Это имайл Пейпала или нет: service@intl.paypal.com ?

[Зохан]

Наверное Kiro прав, посмотрел по истории, с этого мыла приходили уведомления об оплатах. Но эти адреса точно вызывают подозрения: paypal@e.paypal.com, paypal2@info.paypal.com

[Emmet]

 

Поле "от кого" может быть любым, в том числе и Вашим собственным ящиком, при использовании "специальных" почтовых программ.
Это совершенно не значит, что письмо пришло именно с этого адреса.

Если посмотрите исходный текст письма, то в заголовках увидите такую строчку, если письмо пришло с PayPal:
"Received: from ...paypal.com"

К тому же, в письмах от PayPal есть электронная подпись "DKIM-Signature" (DomainKey-Signature). Правда, её пока что почти нигде не проверяют.

- Интернеты.

В Gmail можно включить проверку сигнатур.
Создать мыло на paypal.com стороннему нельзя. Можно только подменить.

[Zegaldis]

Сообщение от Emmet

В Gmail можно включить проверку сигнатур

Вот именно! Включить один раз и больше не мучаться

[максимка]

Написал в их суппорт прямо в из панели своего аккаунта в Пайпале. Ответили c имайла webform@intl.paypal.com . Выходит, их имайлом и тот был.

Кстати, когда искал в Гугле, настоящий ли это имайл Пайпала или фальшивый, бОльшая часть юзеров на всевозможных форумах была уверена в том, что это фальшивый имайл.

Тут уж точно не их вина - вид у этого имайл адреса действительно подозрительный. И ведь, если подумать, ведь он не просто так появился. Это сначала кому-то должна была в голову такая мысль придти - на домене такого вида сделать почту на для общения в людьми, которые в массе своей о работе интернета детального понятия не имеют. И это значит, что какой-то умник в Пайпале убедил другого умника, постом выше, взять как адрес для общения с клиентами не какой-нибудь простой имайл вида xxxx@paypal.com, но вот этот запутанный и кривой: xxxx@intl.paypal.com.

При этом, intl-paypal.com - кем-то зареген, и по всей видимости, отношения к пайпалу не имеющим, а intlpaypal.com - так тот даже свободен.



P.S.

Сообщение от Emmet

Создать мыло на paypal.com стороннему нельзя. Можно только подменить.

Чтоб на будущеее, для других сервисов сразу выяснить, а постороннему создать мыло на домене вида xxx@xxx.paypal.com - нельзя?

[Emmet]

максимка, http://www.shram.kiev.ua/safemail/

И никак иначе.

[Andris]

Да уж, устроили...

Код:

[andris@ddosbox ~]> host -t any intl.paypal.com.
intl.paypal.com descriptive text "v=spf1 include:pp._spf.paypal.com include:3rdparty._spf.paypal.com include:3rdparty1._spf.paypal.com include:c._spf.ebay.com ~all"
intl.paypal.com mail is handled by 10 lore.ebay.com.
intl.paypal.com mail is handled by 10 data.ebay.com.
intl.paypal.com mail is handled by 10 gort.ebay.com.
intl.paypal.com has RRSIG record MX 5 3 600 20120220111116 20120121105630 11811 paypal.com. QEA1zL0AkMUTX8lz58e+mVoMlssLKYYLfIVULYZq1QPTCYLP8kfJzaJ6 9IiQEv6YmkCe6Nd+AK5GJkALNB9RybyZzKoxCGFOKvhAUupBJD/8LKLV ZoHnQ/0DVEaHMyui+hTN0IOMs3L3HNAfD8G+kKqhRo3Wf3xln8oWNtxF 0XU=

[andris@ddosbox ~]> host -t any info.paypal.com.
info.paypal.com has RRSIG record TXT 5 3 3600 20120220100703 20120121093449 11811 paypal.com. vhXkkAhadyZSMBbX4GRbo07La7yIdmv7J28vwK66WrXLwQIg6TVviTrd l/ftkDjTyNFDTWMnokC2iFCzuQ54IaPsX78OW6XCyWtRVyag8Bo7MAwM gJMMr1NwRFGkeA8Uxlris21LEz+swieASd2OIxqd0DfY7F1WKVpRfVO3 MJw=
info.paypal.com descriptive text "v=spf1 ip4:12.130.136.0/22 ~all"
info.paypal.com has RRSIG record MX 5 3 3600 20120220100703 20120121093449 11811 paypal.com. aWWm+5YnJuxEw5qVzNMtIkUvUciXX80obL105XR/pNoijcMAh2OYY7cx sd+d6B+S1+EgfltIe+e9H4p3aazH+4OMGKjZYClJdTLkynzV4u0t71gX OMrP0YMnIS7ZUqDpnOTUdcXP5poQbdS2mxDzb9JXdvebXoNCS50nZZXi Ie8=
info.paypal.com mail is handled by 300 imh-paypal2.rsys4.net.
info.paypal.com mail is handled by 300 imh-paypal.rsys4.net.

[andris@ddosbox ~]> host -t any e.paypal.com.
e.paypal.com has RRSIG record TXT 5 3 3600 20120220100450 20120121094242 11811 paypal.com. HXMRzRk5VhQLr2lbw5ZRAWuwx4wVaF/ZUcc4/TDFVdluXvGTa6ocipcw WOC/mTTxTIb3x7leP7OOxt04a9/XcPK1quSJSOjwlU/WF5na8H8Eoqp0 rwhID4NcKzfRkpdXBoCeShONKIFLRz8oWIRPfOK3mHL9YgW1RcmJCrzg Ii4=
e.paypal.com descriptive text "v=spf1 ip4:96.47.30.167/25 ~all"
e.paypal.com has RRSIG record MX 5 3 3600 20120220100450 20120121094242 11811 paypal.com. kOjbHwIkLkoSNyTpdTu+78fQsR5Xe3P9eCtzE+QZd+138jMCOwIzB5Pn d7QWj6AK+HGhTPAkVp5iAnnlEIRkiky6M863IYk/Lz5EE8hZ79eNNbML zJuNr4qdvD2WZYIednjYYI7zP3HpI50dxcQO5KJSaftk9xW6L1gtTjuB Ozs=
e.paypal.com mail is handled by 50 mail-router.e-dialog.com.

Т.е. для всех доменов существуют MX-, SPF- и RRSIG-записи, следовательно, эти домены используется в т.ч. и как почтовые.

Обратите внимание, что релеями для домена intl.paypal.com служат хосты в домене ebay.com, а eBay является владельцем PayPal.

Для домена info.paypal.com релеями являются хосты в домене rsys4.net. Смотрим для него whois:

Код:

[andris@ddosbox ~]> whois -H rsys4.net | beg -i registrant
Registrant:
RESPONSYS Inc.
   900 Cherry Avenue
   5th Floor
   San Bruno, CA 94066
   US

   Domain Name: RSYS4.NET

   ------------------------------------------------------------------------
   Promote your business to millions of viewers for only $1 a month
   Learn how you can get an Enhanced Business Listing here for your domain name.
   Learn more at http://www.NetworkSolutions.com/
   ------------------------------------------------------------------------

   Administrative Contact, Technical Contact:
      RESPONSYS Inc.            hostmaster@responsys.com
      900 Cherry Avenue
      5th Floor
      San Bruno, CA 94066
      US
      650-745-1700 fax: 650-745-1701


   Record expires on 30-Aug-2012.
   Record created on 30-Aug-2007.
   Database last updated on 21-Jan-2012 11:16:10 EST.

   Domain servers in listed order:

   NS1.RESPONSYS.NET            12.130.135.8
   NS2.RESPONSYS.NET            199.7.200.32

Заходим на www.responsys.com и видим, что это одна из маркетинговых компаний, услугами которой пользуется PayPal.

Далее, для домена e.paypal.com релеем является хост в домене e-dialog.com. Заходим на www.e-dialog.com и снова видим, что это опять маркетинговая компания.

Выводы:
1. Все показанные домены принадлежат PayPal, но только первый из них обслуживается инфраструктурой её владельца. Это, впрочем, совершенно не говорит о том, что все отправленные с двух последних доменов письма являются фишинговыми - просто их отправляют два аутсорсера PayPal;
2. Без ведома владельца домена domain.tld создать ящик в домене subdomain.domain.tld нельзя. Точнее, ящик создать можно, но о его существовании никто, в т.ч. внешние серверы, знать не будут ровно до тех пор, пока ресолверам этим серверов не отравят кэш либо если на них будет производиться MitM-атака;
3. Изучайте матчасть, это очень полезно.

[Andris]

Сообщение от Зохан

Можно.

Может робот отвечает, что их уже достали. Представьте сколько им писем приходит таких. Я все же склоняюсь, что это scam. Проще не кликать ничего по ссылкам, а вбить адрес вручную и для меня лично всегда будет один только адрес: www.paypal.com

Только в этом случае желательно пользоваться надёжным сервером DNS, чтобы исключить случаи, о которых я написал выше.

[oranev]

Это уже второе такое письмо. Первое проигнорировал.

From: service@intl.paypal.com <service@intl.paypal.com>
Subject: Your account has been limited until we hear from you
Date: Thu, # May #### ##:##:## GMT
To: "av#####" <av#####@akado.ru>
Undecoded Letter
----------------------------------------------------------------------
We need your help
----------------------------------------------------------------------
Dear Customer
We emailed you a little while ago to ask for your help resolving an issue with your account. Your account is still temporarily limited because we haven't heard from you.
We understand it may be frustrating not to have full access to your account. We want to work with you to get your account back to normal as quickly as possible.
What's the problem?
We want to check with you to make sure that no one has logged in to your account without your permission.
Case ID Number: PP-002-954-434-523
How you can help
It's usually pretty easy to take care of things like this. Most of the time, we just need a little more information about your account

Go to Your Account

We use the latest security measures to ensure that your account is safe and secure the administration asks you to accept our apologies for inconvenienc caused and expresses gratitude for cooperation.
----------------------------------------------------------------------
Copyright © #### Inc. All rights reserved.
#### N. First St., San Jose, CA #####.

Вот, что ответили в ПайПал:


From: <webform@eu.paypal.com>
Subject: RE: Сообщитьофактемошенничестваилизапрещенногоиспользо вания (ID: C643-L019-T14069-S111-W000000) (KMM60352755V11792L0KM) pEU
Date: Fri, 2 May 2014 06:23:26 +0000 (UTC)
To: Андрей <av19616@akado.ru>
Показать заголовок

Undecoded Letter


Здравствуйте, Андрей!

Благодарим за обращение в PayPal.

Благодарим Вас за то, что нашли время переслать нам это подозрительное сообщение электронной почты. Это — поддельное электронное письмо, отправленное не PayPal.

Такие сообщения часто связаны с поддельными веб-сайтами PayPal, известными также, как мошеннические веб-сайты. Эти веб-сайты ориентированы на то, чтобы заставить Вас раскрыть свои личные данные — например, номер социального страхования, номера кредитных карт и пароли учетных записей.

Если Вы ответили на поддельное сообщение электронной почты с запросом финансовых или личных данных или ввели личные данные на поддельном веб-сайте, выполните следующие действия.
•Немедленно измените свой пароль и секретные вопросы PayPal.
•Свяжитесь со своим банком и с эмитентом своей кредитной или дебетовой карты и сообщите о возникшей ситуации.
•Просмотрите свои последние действия со счетом PayPal, чтобы убедиться, что все платежи были санкционированы Вами.
•Сообщите о любых несанкционированных операциях в Центр разрешения проблем. Помните, что Вы на 100% защищены от несанкционированных платежей, отправленных с Вашего счета.

Для получения более подробной информации о поддельных сообщениях электронной почты и безопасности в Интернете, выполните следующие действия.
1.Перейдите на веб-сайт www.paypal.ru
2.Нажмите «Безопасность и защита» в верхней части любой страницы веб-сайта PayPal.
3.В разделе Related Links (Связанные ссылки) нажмите Report Suspicious Email (Сообщить о подозрительном электронном письме).

Мы постоянно работаем над тем, чтобы блокировать поддельные сообщения электронной почты и веб-сайты. Мы вручную просматриваем все материалы, отправленные на адрес spoof@paypal.com. Мы стараемся отключать поддельные веб-сайты, а наш отдел по противодействию мошенничеству предпринимает меры по выявлению и предотвращению случаев мошенничества. Мы также сотрудничаем с правоохранительными службами во всем мире, пресекая деятельность сетевых преступников.

Спасибо еще раз за то, что обратили наше внимание на эту проблему.

Спасибо за использование услуг PayPal!

С уважением,
Dimitrijs
PayPal

Ссылки могут быть почти точной копией подлинных, однако они могут перенаправить вас на мошеннический веб-сайт. Если ссылка выглядит подозрительно или не соответствует требованиям безопасности (например, начинается с http:// вместо https://), не переходите по этой ссылке. PayPal всегда направляет вас к веб-страницам, адрес которых начинается с https://. Никогда не переходите по ссылке, начинающейся с http.

[Kiro]

Посмотри сервер отправителя.

service@intl.paypal.com - нормальный адрес для paypal

[oranev]

Сообщение от Kiro

Посмотри сервер отправителя.

service@intl.paypal.com - нормальный адрес для paypal

Адрес начинался с вот этого: http://