consigli headers

di **audioleso** » 27/10/03 18:45

Ciao
leggo nel tutorial sullo spamming questa frase:
"
Lo spammer può inserire linee Received: fasulle, ma può solo "aggiungerle in fondo"
"
con "in fondo" si intende nella prima posizione in basso o in alto?
Altra domanda: se dopo il received appare un indirizzo ip invece che un indirizzo testuale e poi tra parentesi un indirizzo ip completamente diverso cosa vuol dire?
Ultima domanda: i dialers devono sempre installarsi in accesso remoto per dirottare la linea o è vero che possono anche installarsi nella ram, ove ci sia, del modem, ammesso che ci sia e non lo so?
Ciao a tutti

di **hexen** » 27/10/03 19:32

audioleso ha scritto:Ciao
leggo nel tutorial sullo spamming questa frase:
"
Lo spammer può inserire linee Received: fasulle, ma può solo "aggiungerle in fondo"
"
con "in fondo" si intende nella prima posizione in basso o in alto?

Non mi è chiara la situazione (sto pensando agli open relay che rendono inattendibile tutti gli header _sotto_ ), cmq "in fondo" dev'essere sotto, se no sarebbe stato "in cima"

se dopo il received appare un indirizzo ip invece che un indirizzo testuale e poi tra parentesi un indirizzo ip completamente diverso cosa vuol dire?

Quello tra parentesi quadre è l'ip, quello prima è il nome, numerico (per confondere le idee) ma sempre nome

di **audioleso** » 28/10/03 13:46

Ciao
quindi l'indirizzo ip posto tra parentesi nella prima riga partendo dal basso può essere falsa in quanto contenuta in un Received scritto dallo spammer.
che differenza c'è tra il nome numerico e l'ip e come posso convertire il nome numerico in nome letterale?
grazie e ciao

di **audioleso** » 28/10/03 14:15

Ciao
quindi l'indirizzo ip posto tra parentesi nella prima riga partendo dal basso può essere falsa in quanto contenuta in un Received scritto dallo spammer.
che differenza c'è tra il nome numerico e l'ip e come posso convertire il nome numerico in nome letterale?
grazie e ciao

di **Frengo78** » 28/10/03 14:17

credo con ping -a ip

di **hexen** » 28/10/03 15:01

Il nome numerico è quello e non si converte. Per un umano può essere preso per un ip (per confondere le analisi) ma per il computer è solo un nome host come un altro.

quindi l'indirizzo ip posto tra parentesi nella prima riga partendo dal basso può essere falsa in quanto contenuta in un Received scritto dallo spammer.

non è esatto. L'analisi si fa dall'alto verso il basso. Se a un certo punto si vede un open relay è possibile che gli header più un basso (ovvero quelli lasciati dai server per i quali è passato il messaggio prima di giungere al relay) siano falsi

di **zello** » 29/10/03 00:15

Le linee false possono essere aggiunte solo nella parte bassa degli headers - cioé possono solo riferirsi ai server "più vecchi", dato che gli headers Received: sono temporalmente in ordine inverso:

Codice: Seleziona tutto: Received: from C by D Received: from B by C Received: from A by B

Se sono tutti autentici, A consegna a B che consegna a C che consegna a D. Dato che l'ultima riga è del tuo mailserver, è sicuramente autentica. La prima riga falsa tra le altre invalida tutte le precedenti (in ordine temporale). Se la seconda è falsa, lo è anche la terza, e l'origine è C.

In generale (ma varia moltissimo, credetemi), un Received è fatto così:

Received: from helo_string (real_rDNS[IP]) by ....

dove
- helo_string è la stringa di helo, può essere qualunque cosa passi in testa allo spammer, compreso un indirizzo IP di fantasia
- real_rDNS è il reverse DNS (ovvero il vero nome) dell'IP che consegna
- IP è l'IP che consegna, e nei fatti l'unico dato attendibile.

di **audioleso** » 29/10/03 16:26

Ricevo una mail che un'intestazione con due Received, la prima in basso contiene l'ip del mittente registrato dal primo server di posta e il nome con cui si è presentato.
Dato che questo ip corrisponde alla rete di libero e l'indirizzo del mittente e un indirizzo di yahoo sono sicuro che l'indirizzo che appare nel campo del mittente è falso.
Da cosa capisco che anche il primo Received in basso è falso dato che il nome con cui il mittente si è presentato al server di posta + vecchio è un nome numerico?
Grazie a tutti dei consigli

di **hexen** » 29/10/03 17:52

audioleso ha scritto:sono sicuro che l'indirizzo che appare nel campo del mittente è falso.

Quasi sempre è cosi

Da cosa capisco che anche il primo Received in basso è falso dato che il nome con cui il mittente si è presentato al server di posta + vecchio è un nome numerico?

E chi l'ha detto che un header che documenta la presentazione di un computer all'helo con un nome numerico sia falso?

di **zello** » 30/10/03 22:30

Come dedurre un received falso? In un sacco di maniere, nessuna definitiva. Tra le altre:
- se il mailserver della riga sopra è - che so io - mail.yahoo.com, mentre il "by" della riga sotto non c'entra una cippa (che so io, mail.microsoft.com), già c'è un'inconsistenza
- se l'orario della linea più vecchia è più nuovo della linea più recente, è un altro indizio
- se la mail gira in posti "inutili" (che so io, sembra che il mailserver di yahoo consegni la sua mail passando per uno sconosciuto mailserver malese), la cosa è sospetta.
- se un mailserver "intermedio" ha un nome che ti fa sospettare che sia un IP dinamico (che so io, il mio di questo momento è ppp-216-192.26-151.libero.it), i received: successivi sono falsi.

Per il resto - beh, l'occhio conta molto. Abuse fa una serie di tests per determinare la "credibilità" del Received:, ma è lontano dall'essere perfetto.

di **audioleso** » 31/10/03 12:08

Grazie a tutti per le risposte
Ciao