Analiza Naglowkow Pocztowych.pdf

Analizanagłówkówpocztowych

PawełKrawczyk

kravietz @ aba.krakow.p

21kwietnia2001

1Wst¦p

Pocztaelektronicznajestusług¡,wktórejobsług¦mo»eby¢zaanga»owane

odkilkudokilkunastuserwerów,nierazrozsiadnychpocałym±wiecie.Teo-

retycznieka»dyznichmo»edziała¢podinnymsystememoperacyjnymi

innymoprogramowaniempocztowym.Poniewa»standardypocztyelektro-

nicznejdeﬁniuj¡tylkopewn¡cz¦±¢tego,como»eznale¹¢si¦dodanychdo

listunagłówkach,dlaniewprawnegookamog¡oneby¢wdu»ejmierzenie-

czytelne.Równocze±nieumiej¦tno±¢ichprawidłowegorozpoznaniastanowi

kluczdookre±leniarzeczywistegonadawcylistu,serwerazktóregoskorzy-

stałorazserwerów,którepo±redniczyływjegoprzesyłaniu.

Artykułtenprezentujepodstawoweinformacjepraktyczne,przydatne

podczasanalizypocztyelektronicznej,prowadzonejczytoprzezu»ytkow-

nika,któryotrzymałspam,czytoadministratora,którystarasi¦wy±ledzi¢

pochodzeniespamu,obra¹liwegolistulubpospolitegomailbombingu.

2Kilkapodstawowychzasad

• NagłówkiFrom,ToiSubjectniemaj¡taknaprawd¦»adnegozna-

czeniadlapoprawnegodor¦czenialistu.

• Kolejneserweryprzesyłaj¡celistprawiezawszepozostawiaj¡wnim

±ladwpostacinagłówkaReceived.

• Kolejneserweryzregułypozostawiaj¡wtymnagłówkuinformacj¦,od

kogootrzymałylistorazdokogobyłonprzeznaczony.

• Listmo»ezawiera¢sfałszowanenagłówkiReceived,poniewa»niemaj¡

oneznaczeniadlatrasy,któr¡b¦dzieprzesyłanylist.

• InformacjezawartewnagłówkachReceivedprawiezawszepozwalaj¡

zcałkowit¡pewno±ci¡okre±li¢¹ródłolistu 1 .

1 Wyj¡tkiems¡listywysłaneprzezanonimoweremailery.

3Procedura

Typowaprocedurarozpoczynasi¦oczywi±cieodotrzymaniasamegoema-

ila.Osobaprowadz¡caanaliz¦mo»eby¢adresatemtegoemaila.Mo»ete»

by¢administratorem,któryotrzymałodu»ytkownikapro±b¦opomocwraz

zzał¡czonymspamemlubkopi¡listu,którymzalanojegoskrzynk¦pocz-

tow¡.Wtymdrugimwypadkudodobrejpraktykinale»yprzyzwyczajenie

u»ytkowników,byodno±nelistyprzysyłalizawszezpełnyminagłówkami,

najlepiejjakozał¡cznikiMIME.

Dalszekrokis¡nast¦puj¡ce:

1.Analizanagłówkówotrzymanegomaila.

2.Okre±lenierzeczywistegonadawcy.

3.Okre±lenieserwerówpo±rednicz¡cych.

4.Stwierdzenie,ktojestodpowiedzialnyzadanesieci.

4Analizanagłówkówpocztowych

4.1Przykładpierwszy

Received:fromPACIFICO.mail.telepac.pt(mail2.telepac.pt[194.65.3.54])

bytau.ceti.com.pl(8.8.8/8.8.8/bspm1.13/prot)withESMTPidEAA27017

for<webmaster@ceti.com.pl>;Tue,19May199804:37:47+0200

Received:frommail.telepac.pt([194.65.180.41])

byPACIFICO.mail.telepac.pt(Intermailv3.1117241)withSMTP

id<19980519033740.GDQ29969@mail.telepac.pt>;

Tue,19May199803:37:40+0000

Date:Tue,19May199803:39:19

From:versailles@mail.telepac.pt

Subject:EasyLinks!

Listtenprzeszedłprzezdwaserwerypocztowe,oczym±wiadcz¡dwa

nagłówkiReceived,któreczytamyoddołudogóry-nagłówekdolnyzostał

dodanynajpierw.

Naszsystem( tau.ceti.com.pl )otrzymałtenlistzportugalskiegoser-

wera mail2.telepac.pt .Informacjatapochodzizgórnegonagłówkachi

znajdujesi¦wokr¡głychnawiasach.Nale»ypami¦ta¢,»ejedyn¡pewn¡in-

formacj¡jesttutajadresIPumieszczonywnawiasachkwadratowych.Nazwa

zarejestrowanawodwrotnymDNSiemo»eniemie¢nicwspólnegozprawdzi-

wymnadawc¡listu,mo»ejejte»wogólenieby¢,takjaktojestwprzypadku

kolejnegonagłówka.

Wynikazniego,»elistzostałfaktyczniewysłanyzadresuIP 194.65.180.41 ,

októrymniewiadomonicwi¦cej.Jednakpodobie«stwoadresówpozwala

przypuszcza¢,»ewtymwypadkunadawc¡listupoprostuklientlubu»yt-

kowniksieciportugaleskiejﬁrmytelekomunikacyjnejTelePac.

Nazwa mail.telepac.pt ,którapojawiasi¦wdolnymnagłówkutakna

prawd¦niemanajmniejszegoznaczenia—jesttonazwa,któr¡ustawiono

r¦cznielubautomatyczniewygenerowałj¡programspammera,iktór¡pro-

gramtenprzedstawiłsi¦serwerowipocztowemu(przypomocykomendy

HELO).

4.2Przykładdrugi

FromWarning@yahoo.comFriMay2212:02:461998

Return-Path:<Warning@yahoo.com>

Received:fromVAX.KVCC.EDU(vax.kvcc.edu[198.108.138.10])

bytau.ceti.com.pl(8.8.8/8.8.8/bspm1.13/prot)

withSMTPidMAA24918for<kravietz@ceti.com.pl>;

Fri,22May199812:02:45+0200

Date:Fri,22May199812:02:45+0200

Received:fromPC.svsu.edu([199.174.167.21])byVAX.KVCC.EDU

withSMTP;Fri,22May19980:36:10-0400(EDT)

From:TomChristiansen<Warning@yahoo.com>

To:StealthMailer<ami-net@ryukyu.ne.jp>

Received:fromSMTP.XServer (Smail4.1.19.1#20)[...]

Received:frommail.apache.net(really[164/187])[...]

Received:from32776.21445(really[80110/80111])[...]

Received:fromlocal.nethost.org(really[24553/24554])

Tennagłówekjestdoskonałymprzykłademlistu,wysłanegoprzezspe-

cjalizowaneoprogramowaniespammerskie,wtymwypadkuStealthMailer.

Poprzyjrzeniusi¦najni»szymnagłówkomReceivedmo»nazauwa»y¢,»eza-

wieraj¡onedo±¢bezsensownedane,dodanewła±nieprzeztooprogramowa-

nie,zapewnewceluzaciemnienienianagłówkówiutrudnieniaanalizyosobie

niezbytwprawnej(linijkibyłyznaczniedłu»sze,zostałypoci¦tedlaprzej-

rzysto±ci).

Faktycznadrogalistuzaczynasi¦odserweraoadresie 199.174.167.21 ,

októrymniewiadomonicwi¦cej,pozatym»eu»ywaStealthMailera.Pro-

gramten,jakinnetegotypuprodukty,posiadazapewnedług¡list¦otwar-

tychserwerówSMTPzcałego±wiata,stworzon¡przezproducenta.Wtym

wypadkuprogramwybrałsobieserwer vax.kvcc.edu iprzezniegoprzesłał

swoj¡reklam¦.

4.3Uzyskaneinformacje

Napodstawiedwóchpowy»szychanalizuzyskali±mynast¦puj¡ceinformacje

codotychdwóchlistów:

• ZostałyonewysłanezadresówIPniezarejestrowanychwDNSie,kon-

kretnie 194.65.180.41 (spam„portugalski”)oraz 199.174.167.21

(drugispam).

• Wka»dymwypadkuwprzesyłaniulistupo±redniczyłydodatkoweser-

werypocztowe.Wpierwszymwypadku( mail2.telepac.pt )byłto

zapewneserwerﬁrmy,zktórejusługkorzystaspammer.Wdrugim

za±serwer vax.kvcc.edu ,nale»¡cydojakiej±uczelniameryka«skiej,

którejniesta¢byłowtymwypadkunapoprawnezabezpieczeniema-

szyny.

5Reakcjanaspam

5.1Pocowysyła¢skargi?

Wysyłaniespamustoizreguływsprzeczno±cizregulaminamikorzystania

zusługﬁrmISP.Wysłaniedonichskargiwsprawiespamuwysłanegoprzez

ichu»ytkownikaprzewa»niepowodujezamkni¦ciejegokontawraziestwier-

dzenia,»ebyłaonauzasadniona.Wprzypadkuspamuwysyłanegoprzez

pracownikówﬁrmdziałatorzadziej,jednakwysłanieskargizawszejestdla

ﬁrmyznakiem,»ezaczynaswoimidziałaniamimarketingowymiwchodzi¢na

±liskigrunt,któretodziałaniamog¡popsu¢wizerunekﬁrmyiostatecznie

zmniejszy¢sprzeda»,zamiastj¡poprawi¢.

Skarg¦nale»ytak»ewysła¢doadministratoraserwera,któryzostałwy-

korzystanydoprzesłaniaspamu.Wwieluprzypadkachadministratorzyta-

kichserwerównies¡wogóle±wiadomi,»eprzezichmaszynaorazł¡cze

przesłanonierazkilkamilionówreklam.Otrzymanienawetkilkuskargcz¦-

stojestwystarczaj¡cymmotywemdozadbaniaobezpiecze«stwoserwera.

Przykładytekstutakiejskargiwj¦zykupolskiiangielskimzostałypo-

danenako«cutegoartykułu.Doskarginale»yzawszezał¡czy¢samspam,

konieczniezpełnyminagłówkami—tak,byumo»liwi¢osobiepodrugiej

stroniepotwierdzenienaszychpretensjilubstwierdzenie,któryzu»ytkow-

nikówjestodpowiedzialnyzatenincydent.Wtymcelunajlepiejzał¡czy¢

takilistjakozał¡cznikMIME.

5.2Jakznale¹¢osobyodpowiedzialne?

Odnalezieniekontaktówdoosóbzarz¡dzaj¡cychlubodpowiedzialnychza

serwerywykorzystanedoprzesłaniatychdwóchreklamjestczasemdo±¢

trudne.Pierwszarzecz,jakasi¦wtymwypadkunarzucatowykorzysta-

nieichnazwzarejestrowanychwDNS.Azatem,je±lispamprzeszedłprzez

serwer mail2.telepac.net ,tomo»nabyspróbowa¢wysła¢skarg¦doadmi-

nistratorapodadres postmaster@mail2.telepac.net 2

Korzystanieztejmetodyniejestjednakgodnepoleceniapozaprzypad-

kami,kiedydomenanale»ydoznanejﬁrmyijejautentyczno±¢nieulega

raczejw¡pliwo±ci.Mo»nawtedywej±¢najejstron¦iznale¹¢odpowiednie

adresykontaktowe.

Wwi¦kszo±ciprzypadkówb¦dziemyjednakmielidoczynieniazadre-

semIPjakojedyn¡pewn¡informacj¡codopochodzeniaspamu.Wtedy

potrzebneadresymo»nauzyska¢zusługiWhois.

5.3Usługawhois

Usługatajestzwi¡zazsystememprzydzielaniaadresówIPobowi¡zuj¡cym

nacałym±wiecie.Ka»dyblokjestprzydzielanykonkretnejorganizacji,która

udost¦pniainstytucjirejestruj¡cejtakiedanejaknazwa,adresorazemaile

itelefonykontaktoweosóbodpowiedzialnychzasie¢.Danetes¡potempu-

bliczniedost¦pnewła±niezapomoc¡whois,czyliinterfejsudobazydanych

odpowiedniejinstytucjirejestruj¡cej.

Tychostatnichmo»eby¢wielewka»dymkraju,jednaks¡tylkotrzyw

skalicałego±wiata.S¡toodpowiednio:

InstutucjaRegion WWW Whois

RIPE Europa,Afryka www.ripe.net whois.ripe.net

ARIN Ameryka www.arin.net whois.apnic.net

APNIC Azja,Pacyﬁk www.apnic.netwhois.apnic.net

Odpowiednieinterfejsydoprzeszukiwaniabazmo»naznale¹¢nastro-

nachodpowiednichinstytucji.Poni»ejpodamytylkoprzykładpozyskania

informacjioadresieIP,zktóregowysłanojedenzprzeanalizowanychprzez

nasspamów.Doprzeszukiwaniabazywhoiswykorzystali±mynajpopular-

niejszegoklientadlasystemówunixowych,którynazywasi¦poprostuwhois.

$whois-hwhois.ripe.net194.65.180.41|head

%Rightsrestrictedbycopyright.

inetnum: 194.65.160.0-194.65.255.255

netname: TELEPAC-POPS

descr: Telepac-ComunicacoesInteractivas,SA

descr: PointOfPresenceNetworks

country: PT

admin-c: TP3302-RIPE

2 Przyj¦tymzwyczajemjest,»eadministratordanegoserwerapocztowegojestosi¡galny

przezkontopostmasternatymserwerze.Wprzypadkudu»ychﬁrmproviderskichcz¦sto

działatak»eadresabuse,przeznaczonywła±niedoobsługitakichincydentów.

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: