Analiza Naglowkow Pocztowych.pdf
(
118 KB
)
Pobierz
85010926 UNPDF
Analizanagłówkówpocztowych
PawełKrawczyk
kravietz
@
aba.krakow.p
21kwietnia2001
1Wst¦p
Pocztaelektronicznajestusług¡,wktórejobsług¦mo»eby¢zaanga»owane
odkilkudokilkunastuserwerów,nierazrozsiadnychpocałym±wiecie.Teo-
retycznieka»dyznichmo»edziała¢podinnymsystememoperacyjnymi
innymoprogramowaniempocztowym.Poniewa»standardypocztyelektro-
nicznejdefiniuj¡tylkopewn¡cz¦±¢tego,como»eznale¹¢si¦dodanychdo
listunagłówkach,dlaniewprawnegookamog¡oneby¢wdu»ejmierzenie-
czytelne.Równocze±nieumiej¦tno±¢ichprawidłowegorozpoznaniastanowi
kluczdookre±leniarzeczywistegonadawcylistu,serwerazktóregoskorzy-
stałorazserwerów,którepo±redniczyływjegoprzesyłaniu.
Artykułtenprezentujepodstawoweinformacjepraktyczne,przydatne
podczasanalizypocztyelektronicznej,prowadzonejczytoprzezu»ytkow-
nika,któryotrzymałspam,czytoadministratora,którystarasi¦wy±ledzi¢
pochodzeniespamu,obra¹liwegolistulubpospolitegomailbombingu.
2Kilkapodstawowychzasad
•
NagłówkiFrom,ToiSubjectniemaj¡taknaprawd¦»adnegozna-
czeniadlapoprawnegodor¦czenialistu.
•
Kolejneserweryprzesyłaj¡celistprawiezawszepozostawiaj¡wnim
±ladwpostacinagłówkaReceived.
•
Kolejneserweryzregułypozostawiaj¡wtymnagłówkuinformacj¦,od
kogootrzymałylistorazdokogobyłonprzeznaczony.
•
Listmo»ezawiera¢sfałszowanenagłówkiReceived,poniewa»niemaj¡
oneznaczeniadlatrasy,któr¡b¦dzieprzesyłanylist.
•
InformacjezawartewnagłówkachReceivedprawiezawszepozwalaj¡
zcałkowit¡pewno±ci¡okre±li¢¹ródłolistu
1
.
1
Wyj¡tkiems¡listywysłaneprzezanonimoweremailery.
1
3Procedura
Typowaprocedurarozpoczynasi¦oczywi±cieodotrzymaniasamegoema-
ila.Osobaprowadz¡caanaliz¦mo»eby¢adresatemtegoemaila.Mo»ete»
by¢administratorem,któryotrzymałodu»ytkownikapro±b¦opomocwraz
zzał¡czonymspamemlubkopi¡listu,którymzalanojegoskrzynk¦pocz-
tow¡.Wtymdrugimwypadkudodobrejpraktykinale»yprzyzwyczajenie
u»ytkowników,byodno±nelistyprzysyłalizawszezpełnyminagłówkami,
najlepiejjakozał¡cznikiMIME.
Dalszekrokis¡nast¦puj¡ce:
1.Analizanagłówkówotrzymanegomaila.
2.Okre±lenierzeczywistegonadawcy.
3.Okre±lenieserwerówpo±rednicz¡cych.
4.Stwierdzenie,ktojestodpowiedzialnyzadanesieci.
4Analizanagłówkówpocztowych
4.1Przykładpierwszy
Received:fromPACIFICO.mail.telepac.pt(mail2.telepac.pt[194.65.3.54])
bytau.ceti.com.pl(8.8.8/8.8.8/bspm1.13/prot)withESMTPidEAA27017
for<webmaster@ceti.com.pl>;Tue,19May199804:37:47+0200
Received:frommail.telepac.pt([194.65.180.41])
byPACIFICO.mail.telepac.pt(Intermailv3.1117241)withSMTP
id<19980519033740.GDQ29969@mail.telepac.pt>;
Tue,19May199803:37:40+0000
Date:Tue,19May199803:39:19
From:versailles@mail.telepac.pt
Subject:EasyLinks!
Listtenprzeszedłprzezdwaserwerypocztowe,oczym±wiadcz¡dwa
nagłówkiReceived,któreczytamyoddołudogóry-nagłówekdolnyzostał
dodanynajpierw.
Naszsystem(
tau.ceti.com.pl
)otrzymałtenlistzportugalskiegoser-
wera
mail2.telepac.pt
.Informacjatapochodzizgórnegonagłówkachi
znajdujesi¦wokr¡głychnawiasach.Nale»ypami¦ta¢,»ejedyn¡pewn¡in-
formacj¡jesttutajadresIPumieszczonywnawiasachkwadratowych.Nazwa
zarejestrowanawodwrotnymDNSiemo»eniemie¢nicwspólnegozprawdzi-
wymnadawc¡listu,mo»ejejte»wogólenieby¢,takjaktojestwprzypadku
kolejnegonagłówka.
Wynikazniego,»elistzostałfaktyczniewysłanyzadresuIP
194.65.180.41
,
októrymniewiadomonicwi¦cej.Jednakpodobie«stwoadresówpozwala
2
przypuszcza¢,»ewtymwypadkunadawc¡listupoprostuklientlubu»yt-
kowniksieciportugaleskiejfirmytelekomunikacyjnejTelePac.
Nazwa
mail.telepac.pt
,którapojawiasi¦wdolnymnagłówkutakna
prawd¦niemanajmniejszegoznaczenia—jesttonazwa,któr¡ustawiono
r¦cznielubautomatyczniewygenerowałj¡programspammera,iktór¡pro-
gramtenprzedstawiłsi¦serwerowipocztowemu(przypomocykomendy
HELO).
4.2Przykładdrugi
FromWarning@yahoo.comFriMay2212:02:461998
Return-Path:<Warning@yahoo.com>
Received:fromVAX.KVCC.EDU(vax.kvcc.edu[198.108.138.10])
bytau.ceti.com.pl(8.8.8/8.8.8/bspm1.13/prot)
withSMTPidMAA24918for<kravietz@ceti.com.pl>;
Fri,22May199812:02:45+0200
Date:Fri,22May199812:02:45+0200
Received:fromPC.svsu.edu([199.174.167.21])byVAX.KVCC.EDU
withSMTP;Fri,22May19980:36:10-0400(EDT)
From:TomChristiansen<Warning@yahoo.com>
To:StealthMailer<ami-net@ryukyu.ne.jp>
Received:fromSMTP.XServer (Smail4.1.19.1#20)[...]
Received:frommail.apache.net(really[164/187])[...]
Received:from32776.21445(really[80110/80111])[...]
Received:fromlocal.nethost.org(really[24553/24554])
Tennagłówekjestdoskonałymprzykłademlistu,wysłanegoprzezspe-
cjalizowaneoprogramowaniespammerskie,wtymwypadkuStealthMailer.
Poprzyjrzeniusi¦najni»szymnagłówkomReceivedmo»nazauwa»y¢,»eza-
wieraj¡onedo±¢bezsensownedane,dodanewła±nieprzeztooprogramowa-
nie,zapewnewceluzaciemnienienianagłówkówiutrudnieniaanalizyosobie
niezbytwprawnej(linijkibyłyznaczniedłu»sze,zostałypoci¦tedlaprzej-
rzysto±ci).
Faktycznadrogalistuzaczynasi¦odserweraoadresie
199.174.167.21
,
októrymniewiadomonicwi¦cej,pozatym»eu»ywaStealthMailera.Pro-
gramten,jakinnetegotypuprodukty,posiadazapewnedług¡list¦otwar-
tychserwerówSMTPzcałego±wiata,stworzon¡przezproducenta.Wtym
wypadkuprogramwybrałsobieserwer
vax.kvcc.edu
iprzezniegoprzesłał
swoj¡reklam¦.
4.3Uzyskaneinformacje
Napodstawiedwóchpowy»szychanalizuzyskali±mynast¦puj¡ceinformacje
codotychdwóchlistów:
3
•
ZostałyonewysłanezadresówIPniezarejestrowanychwDNSie,kon-
kretnie
194.65.180.41
(spam„portugalski”)oraz
199.174.167.21
(drugispam).
•
Wka»dymwypadkuwprzesyłaniulistupo±redniczyłydodatkoweser-
werypocztowe.Wpierwszymwypadku(
mail2.telepac.pt
)byłto
zapewneserwerfirmy,zktórejusługkorzystaspammer.Wdrugim
za±serwer
vax.kvcc.edu
,nale»¡cydojakiej±uczelniameryka«skiej,
którejniesta¢byłowtymwypadkunapoprawnezabezpieczeniema-
szyny.
5Reakcjanaspam
5.1Pocowysyła¢skargi?
Wysyłaniespamustoizreguływsprzeczno±cizregulaminamikorzystania
zusługfirmISP.Wysłaniedonichskargiwsprawiespamuwysłanegoprzez
ichu»ytkownikaprzewa»niepowodujezamkni¦ciejegokontawraziestwier-
dzenia,»ebyłaonauzasadniona.Wprzypadkuspamuwysyłanegoprzez
pracownikówfirmdziałatorzadziej,jednakwysłanieskargizawszejestdla
firmyznakiem,»ezaczynaswoimidziałaniamimarketingowymiwchodzi¢na
±liskigrunt,któretodziałaniamog¡popsu¢wizerunekfirmyiostatecznie
zmniejszy¢sprzeda»,zamiastj¡poprawi¢.
Skarg¦nale»ytak»ewysła¢doadministratoraserwera,któryzostałwy-
korzystanydoprzesłaniaspamu.Wwieluprzypadkachadministratorzyta-
kichserwerównies¡wogóle±wiadomi,»eprzezichmaszynaorazł¡cze
przesłanonierazkilkamilionówreklam.Otrzymanienawetkilkuskargcz¦-
stojestwystarczaj¡cymmotywemdozadbaniaobezpiecze«stwoserwera.
Przykładytekstutakiejskargiwj¦zykupolskiiangielskimzostałypo-
danenako«cutegoartykułu.Doskarginale»yzawszezał¡czy¢samspam,
konieczniezpełnyminagłówkami—tak,byumo»liwi¢osobiepodrugiej
stroniepotwierdzenienaszychpretensjilubstwierdzenie,któryzu»ytkow-
nikówjestodpowiedzialnyzatenincydent.Wtymcelunajlepiejzał¡czy¢
takilistjakozał¡cznikMIME.
5.2Jakznale¹¢osobyodpowiedzialne?
Odnalezieniekontaktówdoosóbzarz¡dzaj¡cychlubodpowiedzialnychza
serwerywykorzystanedoprzesłaniatychdwóchreklamjestczasemdo±¢
trudne.Pierwszarzecz,jakasi¦wtymwypadkunarzucatowykorzysta-
nieichnazwzarejestrowanychwDNS.Azatem,je±lispamprzeszedłprzez
serwer
mail2.telepac.net
,tomo»nabyspróbowa¢wysła¢skarg¦doadmi-
4
nistratorapodadres
postmaster@mail2.telepac.net
2
Korzystanieztejmetodyniejestjednakgodnepoleceniapozaprzypad-
kami,kiedydomenanale»ydoznanejfirmyijejautentyczno±¢nieulega
raczejw¡pliwo±ci.Mo»nawtedywej±¢najejstron¦iznale¹¢odpowiednie
adresykontaktowe.
Wwi¦kszo±ciprzypadkówb¦dziemyjednakmielidoczynieniazadre-
semIPjakojedyn¡pewn¡informacj¡codopochodzeniaspamu.Wtedy
potrzebneadresymo»nauzyska¢zusługiWhois.
5.3Usługawhois
Usługatajestzwi¡zazsystememprzydzielaniaadresówIPobowi¡zuj¡cym
nacałym±wiecie.Ka»dyblokjestprzydzielanykonkretnejorganizacji,która
udost¦pniainstytucjirejestruj¡cejtakiedanejaknazwa,adresorazemaile
itelefonykontaktoweosóbodpowiedzialnychzasie¢.Danetes¡potempu-
bliczniedost¦pnewła±niezapomoc¡whois,czyliinterfejsudobazydanych
odpowiedniejinstytucjirejestruj¡cej.
Tychostatnichmo»eby¢wielewka»dymkraju,jednaks¡tylkotrzyw
skalicałego±wiata.S¡toodpowiednio:
InstutucjaRegion WWW Whois
RIPE Europa,Afryka
www.ripe.net whois.ripe.net
ARIN Ameryka
www.arin.net whois.apnic.net
APNIC Azja,Pacyfik
www.apnic.netwhois.apnic.net
Odpowiednieinterfejsydoprzeszukiwaniabazmo»naznale¹¢nastro-
nachodpowiednichinstytucji.Poni»ejpodamytylkoprzykładpozyskania
informacjioadresieIP,zktóregowysłanojedenzprzeanalizowanychprzez
nasspamów.Doprzeszukiwaniabazywhoiswykorzystali±mynajpopular-
niejszegoklientadlasystemówunixowych,którynazywasi¦poprostuwhois.
$whois-hwhois.ripe.net194.65.180.41|head
%Rightsrestrictedbycopyright.
inetnum: 194.65.160.0-194.65.255.255
netname: TELEPAC-POPS
descr: Telepac-ComunicacoesInteractivas,SA
descr: PointOfPresenceNetworks
country: PT
admin-c: TP3302-RIPE
2
Przyj¦tymzwyczajemjest,»eadministratordanegoserwerapocztowegojestosi¡galny
przezkontopostmasternatymserwerze.Wprzypadkudu»ychfirmproviderskichcz¦sto
działatak»eadresabuse,przeznaczonywła±niedoobsługitakichincydentów.
5
Plik z chomika:
twardy510
Inne pliki z tego folderu:
Sieci_W_3.pdf
(449 KB)
Sieci_W_2.pdf
(76 KB)
Sieci_W_1.pdf
(332 KB)
Sieci teleinformatyczne.pdf
(368 KB)
Sieci podmorskie.pdf
(74 KB)
Inne foldery tego chomika:
Sieci
Sieci komputerowe
Sieci komputerowe administracja
Sieci komputerowe administracja(2)
Sieci komputerowe administracja(3)
Zgłoś jeśli
naruszono regulamin