...la mia prima analisi antispam..........

[ciaba]

....TNX Nicola..........stò studiando...........

[ciaba]

....se avete un minuto date un okkio a questa..........mi è arrivata apparentamente da 200-206-26-186.customer.telesp.net.br ma credo che sia una bufala... xchè è una spam-mail in italiano...o sbaglio...

Received: from smtp13*cp*tin*it (192.168.70.207) by ims3c*cp*tin*it (6.5.034)
id 3EC19ADD001551F5; Fri, 16 May 2003 10:57:47 +0200
Received: from 200-206-26-186.customer.telesp.net.br (200.206.26.186) by smtp13*cp*tin*it (6.7.016)
id 3EB63AB000CA8B9E; Fri, 16 May 2003 10:57:47 +0200
Received: from 2nh.jvaf0.org ([141.222.167.76]) by 200-206-26-186.customer.telesp.net.br id gQxd0W80Rcz9; Fri, 16 May 2003 20:52:21 -0400
Message-ID: <909$w-w$f5$$yc$3-80-u$356**pqj.mnmvo.1d9>
From: "fabricio" <fabricio_a**aol*com>
To: jwurag**tin*it
Subject: video e foto xxx pfhbnlkvbbz
Date: Fri, 16 May 03 20:52:21 GMT
X-Mailer: Microsoft Outlook, Build 10.0.2616
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="BE.4_0.DDCA"
X-Priority: 3
X-MSMail-Priority: Normal

This is a multi-part message in MIME format.

--BE.4_0.DDCA
Content-Type: text/plain;
Content-Transfer-Encoding: quoted-printable

clicca su http://www.over-the-top.biz/sex

[ciaba]

....per la cronaca "jwurag**tin*it" nn è il mio indirizzo

[pjfry]

guarda : http://www.openrbl.org/ip/200/206/26/186.htm
sembra decisamente un open proxy quindi può averlo usato chiunque,anche un italiano
l'indirizzo nel TO: non vale niente,possono metterci quello che vogliono...

[Nicola]

perfetta l'analisi di pjfry.

se vuoi gli addresses:

Codice: Seleziona tutto

brasil12<at>MAIL.DIGIWEB.COM
mail-abuse<at>nic.br
security<at>TELESP.NET.BR


mods cancellereste il link nel messaggio di SPAM per favore? ciaba non lo chiedo a te perchè l'edit è disabilitato

ciao

[ciaba]

...mi scuso per il link...........ma una domanda ..........se é un'italiano che mi ha spedito la mail nn posso risalire a lui???........

[Frengo78]

no, puoi risalire al suo provider ma poi è impossibile risalire alla persona

[Nicola]

dipende se il proxy tiene i logs.. se è open non li tiene neanche e non si saprà neanche l'IP... se li tiene non saprai mai lo stesso la persona, ma cmq puoi lartare per far prendere al provider dei provvedimenti

[ciaba]

.....un'ultima cosa che poi torno allo studio... e per un pò sparisco.......nella guida di Collinelli si afferma che esiste una voce "MAIL FROM" identificativa del mittente e sarebbe il parametro che permette all'SMPT, nel caso che non riesca a trovare il POP del destinatario(per errore 5), di girare di nuovo la mail all'indirizzo del mittente.............che mi dite su ciò.......??

[Nicola]

in pratica se il destinatario nn si riesce a contattare (inesistente, mail piena) la mail torna indietro al mittente, che se è falso non arriva per niente

[ciaba]

..........quindo "quel parametro" é il from che il mittente può alterare come vuole.......pensavo fosse una cosa diversa,.....qualcosa di nascosto,.......che sò.........il trukko del secolo ....okok.................tnx di nuovo......

[Nicola]

no no è il semplice sender

[Frengo78]

a dire il vero è il from che è facilmente alterabile. Io potrei spedire email ad un amico fingendomi Carlo Azelio Ciampi e scrivere da Ciampi chiocciola libero.it e mandare la mail a (campo to) Berlusconi chiocciola hotmail.com con in copia conoscenza nascosta a Nicola. Se nicola legge gli headers troverà in campo from l'inesistente indirizzo di ciampi e in campo to l'altrettanto inesistente indirizzo di berlusconi. Quello che non è alterabile è l'indirizzo ip del server di posta da cui proviene il messaggio ed è a quello che si fa fede quando si fa l'analisi di un header.

[Nicola]

giusto come ha detto frengo. in sostanza tutto l'"aspetto" della mail è cambiabile ma i passaggi per i servers che ha fatto sono in chiaro e non modificabili

[zello]

from e envelope-from sono campi manipolabili a piacere.

Questo spamware sta facendo diventare matto il mio programma.
Apparentemente:

Received: from smtp13*cp*tin*it (192.168.70.207) by ims3c*cp*tin*it (6.5.034)
id 3EC19ADD001551F5; Fri, 16 May 2003 10:57:47 +0200
Received: from 200-206-26-186.customer.telesp.net.br (200.206.26.186) by smtp13*cp*tin*it (6.7.016)
id 3EB63AB000CA8B9E; Fri, 16 May 2003 10:57:47 +0200
Received: from 2nh.jvaf0.org ([141.222.167.76]) by 200-206-26-186.customer.telesp.net.br id gQxd0W80Rcz9; Fri, 16 May 2003 20:52:21 -0400

La trafila parrebbe 141.222.167.76->200-206-26-186.customer.telesp.br->tin, ma ovviamente l'ultimo received è falso (e falsificato bene).
Mi stanno arrivando moltissime porcherie da rr.com (roadrunner, ne ho ricevute una trentina tra ieri e oggi) che hanno un'ultima linea apparentemente valida con domini insospettabili (apple.com, per dirne uno). Naturalmente, se si fa l'analisi a mano non si dubita per un momento che una linea received "intermedia" possa essere relativa ad un'utenza domestica, o ad un IP dinamico (e cmq basta fare uno scan della porta 25, che ovviamente è sempre chiusa). Però il programma non se ne accorge, e prende per buona l'ultima linea (a meno che quella precedente non sia di un open proxy listato, e non è sempre così).
Per il momento correggo gli headers a mano (rimuovo l'ultima linea prima di fare l'analisi). Poi vedrò se mi verrà in mente qualcosa...

[pjfry]

ho ricevuto anch'io un pò di roba da rr... di solito il secondo campo era listato come open proxy e lartavo lì, però spesso anche il terzo era un open proxy listato e questo poteva trarre in inganno

[ciaba]

....visto che ci siete tutti...sfrutto la situazione....... ..........che mi dite della data e ora dei Received.......se é palesemente errata ok,..ma in caso contrario ci sono dei tempi minimi (in cui un smpt passa le mail al pop) relativi alla distranza di trasmissione?? Tipo....se un messaggio mi arriva dal Brasile può impiegarci di + rispetto a uno che arriva dalla stessa città del mio provider??....Vorrei cioé usare i tempi di trasmissione come ulteriore conferma della provenienza remota o meno degli spam. E' plausibile??

[ciaba]

........mi sà che ho scritto una boiata..... ................vado a studiare.....

[piercing]

calcolando che la velocità della luce è di 300E3 km/s e il diametro della terra di 120E3 km... vedi te....

[zello]

Io guardo i tempi di trasmissione tra un hop e l'altro solo quando sono palesemente falsi (o un received più "basso" ha tempi di consegna [considerato il fuso orario] più recente della riga precedente, oppure ci sono sette o otto ore tra uno e l'altro, il ché è improbabile).

In generale non mi affido ai tempi (qualcuno potrebbe pure aver configurato male l'ora sul server), ma vi ricorro solo se altre cose mi fanno drizzare le orecchie.