Comments 61
Смешно придумали. Тоже сейчас такое же письмецо пришло. Но у меня на каждый чих отдельная почта, это конкретное пришло на почту использованную для регистрации на сайте РИА Новостей. Видимо, их базу слили и по ней рассылают.
у меня на каждый чих отдельная почта
Это ж сколько у вас ящиков-то? )
Для полной безопасности нужна на каждый чих отдельная симка, отдельная банковская карта и отдельный паспорт
Так это, поди, Фома Киняев! У него достаточно паспортов
А ещё отдельное тело с отдельным телефоном, потому что множественные симки прекрасно сопоставляются по передвижениям вроде б :)
Я что-то слышал про GSM-модемы и Remote USB. Так что, наверное, без отдельного тела все-таки обойдемся
Если посмотреть у оператора пары IMEI + IMSI - можно отловить связи на раз-два... Поэтому или аппарат с возможностью смены IMEI (я ради этого отложил Nokia 8110 4G), или только "чистые" аппараты для своих симок. Вставил "грязную" симку в свой аппарат - всё, он тоже "испачкан".
Боюсь нужно тогда целый склад под них делать)
Если есть собственный домен - их может быть бесконечно много. Яндекс - почта для домена (не реклама), например, позволяет автоматически класть все письма, отправленные на несуществующий ящик, в почту админа.
Просто пишешь адрес так, чтобы было понятно, откуда утекло - и вуаля - "отдельная почта" готова.
Схема немного ломается, если вам нужно с этих ящиков что-то отправлять, да. Но для кучи регистраций, на самом деле, очень полезная штука.
(Ну или можно использовать мириад бесплатных сервисов маскировки почты, но это слишком просто и скучно)
Можно просто тег с плюсиком добавить: mymail+sometag@gmail.com, письмо придет на mymail@gmail.com, но целевым адресом будет указан mymail+sometag@gmail.com, что позволит настроить фильтрации.
Для этих целей есть анонимайзер от мэйд ру. В настройках можно создавать почтовый ящик. С любым названием (который свободен) потом с такой же легкостью удалить. Очень удобно.
Если возможность свой почтовый сервер иметь — у mailcow вообще генератор временных адресов встроен.
Ну или sieve-фильтрами на catch-all-адресе превращать denis.isaev.habr@domain.com в psycho-coder+denis.isaev.habr.com@domain.com(а это уже отработается как надо)
но тут надо например dovecot отдельно или в рамках своего сервера с почтой.
Думаю, что программисты некоторых сервисов про это тоже знают, и могут отсекать адрес после знака "+".
Ну это на gmail можно отсекать, а на любом другом домене это могут быть разные ящики.
Для этого можно иметь основной адрес с "+" или с точкой где-то (и можно даже фильтровать все что пришло на очищенный адрес в спам)
Если есть собственный домен - их может быть бесконечно много. Яндекс...
Верно. Вот только Я.ПДД уже несколько лет как перестали давать бесплатную регистрацию доменов, и вообще, теперь это "Я.360". Но старые домены продолжают функционировать, и можно добавлять ящики/синонимы. Но "ящик по умолчанию" есть не только у Я.Почты - практически любой почтовый сервер имеет соответствующую настройку.
Схема немного ломается, если вам нужно с этих ящиков что-то отправлять, да. Но для кучи регистраций, на самом деле, очень полезная штука.
Добавить требуемый "псевдоним" к своему "админскому" адресу и выбирать его при написании письма.
В Я360 все еще остался бесплатный тариф. Но спрятан получше. Буквально пару месяцев назад вешал на домен почту с парой сервисных ящиков.
Не сказать, чтобы он совсем уж сурово запрятан, даже в FAQ есть.
Я для целей определения источника возможной утечки ещё своё имя по-разному пишу: делаю разные замены рус/лат (имя позволяет, все буквы заменяются), где-то пишу ник, где-то часть имени.
И мобильный можно отдельно завести под всякий шлак. В eMotion от Мегафна через интернет могут приходит смс и звонки. А если в телефоне есть eSim - можно 2 полноценных номера сделать.
Почта от майла гораздо лучше кстате, и дизайном и удобством, и рекламы нет, на домен свой оформлять бесплатно можно сколько угодно емейлов. Удобная сортировка, там даже звонить можно прямо на адрес емейл. Ну наверно потому не популярна, поэтому приходится придумывать новые фишки, чтобы пользователей привлечь... Так что ни кому не говорите, пускай все яндексом мучаются.
ящик ≠ адрес
gmail, yandex и многие другие почтовые сервисы позволяют наращивать свой адрес через +
например, письма направленные на v.pupkin+gosuslugi@gmail.com придут в тот же ящик, что и отправленные просто на v.pupkin@gmail.com. Главное, не использовать базовый адрес ни для каких нужд.
Я тоже когда то так пытался сделать, но разбился о фильтр формата почты на некоторых ресурсах, которые запрещали почти все символы. А уж какие проблемы с почтой на idn доменах и/или кириллическим именем...
Главное, не использовать базовый адрес ни для каких нужд.
Считайте, что вы его уже использовали, как только зарегистрировались в сервисе, создатель которого знает про этот нехитрый трюк.
Корпоративная почта с двумя "сотрудниками", все через сборщик писем уходит в один. Суммарно указывал адрес почты на порядка 800 сайтах и может сотне людей и организаций вживую, из них 9 слили адреса в спамерские списки: mpgh, btc-e, моя домашняя страничка(там ханипоты), HR Екатерина Жарова, hh, Навальный и алиэкспресс. Теперь еще плюсом РИА. Просто добавляю эти ящики второму "сотруднику-мусорке" как алиасы. Иногда еще отвечать приходится, и пока яндекс не ограничил количество, у меня на главном аккаунте было штук 50 алиасов. Один раз промахнулся и слил основной адрес, пришлось переезжать, но как помнится, это прошло безхлопотно.
ящик может быть один, а псевдонимов много. Тот же аутлук такое умеет
Подписка на iCloud+ позволяет создавать одноразовый ящик для любого сервиса, кликнув в Сафари "скрыть e-mail". Почта с этих ящиков пересылается на основной. Очень удобно, позволяет отследить кто сливает спамерам БД и удалить скомпроментированный ящик.
Это ж сколько у вас ящиков-то? )
Достаточно зарегать один домен, привязать его к yandex connect и там настроить catch-all адрес. Времени это займет 20 минут а адресов на домене может быть сколько угодно. Их не надо заранее настраивать и как-то учитывать.
Он сливается только если есть catch-all (так себе решение). Грамотно же создавать уникальные адреса со случайной частью на каждый случай (вида site[+-]5fx792@...) и принимать почту только на созданные адреса (минусы допускаются почти везде, плюсы реже).
По первой части сразу понятно откуда дровишки, а вторая нужна для особо умных — если кто-то решит откусить лишнее, он просто не сможет ничего прислать, а по отсутствию мейла при начальной регистрации заодно можно вычислить тех кто это делает.
firefox relay
это конкретное пришло на почту использованную для регистрации на сайте РИА Новостей. Видимо, их базу слили и по ней рассылают.
Да
Увы такой функционал считай все сайты дают.....
Ах, вот оно что. А я смотрел в свойства письма - вроде всё нормально...
В этой статье разбирались атаки через UGC в письмах и как их предотвращать.
А список мейлов зарегистрированных пользователей откуда они взяли?
Рассылают всем, базу взяли одну из слитых. Аккаунт(ы) госуслуг сами зарегали.
Рассылают всем
Возможно, но не факт. Я вот, например, не из России. Пользуюсь несколькими мейлами, каждый из которых явно "русский" (по имени). На Госуслугах зарегистрировался случайно, и этот спам пришел только на тот мейл, который я использовал при регистрации. Ни один из моих друзей (тоже не в России, тоже с русскими именами и соответствующими мейлами) этот спам не получил.
Это вполне себе взлом госуслуг. Кто-то заставил госуслуги рассылать письма от их имени со своим текстом, через уязвимость в госуслугах. Это взлом (он же обход защиты, он же эксплуатация уязвимости). При этом не было компрометации серверов госуслуг и чётных записей юзеров.
Недавно на рабочую почту мне пришло письмо о том, что я якобы хотел сменить адрес личной почты на рабочий. Угу, очень хочу.
забавно, хотя и бесполезно
Пришло вчера, улыбнуло :)
Красивое. Причем, я думаю, 99% сайтов от подобного не защищены.
ГосУслуги взломали (нет)