanego komputera kogoś z moich znajomych):

Return-Path: <marcin.ciesielski#(at)#gmail.com>
Received: from mx5.go2.pl (mx5 [192.168.2.45])
by box16.go2.pl SERVER; Mon, 06 Feb 2006 17:50:50 +0100
X-mf: first3.pl v0.6
Received: by mx5.go2.pl (Postfix)
id 6723E25BC58; Mon, 6 Feb 2006 17:49:31 +0100 (CET)
Delivered-To: mark-malinovsky#(at)#o2.pl
Received: from mx5.go2.pl (localhost [127.0.0.1])
by mx5.go2.pl (Postfix) with ESMTP id 8BE9925BD38
for <mark-malinovsky#(at)#.pl>; Mon, 6 Feb 2006 17:48:12 +0100 (CET)
Received: from polik.com (unknown [80.51.176.158])
by mx5.go2.pl (Postfix) with SMTP
for <mark-malinovsky#(at)#.pl>; Mon, 6 Feb 2006 17:48:12 +0100 (CET)
Date: Mon, 06 Feb 2006 17:50:31 +0100
To: "Mark-malinovsky" <mark-malinovsky#(at)#.pl>
From: "Marcin.ciesielski" <marcin.ciesielski#(at)#gmail.com>
Subject: [virus Win32/Bagle.FA robak] price
Message-ID: <rpzqoyawixckvihhdim#(at)#o2.pl>
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="--------mdykatibepqechcozucx"
X-NOD32Result: Infected, Win32/Bagle.FA robak

Wyszło z tego open proxy, działającego już od roku w Polpaku:

Open HTTP Proxy Server Database
Address and Port: 80.51.176.158:3128
Record Created: Thu Mar 10 18:03:14 2005 GMT
Record Updated: Thu Mar 10 18:03:15 2005 GMT
Additional Information: Confirmed open http-post proxy: thu, 10 mar
2005 18:03:10 gmt
Currently active and flagged to be published in DNS
If you wish to request a delisting please do so through the Support System.

Database of vulnerable/hacked servers
Address and Port: 80.51.176.158
Record Created: Mon Feb 14 12:19:34 2005 GMT
Record Updated: Thu Sep 29 16:05:47 2005 GMT
Additional Information: Spam Sending Trojan or Proxy attempted to
send mail from/to from= to=
Currently active and flagged to be published in DNS

Jak widać, nagłówki zostały kompletnie sfałszowane. Mail z "gmail.com" w
polu "from:" nie powinien przejść przez ten serwer, gdyby był dobrze
zabezpieczony.
Jak widać zadziałał tu nie typowy komputer-zombie nieświadomego
użytkownika, ale (być może) jakiś masowy system rozsyłania wirusów (tym
bardziej, że pod tym adresem, jak dowiedziałem się z informacji
zamieszczonych w internecie, znajdował się kiedyś serwer z pornografią).
Tak czy inaczej musiałem się tłumaczyć, że nie miałem nic wspólnego ze
sprawą. Tym bardziej, że mam zainstalowany aktualny, porządny program
antywirusowy i firewall, ściśle kontroluję wypływ danych ze swojego
komputera, a poza tym był on wyłączony, kiedy doszło do
rozpowszechnienia tego maila.
Ponieważ przeszedł w sposób nieautoryzowany przez serwery o2, mam prawo
być zirytowany na tę firmę. Zresztą nie tylko mnie to spotkało i widać,
że dziury w serwerach o2 są oczywiste.