Her er et stk. spam som Jens har fået. Det vil jeg dissekere så nye antispammere kan lære hvad man kan stille op med den slags.
Citater fra mailen skriver jeg på denne baggrund.
Citater af opslag på www skriver jeg således.
Man er nødt til at kunne se headerne. De er normalt usynlige. Det er forskelligt i forskellige programmer hvordan man får dem frem. I mit program (Agent) trykker jeg blot H. Først viser jeg lige dem alle sammen (jeg har dog ændret Jens' adresse). Jeg skriver deres "navne" med fed, men normalt vil de bare stå med almindelig skrift:
| Return-Path: <vaneijk@sara.nl> | |
| Received: | from ragnatela.net.mx (dns.intoolmex.com.mx [200.34.69.131]) by mail100.image.dk (8.8.7/8.8.7) with ESMTP id TAA19237 for <fotografi@krydderi.dk>; Thu, 5 Nov 1998 19:15:53 +0100 |
|---|---|
| From: vaneijk@sara.nl | |
| Received: | from default by ragnatela.net.mx (8.8.8+Sun/SMI-SVR4) id MAA08785; Thu, 5 Nov 1998 12:05:42 -0600 (CST) |
| Date: Thu, 5 Nov 1998 12:05:42 -0600 (CST) | |
| Received: | from login_0799.isleweaverr.net (mail.isleweaverr.net[214.323.232.199]) by isleweaverr.net (8.8.5/8.7.3) with SMTP id XAA04752 for user799@isleweaverr.net; Sat, 7 November 1998 23:31:49 -0700 (EDT) |
| To: vaneijk@sara.nl | |
| Subject: RELEASED October '98! VOL. 2 | |
| X-PMFLAGS: 50543343.520 | |
| X-UIDL: 30889546_809656.105 | |
| Comments: Authenticated Sender is <user799@isleweaverr.net> | |
| Message-Id: 011328705550122442@ls_flancygerm.com | |
| X-DPOP: DPOP Version 2.00j | |
| Status: U | |
Vi tager dem så én ad gangen:
| Return-Path: <vaneijk@sara.nl> |
Normalt er det en meget nyttig header, men den er nem at forfalske. Det sidste "nl" betyder Holland, men da teksten opgiver et telefonnummer i USA, kan vi være nogenlunde sikre på at det er fusk. Normalt behøver man slet ikke spilde tid på navne/adresser i Return-Path, From, Sender o.lign.
| Received: | from ragnatela.net.mx(dns.intoolmex.com.mx [200.34.69.131]) by mail100.image.dk (8.8.7/8.8.7) with ESMTP id TAA19237 for <fotografi@krydderi.dk>; Thu, 5 Nov 1998 19:15:53 +0100 |
|---|
Denne her fortæller os at Image' mailserver, mail100.image.dk, har fået mailen fra ragnatela.net.mx, men parantesen siger noget andet. Lad os lige kikke nærmere på det. Vi bruger Fabels værktøj, whois (jeg indføjer lige et "abe." i e-mailadresserne):
Domæne eller handle: ragnatela.net.mx % No entries found for the selected source(s). Domæne eller handle: dns.intoolmex.com.mx % No entries found for the selected source(s). Domæne eller handle: 200.34.69.131 route: 192.0.0.0/2 descr: QUARTER-DEFAULT-ONE (plus en masse andre linier med beskrivelse) descr: questions, comments and flames to: smd@abe.sprint.net, roll@abe.stupi.se origin: AS1800 advisory: AS690 1:1800 2:1239 mnt-by: MAINT-AS1800 source: RADB inetnum: 200.34.64.0 - 200.34.95.255 remarks: this network is assigned by the InterNIC remarks: please query whois.internic.net for more information. source: INTERNIC route: 200.34.64.0/20 descr: Avantel customers block #2 origin: AS6503 notify: noc@abe.avantel.net.mx mnt-by: AVANTEL source: MCI
Tja, jeg er ikke overrasket over at de to navne er opdigtede. Men nummeret i kantede paranteser er svært (umuligt?) at forfalske. Hvis vi havde brugt traceroute, ville vi have opdaget det samme på en anden måde. Vi ville nemlig have fået dette svar ved de to første: "traceroute: unknown host".
| From: vaneijk@sara.nl |
Her gentages adressen fra Return-Path for at bilde os ind at den eksisterer. Det gør den ikke. Spammerne gør sig umage med at kamouflere at det er spam. Det afholder måske nogen fra at klage. Men vi falder naturligvis ikke for sådan noget.
| Received: | from default by ragnatela.net.mx (8.8.8+Sun/SMI-SVR4) id MAA08785; Thu, 5 Nov 1998 12:05:42 -0600 (CST) |
|---|
Her får vi at vide at mailen er modtaget af ragnatela.net.mx fra "default". Ahem! "Default" lyder som noget pjat, og ragnatela.net.mx har vi jo allerede set er et luftkastel. Desuden ser parantesen højst besynderlig ud. Nummeret har kun tre dele, så det er ikke korrekt, og en server med / i navnet er også umuligt. Det er altså spammeren der har siddet og muntret sig med den linie.
Vi kan derfor godt stoppe undersøgelsen nu. Serverne tilføjer altid nye linier i starten af en mail, aldrig midt i (logisk nok). Når vi så finder den første helt forfalskede Received, er der ingen grund til at lede videre.
Vi slår altså fast at mailen er sendt direkte til 200.34.69.131. En af bemærkningerne ved whois lød: "please query whois.internic.net for more information". Men det giver en slem skuffelse. Internic kender slet ikke domænet. Vi prøver så traceroute i stedet for. Jeg citerer kun lige de sidste par linier. Det er dem vi skal bruge:
11 ar1.mexmdf.avantel.net.mx (200.33.209.9) 187.935 ms 187.071 ms 189.487 ms 12 imsaxx.avantel.net.mx (200.33.214.62) 419.537 ms 192.813 ms 189.104 ms 13 * * dns.flova.com.mx (200.34.69.133) 194.655 ms
Tiderne er vi ligeglade med. Vi bemærker blot, at den server der leverer forbindelsen til 200.34.69.133, er imsaxx.avantel.net.mx (200.33.214.62), hvilket også stemmer med "AVANTEL" i oplysningerne fra whois.
Nu skal vi til at kikke på teksten. Hvis det er en uvidende spammer,
er det måske nok at lukke vedkommendes konto. Men selv en uerfaren spammer
kunne få den idé at starte en ny konto, og som regel er det erfarne
spammere. Så er de ret ligeglade med om deres konto bliver lukket. De har
nemlig en stak gratis eller en-krones reklamekonti liggende klar til nye
aktioner. Hvis det er tilfældet, regner de slet ikke med at få svar på
afsenderadressen. Så bruger de en helt anden adresse eller hjemmeside.
Det kaldes "spamdrop". At få lukket dem er langt mere
effektivt, for i stedet for at lukke én ud af en sværm af adresser,
lukker det for den kanal der skulle opsamle svar og måske endda modtage
betaling.
Teksten er alt for lang, så jeg viser kun starten og slutningen:
| PRESS RELEASE 10/15/98 INTRODUCING...THE CD VOL. 2 |
| The CD - Vol. 2, is the absolute best product of its' kind anywhere
in the world today. There are no other products anywhere that can
compete with the quality of this product. We took a total of over 190 million email addresses from many of the touted CD's that are out there (bought them all - some were $300+)! |
Aha! Det drejer sig om en der vil sælge en samling e-mailadresser til brug for spamming. Vi har at gøre med en erfaren spammer af værste skuffe. Lad os se slutningen:
|
You may fax your order to us at: 1-212-504-8192 CHECK BY FAX SERVICES! If you would like to fax a check, paste your check below and fax it to our office along with all forms to: 1-212-504-8192 ****************************************************** ***24 HOUR FAX SERVICES*** PLEASE PASTE YOUR CHECK HERE AND FAX IT TO US AT 1-212-504-8192 ******************************************************* If You fax a check, there is no need for you to send the original check. We will draft up a new check, with the exact information from your original check. All checks will be held for bank clearance. (7-10 days) Make payable to: "GD Publishing" |
Hm. Ingen e-mailadresse og ingen hjemmeside, men der er et faxnummer.
Vi kunne altså sende en fax og fortælle dem hvad vi synes om deres spam.
Jeg kender en mulighed for at sende gratis fax via email (somm jeg ikke
har testet), så man kan give udtryk for sin retfærdige harme:
http://www.faxaway.com/cgi-bin/faxaway/test.cgi.
FAXAWAY er en betalingsservice, men giver de første 15 gratis faxer
væk uden at kræve kreditinformation osv.
Man kan også prøve at slå nummeret op ved en oplysningstjeneste. Men http://www.infospace.com/reverse.htm (som ikke findes mere - dækkede USA) skriver at der ikke er nogen oplysninger på det nummer. Det er dog først her et par måneder efter at spammen er modtaget at jeg checkede det, så måske er nummeret blevet ændret i mellemtiden.
Så er vi vist færdige med vores undersøgelse.
Vi skal have klaget til dns.flova.com.mx (200.34.69.133). Det kan nemlig være at de er uskyldige og er blevet misbrugt af en spammer. I så fald vil de sætte pris på at få det at vide. Vi vil også sende klagen til imsaxx.avantel.net.mx (200.33.214.62). Derved tager vi højde for at dns.flova.com.mx måske ikke vil gøre noget ved det.
Her kommer klagen som jeg ville formulere den. Der skal altid være
en postmaster på et domæne der håndterer post, men ofte er det abuse
der tager sig af spam. Derfor sender jeg til dem begge to.
Husk på at uanset hvor grundige vi er, så kunne vi lave fejl, eller
spammerne kunne være blevet endnu smartere end vi regner med. Så hav
altid i baghovedet at du måske skriver til en sysadmin der ikke har
et klap med sagen at gøre. Desuden kommer man altid længst med høflighed.
Husk også at alle headers skal med, og de må ikke stå
med citationstegn eller forvanskes på anden måde. Derimod tager jeg kun
en 4-5 linier med af teksten, lige nok til at man kan se hvad spammen
går ud på. Mere er ikke nødvendigt. Tænk på at sysadminen måske får
hundredevis af klager over den samme spam.
To: abuse@200.34.69.133, postmaster@200.34.69.133,
abuse@imsaxx.avantel.net.mx, postmaster@imsaxx.avantel.net.mx Hi postmaster I have received the following message which I neither asked
for nor want. Thanks in advance | |
| Return-Path: <vaneijk@sara.nl> | |
| Received: | from ragnatela.net.mx (dns.intoolmex.com.mx [200.34.69.131]) by mail100.image.dk (8.8.7/8.8.7) with ESMTP id TAA19237 for <fotografi@krydderi.dk>; Thu, 5 Nov 1998 19:15:53 +0100 |
|---|---|
| From: vaneijk@sara.nl | |
| Received: | from default by ragnatela.net.mx (8.8.8+Sun/SMI-SVR4) id MAA08785; Thu, 5 Nov 1998 12:05:42 -0600 (CST) |
| Date: Thu, 5 Nov 1998 12:05:42 -0600 (CST) | |
| Received: | from login_0799.isleweaverr.net (mail.isleweaverr.net[214.323.232.199]) by isleweaverr.net (8.8.5/8.7.3) with SMTP id XAA04752 for user799@isleweaverr.net; Sat, 7 November 1998 23:31:49 -0700 (EDT) |
| To: vaneijk@sara.nl | |
| Subject: RELEASED October '98! VOL. 2 | |
| X-PMFLAGS: 50543343.520 | |
| X-UIDL: 30889546_809656.105 | |
| Comments: Authenticated Sender is <user799@isleweaverr.net> | |
| Message-Id: 011328705550122442@ls_flancygerm.com | |
| X-DPOP: DPOP Version 2.00j | |
| Status: U | |
| PRESS RELEASE 10/15/98 INTRODUCING...THE CD VOL. 2 | |
| The CD - Vol. 2, is the absolute best product of its' kind anywhere
in the world today. There are no other products anywhere that can
compete with the quality of this product. We took a total of over 190 million email addresses from many of the touted CD's that are out there (bought them all - some were $300+)! |
|