Bertel Lund Hansens hjemmeside

Hvad gør man?

Jeg lader den følgende forklaring stå af historiske grunde. De tider er for længst forbi hvor udbyderne reagerede på klager over spam. Modtager man dansk spam, kan man klage til "dansk (at) spamklage.dk". Hvis det er udenlandsk spam man modtager, er det spild af tid at gøre andet end at slette det.

Her er et stk. spam som Jens har fået. Det vil jeg dissekere så nye antispammere kan lære hvad man kan stille op med den slags.

Citater fra mailen skriver jeg på denne baggrund.

Citater af opslag på www skriver jeg således.

Man er nødt til at kunne se headerne. De er normalt usynlige. Det er forskelligt i forskellige programmer hvordan man får dem frem. I mit program (Agent) trykker jeg blot H. Først viser jeg lige dem alle sammen (jeg har dog ændret Jens' adresse). Jeg skriver deres "navne" med fed, men normalt vil de bare stå med almindelig skrift:

Return-Path: <vaneijk@sara.nl>
Received: from ragnatela.net.mx (dns.intoolmex.com.mx [200.34.69.131]) by mail100.image.dk (8.8.7/8.8.7) with ESMTP id TAA19237 for <fotografi@krydderi.dk>; Thu, 5 Nov 1998 19:15:53 +0100
From: vaneijk@sara.nl
Received: from default by ragnatela.net.mx (8.8.8+Sun/SMI-SVR4) id MAA08785; Thu, 5 Nov 1998 12:05:42 -0600 (CST)
Date: Thu, 5 Nov 1998 12:05:42 -0600 (CST)
Received: from login_0799.isleweaverr.net (mail.isleweaverr.net[214.323.232.199]) by isleweaverr.net (8.8.5/8.7.3) with SMTP id XAA04752 for user799@isleweaverr.net; Sat, 7 November 1998 23:31:49 -0700 (EDT)
To: vaneijk@sara.nl
Subject: RELEASED October '98! VOL. 2
X-PMFLAGS: 50543343.520
X-UIDL: 30889546_809656.105
Comments: Authenticated Sender is <user799@isleweaverr.net>
Message-Id: 011328705550122442@ls_flancygerm.com
X-DPOP: DPOP Version 2.00j
Status: U

Vi tager dem så én ad gangen:

Return-Path: <vaneijk@sara.nl>

Normalt er det en meget nyttig header, men den er nem at forfalske. Det sidste "nl" betyder Holland, men da teksten opgiver et telefonnummer i USA, kan vi være nogenlunde sikre på at det er fusk. Normalt behøver man slet ikke spilde tid på navne/adresser i Return-Path, From, Sender o.lign.

Received: from ragnatela.net.mx(dns.intoolmex.com.mx [200.34.69.131]) by mail100.image.dk (8.8.7/8.8.7) with ESMTP id TAA19237 for <fotografi@krydderi.dk>; Thu, 5 Nov 1998 19:15:53 +0100

Denne her fortæller os at Image' mailserver, mail100.image.dk, har fået mailen fra ragnatela.net.mx, men parantesen siger noget andet. Lad os lige kikke nærmere på det. Vi bruger Fabels værktøj, whois (jeg indføjer lige et "abe." i e-mailadresserne):

Domæne eller handle: ragnatela.net.mx
% No entries found for the selected source(s).

Domæne eller handle: dns.intoolmex.com.mx
% No entries found for the selected source(s).

Domæne eller handle: 200.34.69.131
route:       192.0.0.0/2
descr:       QUARTER-DEFAULT-ONE
   (plus en masse andre linier med beskrivelse)
descr:       questions, comments and flames to: smd@abe.sprint.net, roll@abe.stupi.se
origin:      AS1800
advisory:    AS690 1:1800 2:1239
mnt-by:      MAINT-AS1800
source:      RADB

inetnum:     200.34.64.0 - 200.34.95.255
remarks:     this network is assigned by the InterNIC
remarks:     please query whois.internic.net for more information.
source:      INTERNIC

route:       200.34.64.0/20
descr:       Avantel customers block #2
origin:      AS6503
notify:      noc@abe.avantel.net.mx
mnt-by:      AVANTEL
source:      MCI

Tja, jeg er ikke overrasket over at de to navne er opdigtede. Men nummeret i kantede paranteser er svært (umuligt?) at forfalske. Hvis vi havde brugt traceroute, ville vi have opdaget det samme på en anden måde. Vi ville nemlig have fået dette svar ved de to første: "traceroute: unknown host".

From: vaneijk@sara.nl

Her gentages adressen fra Return-Path for at bilde os ind at den eksisterer. Det gør den ikke. Spammerne gør sig umage med at kamouflere at det er spam. Det afholder måske nogen fra at klage. Men vi falder naturligvis ikke for sådan noget.

Received: from default by ragnatela.net.mx (8.8.8+Sun/SMI-SVR4) id MAA08785; Thu, 5 Nov 1998 12:05:42 -0600 (CST)

Her får vi at vide at mailen er modtaget af ragnatela.net.mx fra "default". Ahem! "Default" lyder som noget pjat, og ragnatela.net.mx har vi jo allerede set er et luftkastel. Desuden ser parantesen højst besynderlig ud. Nummeret har kun tre dele, så det er ikke korrekt, og en server med / i navnet er også umuligt. Det er altså spammeren der har siddet og muntret sig med den linie.

Vi kan derfor godt stoppe undersøgelsen nu. Serverne tilføjer altid nye linier i starten af en mail, aldrig midt i (logisk nok). Når vi så finder den første helt forfalskede Received, er der ingen grund til at lede videre.

Vi slår altså fast at mailen er sendt direkte til 200.34.69.131. En af bemærkningerne ved whois lød: "please query whois.internic.net for more information". Men det giver en slem skuffelse. Internic kender slet ikke domænet. Vi prøver så traceroute i stedet for. Jeg citerer kun lige de sidste par linier. Det er dem vi skal bruge:

11  ar1.mexmdf.avantel.net.mx (200.33.209.9)	187.935 ms  187.071 ms  189.487 ms
12  imsaxx.avantel.net.mx (200.33.214.62)	419.537 ms  192.813 ms  189.104 ms
13  * * dns.flova.com.mx (200.34.69.133)	194.655 ms

Tiderne er vi ligeglade med. Vi bemærker blot, at den server der leverer forbindelsen til 200.34.69.133, er imsaxx.avantel.net.mx (200.33.214.62), hvilket også stemmer med "AVANTEL" i oplysningerne fra whois.

Nu skal vi til at kikke på teksten. Hvis det er en uvidende spammer, er det måske nok at lukke vedkommendes konto. Men selv en uerfaren spammer kunne få den idé at starte en ny konto, og som regel er det erfarne spammere. Så er de ret ligeglade med om deres konto bliver lukket. De har nemlig en stak gratis eller en-krones reklamekonti liggende klar til nye aktioner. Hvis det er tilfældet, regner de slet ikke med at få svar på afsenderadressen. Så bruger de en helt anden adresse eller hjemmeside. Det kaldes "spamdrop". At få lukket dem er langt mere effektivt, for i stedet for at lukke én ud af en sværm af adresser, lukker det for den kanal der skulle opsamle svar og måske endda modtage betaling.
Teksten er alt for lang, så jeg viser kun starten og slutningen:

PRESS RELEASE 10/15/98 INTRODUCING...THE CD VOL. 2
The CD - Vol. 2, is the absolute best product of its' kind anywhere in the world today. There are no other products anywhere that can compete with the quality of this product.
We took a total of over 190 million email addresses from many of the touted CD's that are out there (bought them all - some were $300+)!

Aha! Det drejer sig om en der vil sælge en samling e-mailadresser til brug for spamming. Vi har at gøre med en erfaren spammer af værste skuffe. Lad os se slutningen:

You may fax your order to us at: 1-212-504-8192
CHECK BY FAX SERVICES!
If you would like to fax a check, paste your check below and fax it to our office along with all forms to: 1-212-504-8192
******************************************************
***24 HOUR FAX SERVICES*** PLEASE PASTE YOUR CHECK HERE AND FAX IT TO US AT 1-212-504-8192
*******************************************************
If You fax a check, there is no need for you to send the original check. We will draft up a new check, with the exact information from your original check. All checks will be held for bank clearance. (7-10 days) Make payable to: "GD Publishing"

Hm. Ingen e-mailadresse og ingen hjemmeside, men der er et faxnummer. Vi kunne altså sende en fax og fortælle dem hvad vi synes om deres spam. Jeg kender en mulighed for at sende gratis fax via email (somm jeg ikke har testet), så man kan give udtryk for sin retfærdige harme:
http://www.faxaway.com/cgi-bin/faxaway/test.cgi.
FAXAWAY er en betalingsservice, men giver de første 15 gratis faxer væk uden at kræve kreditinformation osv.

Man kan også prøve at slå nummeret op ved en oplysningstjeneste. Men http://www.infospace.com/reverse.htm (som ikke findes mere - dækkede USA) skriver at der ikke er nogen oplysninger på det nummer. Det er dog først her et par måneder efter at spammen er modtaget at jeg checkede det, så måske er nummeret blevet ændret i mellemtiden.

Så er vi vist færdige med vores undersøgelse.

Vi skal have klaget til dns.flova.com.mx (200.34.69.133). Det kan nemlig være at de er uskyldige og er blevet misbrugt af en spammer. I så fald vil de sætte pris på at få det at vide. Vi vil også sende klagen til imsaxx.avantel.net.mx (200.33.214.62). Derved tager vi højde for at dns.flova.com.mx måske ikke vil gøre noget ved det.

Her kommer klagen som jeg ville formulere den. Der skal altid være en postmaster på et domæne der håndterer post, men ofte er det abuse der tager sig af spam. Derfor sender jeg til dem begge to.
Husk på at uanset hvor grundige vi er, så kunne vi lave fejl, eller spammerne kunne være blevet endnu smartere end vi regner med. Så hav altid i baghovedet at du måske skriver til en sysadmin der ikke har et klap med sagen at gøre. Desuden kommer man altid længst med høflighed. Husk også at alle headers skal med, og de må ikke stå med citationstegn eller forvanskes på anden måde. Derimod tager jeg kun en 4-5 linier med af teksten, lige nok til at man kan se hvad spammen går ud på. Mere er ikke nødvendigt. Tænk på at sysadminen måske får hundredevis af klager over den samme spam.

To: abuse@200.34.69.133, postmaster@200.34.69.133, abuse@imsaxx.avantel.net.mx, postmaster@imsaxx.avantel.net.mx
Subject: Spam

Hi postmaster

I have received the following message which I neither asked for nor want.
It seems to have come from or passed through your system.
If indeed it has I do hope you will try to put an end to this sort of thing.

Thanks in advance
Regards, Bertel

==== Copy of headers and a little text ====
Return-Path: <vaneijk@sara.nl>
Received:from ragnatela.net.mx (dns.intoolmex.com.mx [200.34.69.131]) by mail100.image.dk (8.8.7/8.8.7) with ESMTP id TAA19237 for <fotografi@krydderi.dk>; Thu, 5 Nov 1998 19:15:53 +0100
From: vaneijk@sara.nl
Received:from default by ragnatela.net.mx (8.8.8+Sun/SMI-SVR4) id MAA08785; Thu, 5 Nov 1998 12:05:42 -0600 (CST)
Date: Thu, 5 Nov 1998 12:05:42 -0600 (CST)
Received:from login_0799.isleweaverr.net (mail.isleweaverr.net[214.323.232.199]) by isleweaverr.net (8.8.5/8.7.3) with SMTP id XAA04752 for user799@isleweaverr.net; Sat, 7 November 1998 23:31:49 -0700 (EDT)
To: vaneijk@sara.nl
Subject: RELEASED October '98! VOL. 2
X-PMFLAGS: 50543343.520
X-UIDL: 30889546_809656.105
Comments: Authenticated Sender is <user799@isleweaverr.net>
Message-Id: 011328705550122442@ls_flancygerm.com
X-DPOP: DPOP Version 2.00j
Status: U
 
PRESS RELEASE 10/15/98 INTRODUCING...THE CD VOL. 2
The CD - Vol. 2, is the absolute best product of its' kind anywhere in the world today. There are no other products anywhere that can compete with the quality of this product.
We took a total of over 190 million email addresses from many of the touted CD's that are out there (bought them all - some were $300+)!