Как Яндекс в очередной раз рассылает спам и врет пользователям. С логами, картинками и прочими пруфами
В конце сентября владельцы почтовых ящиков на «Яндекс.Почте» получили любопытное письмо с заголовком «Яндекс.Вебмастер: уведомления о важном»; любопытное в нем начиналось прямо с заголовков, полную версию которых вы найдете под спойлером, а здесь я лишь обращу внимание на самую мякотку.
Received: from postback22c.mail.yandex.net (postback22c.mail.yandex.net [2a02:6b8:c03:500:1:45:d181:da22]) by djju6gayqdmhbunp.iva.yp-c.yandex.net (notsolitesrv/Yandex) with LMTP id 4x4blcsi5T-akqoVVPI; Sun, 24 Sep 2023 22:18:56 +0300
Received: from mail-nwsmtp-mxfront-production-main-52.sas.yp-c.yandex.net (mail-nwsmtp-mxfront-production-main-52.sas.yp-c.yandex.net [IPv6:2a02:6b8:c08:617:0:640:8eef:0]) by postback22c.mail.yandex.net (Yandex) with ESMTP id 0743B5E4EF; Sun, 24 Sep 2023 22:18:56 +0300 (MSK)
Received: from mail.yandex.net (unknown [176.59.164.15]) by mail-nwsmtp-mxfront-production-main-52.sas.yp-c.yandex.net (mxfront/Yandex) with ESMTPS id lIT0dPBYNW20-fUmtSbZe; Sun, 24 Sep 2023 22:18:55 +0300
X-Yandex-Fwd: 2
Authentication-Results: mail-nwsmtp-mxfront-production-main-52.sas.yp-c.yandex.net; dkim=pass header.i=@webmaster.yandex.ru
X-Yandex-Spam: 4
X-Yandex-Uid-Status: 4 14786724,256 37595308,4 18465836,4 4952230,4 8611889,4 29668021,4 282750276,256 8008069
Received: from sas1-f9f745258c93.qloud-c.yandex.net (sas1-f9f745258c93.qloud-c.yandex.net [2a02:6b8:c08:1aa8:0:640:f9f7:4525]) by gxthcj2iq5lgym2k.sas.yp-c.yandex.net with LMTP id kRgDeEqouZ-9m2CtpUV for <arhipcos@yandex.ru>; Mon, 18 Jul 2022 13:13:26 +0300
Received: from g6g4z327noxsgi4q.iva.yp-c.yandex.net (g6g4z327noxsgi4q.iva.yp-c.yandex.net [2a02:6b8:c0c:7918:0:1324:2839:0]) by sas1-f9f745258c93.qloud-c.yandex.net (yaback/Yandex) with ESMTP id S11C6BitW5-DQQuLIwE; Mon, 18 Jul 2022 13:13:26 +0300
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=webmaster.yandex.ru; s=mail; t=1658139206; bh=0FtW2DuW2WocLMECpHCYv3gvRWHjGkJrRzrJzs2687s=; h=Subject:Message-ID:To:From:Date; b=Bv3pMcX1vOoqm5Rj7xLxec5dJrX764Ai6rTQ47lAHkHldGp+t1EXRp4UVxS+C8Tiz 6sLTBifsSoqPHbpWM4fKICviVhFi660/2nFxaFN57b9o+FcFj1MRxXZ98HAZvF82Y1 36TjCxjaj5LvyXSoGQ+kVIescsI0h9E/AIqpe7fU=
Received: from g6g4z327noxsgi4q.iva.yp-c.yandex.net (localhost [127.0.0.1]) by g6g4z327noxsgi4q.iva.yp-c.yandex.net (Postfix) with ESMTP id AC47158400B4 for <arhipcos@yandex.ru>; Mon, 18 Jul 2022 13:13:26 +0300 (MSK) Date: Mon, 18 Jul 2022 13:13:26 +0300 (MSK)
From: «Yandex.Webmaster» <devnull@webmaster.yandex.ru>
To: arhipcos <arhipcos@yandex.ru>
Message-ID: <970774894.264272.1658139206704.JavaMail.root@g6g4z327noxsgi4q.iva.yp-c.yandex.net>
Subject: =?UTF-8?B?0K/QvdC00LXQutGBLtCS0LXQsdC80LDRgdGC0LXRgDog0YM=?= =?UTF-8?B?0LLQtdC00L7QvNC70LXQvdC40Y8g0L4g0LLQsNC20L3QvtC8?=
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_Part_264270_927711215.1658139206693"
X-Yandex-Forward: bf72469a4796c977700cfa5f831f82f3
Return-Path: noreply@geekbrains.com
X-Yandex-Forward: db550a37c89edb588894622ff418cde0
X-Yandex-Forward: 9fed5c97fb217b8a3bf565d7995718ad
X-Yandex-Forward: fc19dffc660c24d8e163bac037970dd1
X-Yandex-Forward: f42312961ab4e430977751ec5be5a91f
X-Yandex-Forward: b67fe7fec4acfde69fafb342d640c9db
X-Yandex-Forward: 63c3afce5afd078f433a5a125be74ea8
X-Yandex-Forward: d177bee76c4bfb623d915e762dfb2c06
X-Yandex-Forward: 8c58b60fadb7435c49c84e63786c67d0
Во-первых, во всех письмах вне зависимости от адреса реального получателя в заголовке To: был указан адрес arhipcos@yandex.ru Я прекрасно знаю про заголовки Cc: и Bcc:, а протокол SMTP знает только один способ не отразить адрес реального получателя в заголовках Received: для этого все SMTP-сервера между отправителем и получателем письма должны контролироваться «заинтересованным лицом», что мы и наблюдаем в данном случае. Т.е. из приведенных ниже заголовков письма невозможно понять, на какой именно адрес оно было доставлено и каким чудом это произошло.
Во-вторых, если верить заголовкам, увлекательное путешествие письма с дикими гусями между gxthcj2iq5lgym2k.sas.yp-c.yandex.net и им же самим под именем mail.yandex.net занимает 10 месяцев. А если верить строке © 2019 Яндекс.Вебмастер в конце письма, то его полное увлекательных приключений путешествие по серверам Яндеса от отправителя к адресату заняло и вовсе 4 года. Яндекс – доставим все, просто не сразу! (даже если вы не просили).
В-третьих, согласно заголовку Return-Path: ответные письма должны направляться на адрес noreply@geekbrains.com а не devnull@webmaster.yandex.ru, который указан в заголовке From: Я оставляю эту деталь без комментариев, просто как забавный факт.
Перейдем теперь к содержимому нашего любопытного послания, которое начиналось с традиционного уже для Яндекса вранья: Спасибо, что пользуетесь сервисом Яндекс.Вебмастер. Мы будем сообщать о важных изменениях ваших сайтов в Поиске…
Думаю, излишне говорить, что многие реальные получатели этого письма (в моем случае – 2 из 3) никогда в жизни не пользовались сервисом «Яндекс.Вебмастер» и у них нет никаких сайтов, но дальше еще интереснее. Все ссылки в письме не уникальны, хотя казалось бы: если ты на самом деле пишешь своему клиенту – сделай ссылку на настройки именно этого пользователя (конечно, если такой пользователь у тебя реально существует).
Зато еще до всех ссылок, еще до всего остального письма идет следующий код:
<img src="https://webmaster.yandex.ru/tracker?userId=68677881&messageType=SERVICE_SUBSCRIPTION_NOTIFICATION×tamp=58139206&digest=c3a475127f977c22ab4caa4a3ab508825468d4793fced1b5c831e67f848" width="0" height="0" style="display: none; visibility: hidden; opacity: 0; left: -9999px; top: -9999px;">Картинка с уникальными параметрами, которую отправитель всеми силами пытается скрыть от получателя: display: none; visibility: hidden; opacity: 0; left: -9999px; top: -9999px Оставалось добавить clip-path: polygon(0); color: transparent; z-index: -100500 – чтобы уж наверняка, но и без того мы имеем дело с обычной спамерской техникой тайного отслеживания факта прочтения спама конкретным получателем.
В сухом осадке мы видим очередную рассылку «Яндексом» спама, прикидывающегося письмом пользователям сервиса «Яндекс.Вебмастер», при этом спама намерено затрудняющего понимание, как он попал к получателю (видимо, чтобы «Яндекс» мог отовраться обычной ошибкой), но при этом же спама отслеживающего, открыл ли его получатель, и тщательно скрывающего факт этого отслеживания.
На закуску переписка с биороботом из службы поддержки «Яндекс.Почты», прикидывающимся шлангом и выгораживающего своего работодателя-спамера. За кадром осталось мое исходное обращение, направлено через форму обратной связи, с приложением исходника письма с полными заголовками.
[Поддержка, внимательно ознакомившись с жалобой]
Чтобы всё проверить, нам понадобится техническая информация о письме. Мы сможем её получить, если вы перешлёте письмо в полной версии <…>
[Повторно отправляю заголовки и письмо]
Received:
<…>
[Поддержка, «изучив» затребованную «техническую информацию»]
Отправитель может указать ваш адрес в поле «Скрытая копия (Всс)» — тогда вы получите письмо, но не будете видеть свой адрес в поле «Кому». Вероятнее всего, письмо, отправленное таким образом — спам. Также, например, у получателя может быть настроена пересылка на ваш адрес.
[Закатывая глаза: а то я не знаю, что это спам]
Это письмо послано самим Яндексом, и я хочу знать точную причину, почему оно оказалось в моем почтовом ящике.
[Поддержка, снова внимательно изучив 2 строчки моего письма]
Как и другие почтовые сервисы, мы прикладываем все усилия, чтобы оградить пользователей от подобных случаев. Просим вас игнорировать это письмо. [Два абзаца бла-бла-бла на тему, как нажимать кнопку «Спам» в веб-версии почты.]
[Закатывая глаза: типа я знаю, где взять заголовки письма, но не умею нажимать кнопку «Спам»]
Я спрашивал, как письмо с чужим адресом получателя и отсутствием каких-либо упоминаний моего адреса в заголовках Received оказалось в моем почтовом ящике, а не что мне делать с этим письмом.
[Поддержка: не прокатило, вычеркиваем]
Наши разработчики ещё смотрят, почему так вышло. Ожидаем, что им потребуется время, чтобы разобраться и найти решение. Когда всё будет готово — свяжемся с вами.
Ау, Яндекс.Спам, ваши разработчики с 25 сентября все еще не выяснили, почему так вышло? Тикет 23092419361966797 если что… хотя что, собственно, вы можете сказать, когда и так всем все понятно?
Автор:
ifap
