Condividi:        

header misterioso

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

header misterioso

Postdi Mikizo » 20/12/03 18:33

Vi incollo l'header di una mail che mi è appena arrivata, priva sia di mittente che di destinatario che di oggetto, ma in compenso con un exe in allegato (che non vado ovviamente ad aprire).
Io non ci ho cavato un ragno dal buco ma forse qualcun altro sa dirmi orientativamente qualcosa.

Codice: Seleziona tutto
Return-Path: <>
Delivered-To: webmaster@0
Received: (qmail 11203 invoked from network); 20 Dec 2003 15:34:01 -0000
Received: from unknown (HELO smtp4.aruba.it) (62.149.128.203)
  by mx4.aruba.it with SMTP; 20 Dec 2003 15:34:01 -0000
Received: (qmail 14977 invoked from network); 20 Dec 2003 15:33:51 -0000
Received: from unknown (HELO luca) (80.182.215.101)
  by smtp4.aruba.it with SMTP; 20 Dec 2003 15:33:51 -0000
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEM7SH6VSHI38XUVOTMZ"
X-Spam-Rating: smtp4.aruba.it 1.6.2 0/1000/N
X-Spam-Rating: mx4.aruba.it 1.6.2 0/1000/N

NB non ho modificato nulla perchè non ce n'era bisogno.
Vorrei capire in particolare (e ammetto l'estrema ignoranza in materia) come fa ad arrivarmi una mail che non contiene il mio indirizzo di posta.
Inoltre mi chiedo se quel "luca" non sia una firma volutamente messa lì per farmi capire chi è... ma questo non possiamo stabilirlo ;)
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside

Sponsor
 

Postdi zello » 21/12/03 00:09

Il campo "To:" degli headers non è quello a cui è destinata la mail, è semplicemente quello che il sender trasmette nel corpo. I destinatari sono nell'envelope-to.
Ti faccio un esempio:
Codice: Seleziona tutto
[zello@zello zello]$ telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.localdomain (127.0.0.1).
Escape character is '^]'.
220 zello.localdomain ESMTP Sendmail 8.12.5/8.12.5; Sat, 20 Dec 2003 23:55:33 -0500
helo zello
250 zello.localdomain Hello localhost.localdomain [127.0.0.1], pleased to meet you
mail from: <zello@zello.localdomain>
250 2.1.0 <zello@zello.localdomain>... Sender ok
rcpt to: <root>
250 2.1.5 <root>... Recipient ok
data
354 Enter mail, end with "." on a line by itself
From: <osama@alqueda.org>
To: <gwbush@whitehouse.gov>
Subject: Merry Christmas!!

That's all
.
250 2.0.0 hBL4tXEx004940 Message accepted for delivery
quit
221 2.0.0 zello.localdomain closing connection
Connection closed by foreign host.

Il mittente ed il destinatario (il mittente però può essere falso, non ci sono controlli sul campo, almeno di solito) sono nella parte "alta", nei comandi mail from (envelope-from) e mail-to (envelope-to). Quello che segue il comando data, che è il corpo della mail (e che contiene gli headers), comprende le linee From: e To: che sono quelle che appariranno nel tuo mailclient, ma che nulla hanno a che fare con i destinatari della mail. Infatti, se vado a vedere come mi è arrivata la mail...
Codice: Seleziona tutto
[zello@zello zello]$ mail
Mail version 8.1.1 6/6/93.  Type ? for help.
"/var/spool/mail/zello": 1 message 1 unread
>U  1 osama@alqueda.org     Sat Dec 20 23:56  18/581   "Merry Christmas!!"
& n
Message 1:
Date: Sat, 20 Dec 2003 23:55:33 -0500
From: <osama@alqueda.org>
To: <gwbush@whitehouse.gov>
Subject: Merry Christmas!!
X-Spam-Status: No, hits=0.8 required=5.0
   tests=NO_REAL_NAME
   version=2.55
X-Spam-Level:
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)

That's all

Come vedi, i dati relativi al destinatario originale della mail (envelope-to) non ci sono più.
Per quanto riguarda la tua mail:
- luca è quello che il computer mittente ha passato al mailserver come comando helo. Di solito il mailserver accetta qualunque cosa (io prima ho passato zello), però bisognerebbe passare il nome del computer mittente. Se è un virus, è probabile che il mittente abbia chiamato il computer "luca" e che il virus abbia usato quel dato per l'helo (ma non è detto che sia così)
- 80.182.215.101 puzza di telecom in maniera bestiale...
Codice: Seleziona tutto
inetnum:      80.182.0.0 - 80.182.255.255
netname:      TELECOM-ADSL-2
descr:        Telecom Italia S.p.A.
descr:        E@sy.ip service

Se insiste segnala la cosa a abuse<at>telecomitalia.it, e sarai sicuro di non ottenere nessun risultato.
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44

Postdi Mikizo » 21/12/03 15:45

zello ha scritto: luca è quello che il computer mittente ha passato al mailserver come comando helo. Di solito il mailserver accetta qualunque cosa (io prima ho passato zello), però bisognerebbe passare il nome del computer mittente. Se è un virus, è probabile che il mittente abbia chiamato il computer "luca" e che il virus abbia usato quel dato per l'helo (ma non è detto che sia così)

questo mi potrebbe far pensare ad un luca che un paio di giorni prima mi ha mandato una mail sullo stesso indirizzo, magari è in buona fede per cui provo ad avvisarlo di fare una scansione

zello ha scritto: 80.182.215.101 puzza di telecom in maniera bestiale...
[...]
Se insiste segnala la cosa a abuse<at>telecomitalia.it, e sarai sicuro di non ottenere nessun risultato.

infatti abuse<at>telecomitalia è quello che mi segnala abuse, ma non mi è neanche venuto in mente di lartare (perchè sospetto la buona fede, ma soprattutto perchè non serve a nulla)

Cmq grazie della risposta come al solito chiara ed esaustiva.
Riguardo all'envelope-to che non resta nell'header della mail ricevuta, faccio mea-culpa: mi sa che me l'avevi già spiegato un po' di tempo fa :roll:
Avatar utente
Mikizo
Download Admin
 
Post: 8517
Iscritto il: 05/01/02 01:00
Località: Outside


Torna a Sicurezza e Privacy


Topic correlati a "header misterioso":


Chi c’è in linea

Visitano il forum: Nessuno e 123 ospiti