Condividi:        

consigli headers

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

consigli headers

Postdi audioleso » 27/10/03 18:45

Ciao
leggo nel tutorial sullo spamming questa frase:
"
Lo spammer può inserire linee Received: fasulle, ma può solo "aggiungerle in fondo"
"
con "in fondo" si intende nella prima posizione in basso o in alto?
Altra domanda: se dopo il received appare un indirizzo ip invece che un indirizzo testuale e poi tra parentesi un indirizzo ip completamente diverso cosa vuol dire?
Ultima domanda: i dialers devono sempre installarsi in accesso remoto per dirottare la linea o è vero che possono anche installarsi nella ram, ove ci sia, del modem, ammesso che ci sia e non lo so?
Ciao a tutti 8)
audioleso
Utente Junior
 
Post: 14
Iscritto il: 29/08/03 18:08

Sponsor
 

Re: consigli headers

Postdi hexen » 27/10/03 19:32

audioleso ha scritto:Ciao
leggo nel tutorial sullo spamming questa frase:
"
Lo spammer può inserire linee Received: fasulle, ma può solo "aggiungerle in fondo"
"
con "in fondo" si intende nella prima posizione in basso o in alto?




Non mi è chiara la situazione (sto pensando agli open relay che rendono inattendibile tutti gli header _sotto_ ), cmq "in fondo" dev'essere sotto, se no sarebbe stato "in cima" :)

se dopo il received appare un indirizzo ip invece che un indirizzo testuale e poi tra parentesi un indirizzo ip completamente diverso cosa vuol dire?

Quello tra parentesi quadre è l'ip, quello prima è il nome, numerico (per confondere le idee) ma sempre nome
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi audioleso » 28/10/03 13:46

Ciao
quindi l'indirizzo ip posto tra parentesi nella prima riga partendo dal basso può essere falsa in quanto contenuta in un Received scritto dallo spammer.
che differenza c'è tra il nome numerico e l'ip e come posso convertire il nome numerico in nome letterale?
grazie e ciao
audioleso
Utente Junior
 
Post: 14
Iscritto il: 29/08/03 18:08

Postdi audioleso » 28/10/03 14:15

Ciao
quindi l'indirizzo ip posto tra parentesi nella prima riga partendo dal basso può essere falsa in quanto contenuta in un Received scritto dallo spammer.
che differenza c'è tra il nome numerico e l'ip e come posso convertire il nome numerico in nome letterale?
grazie e ciao
audioleso
Utente Junior
 
Post: 14
Iscritto il: 29/08/03 18:08

Postdi Frengo78 » 28/10/03 14:17

credo con ping -a ip
Knowledge is a weapon
Frengo78
Utente Senior
 
Post: 8985
Iscritto il: 16/07/02 08:41
Località: Torino

Postdi hexen » 28/10/03 15:01

Il nome numerico è quello e non si converte. Per un umano può essere preso per un ip (per confondere le analisi) ma per il computer è solo un nome host come un altro.

quindi l'indirizzo ip posto tra parentesi nella prima riga partendo dal basso può essere falsa in quanto contenuta in un Received scritto dallo spammer.


non è esatto. L'analisi si fa dall'alto verso il basso. Se a un certo punto si vede un open relay è possibile che gli header più un basso (ovvero quelli lasciati dai server per i quali è passato il messaggio prima di giungere al relay) siano falsi
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi zello » 29/10/03 00:15

Le linee false possono essere aggiunte solo nella parte bassa degli headers - cioé possono solo riferirsi ai server "più vecchi", dato che gli headers Received: sono temporalmente in ordine inverso:
Codice: Seleziona tutto
Received: from C by D
Received: from B by C
Received: from A by B

Se sono tutti autentici, A consegna a B che consegna a C che consegna a D. Dato che l'ultima riga è del tuo mailserver, è sicuramente autentica. La prima riga falsa tra le altre invalida tutte le precedenti (in ordine temporale). Se la seconda è falsa, lo è anche la terza, e l'origine è C.

In generale (ma varia moltissimo, credetemi), un Received è fatto così:

Received: from helo_string (real_rDNS[IP]) by ....

dove
- helo_string è la stringa di helo, può essere qualunque cosa passi in testa allo spammer, compreso un indirizzo IP di fantasia
- real_rDNS è il reverse DNS (ovvero il vero nome) dell'IP che consegna
- IP è l'IP che consegna, e nei fatti l'unico dato attendibile.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

consigli headers

Postdi audioleso » 29/10/03 16:26

Ricevo una mail che un'intestazione con due Received, la prima in basso contiene l'ip del mittente registrato dal primo server di posta e il nome con cui si è presentato.
Dato che questo ip corrisponde alla rete di libero e l'indirizzo del mittente e un indirizzo di yahoo sono sicuro che l'indirizzo che appare nel campo del mittente è falso.
Da cosa capisco che anche il primo Received in basso è falso dato che il nome con cui il mittente si è presentato al server di posta + vecchio è un nome numerico?
Grazie a tutti dei consigli
audioleso
Utente Junior
 
Post: 14
Iscritto il: 29/08/03 18:08

Re: consigli headers

Postdi hexen » 29/10/03 17:52

audioleso ha scritto:sono sicuro che l'indirizzo che appare nel campo del mittente è falso.

Quasi sempre è cosi

Da cosa capisco che anche il primo Received in basso è falso dato che il nome con cui il mittente si è presentato al server di posta + vecchio è un nome numerico?


E chi l'ha detto che un header che documenta la presentazione di un computer all'helo con un nome numerico sia falso? :)
hexen
Utente Senior
 
Post: 1340
Iscritto il: 15/07/02 11:10

Postdi zello » 30/10/03 22:30

Come dedurre un received falso? In un sacco di maniere, nessuna definitiva. Tra le altre:
- se il mailserver della riga sopra è - che so io - mail.yahoo.com, mentre il "by" della riga sotto non c'entra una cippa (che so io, mail.microsoft.com), già c'è un'inconsistenza
- se l'orario della linea più vecchia è più nuovo della linea più recente, è un altro indizio
- se la mail gira in posti "inutili" (che so io, sembra che il mailserver di yahoo consegni la sua mail passando per uno sconosciuto mailserver malese), la cosa è sospetta.
- se un mailserver "intermedio" ha un nome che ti fa sospettare che sia un IP dinamico (che so io, il mio di questo momento è ppp-216-192.26-151.libero.it), i received: successivi sono falsi.

Per il resto - beh, l'occhio conta molto. Abuse fa una serie di tests per determinare la "credibilità" del Received:, ma è lontano dall'essere perfetto.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Received

Postdi audioleso » 31/10/03 12:08

Grazie a tutti per le risposte
Ciao
audioleso
Utente Junior
 
Post: 14
Iscritto il: 29/08/03 18:08


Torna a Sicurezza e Privacy


Topic correlati a "consigli headers":

Consigli reset Android
Autore: crisge73
Forum: Discussioni
Risposte: 10

Chi c’è in linea

Visitano il forum: Nessuno e 30 ospiti

cron