Valutazione 4.87/ 5 (100.00%) 5838 voti

Condividi:        

...la mia prima analisi antispam..........

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: kadosh, Luke57

Postdi ciaba » 16/05/03 07:37

....TNX Nicola..........stò studiando........... :D
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Sponsor
 

Postdi ciaba » 16/05/03 10:46

....se avete un minuto date un okkio a questa..........mi è arrivata apparentamente da 200-206-26-186.customer.telesp.net.br ma credo che sia una bufala... xchè è una spam-mail in italiano...o sbaglio...

Received: from smtp13*cp*tin*it (192.168.70.207) by ims3c*cp*tin*it (6.5.034)
id 3EC19ADD001551F5; Fri, 16 May 2003 10:57:47 +0200
Received: from 200-206-26-186.customer.telesp.net.br (200.206.26.186) by smtp13*cp*tin*it (6.7.016)
id 3EB63AB000CA8B9E; Fri, 16 May 2003 10:57:47 +0200
Received: from 2nh.jvaf0.org ([141.222.167.76]) by 200-206-26-186.customer.telesp.net.br id gQxd0W80Rcz9; Fri, 16 May 2003 20:52:21 -0400
Message-ID: <909$w-w$f5$$yc$3-80-u$356**pqj.mnmvo.1d9>
From: "fabricio" <fabricio_a**aol*com>
To: jwurag**tin*it
Subject: video e foto xxx pfhbnlkvbbz
Date: Fri, 16 May 03 20:52:21 GMT
X-Mailer: Microsoft Outlook, Build 10.0.2616
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="BE.4_0.DDCA"
X-Priority: 3
X-MSMail-Priority: Normal

This is a multi-part message in MIME format.

--BE.4_0.DDCA
Content-Type: text/plain;
Content-Transfer-Encoding: quoted-printable

clicca su http://www.over-the-top.biz/sex
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi ciaba » 16/05/03 10:48

....per la cronaca "jwurag**tin*it" nn è il mio indirizzo 8)
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi pjfry » 16/05/03 11:22

guarda : http://www.openrbl.org/ip/200/206/26/186.htm
sembra decisamente un open proxy quindi può averlo usato chiunque,anche un italiano ;)
l'indirizzo nel TO: non vale niente,possono metterci quello che vogliono...
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi Nicola » 16/05/03 12:49

perfetta l'analisi di pjfry.

se vuoi gli addresses:

Codice: Seleziona tutto
brasil12<at>MAIL.DIGIWEB.COM
mail-abuse<at>nic.br
security<at>TELESP.NET.BR


mods cancellereste il link nel messaggio di SPAM per favore? ciaba non lo chiedo a te perchè l'edit è disabilitato :P

ciao
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi ciaba » 16/05/03 13:28

...mi scuso per il link...........ma una domanda ..........se é un'italiano che mi ha spedito la mail nn posso risalire a lui???........
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Frengo78 » 16/05/03 16:41

no, puoi risalire al suo provider ma poi è impossibile risalire alla persona
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Nicola » 16/05/03 17:22

dipende se il proxy tiene i logs.. se è open non li tiene neanche e non si saprà neanche l'IP... :P se li tiene non saprai mai lo stesso la persona, ma cmq puoi lartare per far prendere al provider dei provvedimenti ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi ciaba » 16/05/03 19:40

.....un'ultima cosa che poi torno allo studio... e per un pò sparisco.......nella guida di Collinelli si afferma che esiste una voce "MAIL FROM" identificativa del mittente e sarebbe il parametro che permette all'SMPT, nel caso che non riesca a trovare il POP del destinatario(per errore 5), di girare di nuovo la mail all'indirizzo del mittente.............che mi dite su ciò.......?? :undecided:
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Nicola » 16/05/03 19:48

in pratica se il destinatario nn si riesce a contattare (inesistente, mail piena) la mail torna indietro al mittente, che se è falso non arriva per niente :D
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi ciaba » 17/05/03 09:04

..........quindo "quel parametro" é il from che il mittente può alterare come vuole.......pensavo fosse una cosa diversa,.....qualcosa di nascosto,.......che sò.........il trukko del secolo :D ....okok.................tnx di nuovo......
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi Nicola » 17/05/03 11:23

no no è il semplice sender ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi Frengo78 » 17/05/03 13:52

a dire il vero è il from che è facilmente alterabile. Io potrei spedire email ad un amico fingendomi Carlo Azelio Ciampi e scrivere da Ciampi chiocciola libero.it e mandare la mail a (campo to) Berlusconi chiocciola hotmail.com con in copia conoscenza nascosta a Nicola. Se nicola legge gli headers troverà in campo from l'inesistente indirizzo di ciampi e in campo to l'altrettanto inesistente indirizzo di berlusconi. Quello che non è alterabile è l'indirizzo ip del server di posta da cui proviene il messaggio ed è a quello che si fa fede quando si fa l'analisi di un header.
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi Nicola » 17/05/03 13:57

giusto come ha detto frengo. in sostanza tutto l'"aspetto" della mail è cambiabile ma i passaggi per i servers che ha fatto sono in chiaro e non modificabili ;)
Nicola
Nicola
Utente Senior
 
Post: 7381
Iscritto il: 08/02/02 01:00

Postdi zello » 17/05/03 14:26

from e envelope-from sono campi manipolabili a piacere.

Questo spamware sta facendo diventare matto il mio programma.
Apparentemente:
Received: from smtp13*cp*tin*it (192.168.70.207) by ims3c*cp*tin*it (6.5.034)
id 3EC19ADD001551F5; Fri, 16 May 2003 10:57:47 +0200
Received: from 200-206-26-186.customer.telesp.net.br (200.206.26.186) by smtp13*cp*tin*it (6.7.016)
id 3EB63AB000CA8B9E; Fri, 16 May 2003 10:57:47 +0200
Received: from 2nh.jvaf0.org ([141.222.167.76]) by 200-206-26-186.customer.telesp.net.br id gQxd0W80Rcz9; Fri, 16 May 2003 20:52:21 -0400

La trafila parrebbe 141.222.167.76->200-206-26-186.customer.telesp.br->tin, ma ovviamente l'ultimo received è falso (e falsificato bene).
Mi stanno arrivando moltissime porcherie da rr.com (roadrunner, ne ho ricevute una trentina tra ieri e oggi) che hanno un'ultima linea apparentemente valida con domini insospettabili (apple.com, per dirne uno). Naturalmente, se si fa l'analisi a mano non si dubita per un momento che una linea received "intermedia" possa essere relativa ad un'utenza domestica, o ad un IP dinamico (e cmq basta fare uno scan della porta 25, che ovviamente è sempre chiusa). Però il programma non se ne accorge, e prende per buona l'ultima linea (a meno che quella precedente non sia di un open proxy listato, e non è sempre così).
Per il momento correggo gli headers a mano (rimuovo l'ultima linea prima di fare l'analisi). Poi vedrò se mi verrà in mente qualcosa...
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi pjfry » 17/05/03 14:43

ho ricevuto anch'io un pò di roba da rr... di solito il secondo campo era listato come open proxy e lartavo lì, però spesso anche il terzo era un open proxy listato e questo poteva trarre in inganno :aaah
Avatar utente
pjfry
Moderatore
 
Post: 8240
Iscritto il: 19/11/02 17:52
Località: terni

Postdi ciaba » 17/05/03 17:26

....visto che ci siete tutti...sfrutto la situazione....... ;) ..........che mi dite della data e ora dei Received.......se é palesemente errata ok,..ma in caso contrario ci sono dei tempi minimi (in cui un smpt passa le mail al pop) relativi alla distranza di trasmissione?? Tipo....se un messaggio mi arriva dal Brasile può impiegarci di + rispetto a uno che arriva dalla stessa città del mio provider??....Vorrei cioé usare i tempi di trasmissione come ulteriore conferma della provenienza remota o meno degli spam. E' plausibile??
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi ciaba » 17/05/03 17:29

........mi sà che ho scritto una boiata..... :D ................vado a studiare..... 8)
ciaba
Utente Senior
 
Post: 256
Iscritto il: 11/05/03 17:11

Postdi piercing » 17/05/03 17:55

calcolando che la velocità della luce è di 300E3 km/s e il diametro della terra di 120E3 km... vedi te.... ;)
Avatar utente
piercing
Moderatore
 
Post: 7569
Iscritto il: 10/04/02 10:34
Località: Roma

Postdi zello » 18/05/03 00:46

Io guardo i tempi di trasmissione tra un hop e l'altro solo quando sono palesemente falsi (o un received più "basso" ha tempi di consegna [considerato il fuso orario] più recente della riga precedente, oppure ci sono sette o otto ore tra uno e l'altro, il ché è improbabile).

In generale non mi affido ai tempi (qualcuno potrebbe pure aver configurato male l'ora sul server), ma vi ricorro solo se altre cose mi fanno drizzare le orecchie.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

PrecedenteProssimo

Torna a Sicurezza e Privacy


Topic correlati a "...la mia prima analisi antispam..........":

Analisi log HijackThis
Autore: Sanko
Forum: Sicurezza e Privacy
Risposte: 2

Chi c’è in linea

Visitano il forum: Nessuno e 10 ospiti