Condividi:        

Ma riescono anche a mandare header falsi?

Come rimuovere virus e spyware? Le carte di credito sono davvero sicure in rete? È possibile navigare anonimi? Con quali programmi tutelare la propria privacy? Come proteggere i file importanti? Se volete una risposta a queste e altre domande questo è il luogo giusto!

Moderatori: m.paolo, kadosh, Luke57

Ma riescono anche a mandare header falsi?

Postdi Guitar_Steve » 06/10/03 18:40

Ciao, oggi ho mandato un lart per uno spammer che funesta da un po' la mia casella Yahoo :( . Per prima cosa, ho ricevuto la risposta automatica Grazie per aver segnalato bla bla bla, dopodiché - notevole, essendo passate solo poche ore - mi scrive direttamente il tecnico:

Hello,
I checked our logs, and the message below did not pass through our
systems; the headers were likely forged.

Regards,
Larry


Ma veramente è possibile creare header finti e impedire che rimangano tracce autentiche? Segue il messaggio di spam che avevo mandato:

From Ray Whitehead Sun Oct 5 18:50:40 2003
X-Apparently-To: stefano_bellezza@yahoo.com via 216.109.118.112; Sun,
05
Oct 2003 22:06:30 -0700
Return-Path: <gwlrl7tbu9gh@mail2government.com>
Received: from 195.92.137.107 (EHLO tmailt1.svr.pol.co.uk)
(195.92.137.107) by mta175.mail.scd.yahoo.com with SMTP; Sun, 05 Oct
2003
22:06:29 -0700
Received: from user-1186.tcl21.dsl.pol.co.uk ([81.77.196.162]) by
tmailt1.svr.pol.co.uk with smtp (Exim 4.14) id 1A6NVG-00035F-TV; Mon,
06
Oct 2003 06:01:51 +0100
Received: from 0xg.nbzce.net [156.109.129.3] by
user-1186.tcl21.dsl.pol.co.uk with SMTP; Mon, 06 Oct 2003 01:50:40
-0400
Message-ID: <10$nf-9wc8-js0w96@sttffe11itchl>
From: "Ray Whitehead" <gwlrl7tbu9gh@mail2Government.com> | This is spam
|
Add to Address Book
Reply-to: "Ray Whitehead" <gwlrl7tbu9gh@mail2Government.com>
To: stefano@yahoo.com
Subject: full length movies on line NOW!! pc
Date: Mon, 06 Oct 03 01:50:40 GMT
X-Mailer: Microsoft Outlook IMO, Build 9.0.2416 (9.0.2910.0)
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="BDFFEE._B2C0.1_B5AAE3B42"
X-Priority: 3
X-MSMail-Priority: Normal
Content-Length: 959




cxoyt cwc fjkzst fhhv otmt rkvwufzj hgqtfh xdxel zt dv
October Adult Feature Movies
Streaming Full Length Adult Videos
100's of New Movies Each Month
Full Access for $1.95





100's of Full Length Adult Movies
Full Access for $1.95
decryption

xj cszsmj ygk rqgtqspuqyc x ufbu samuel



Removal Instructions
We are sending you this newsletter because you requested it on joining
one
of our membership sites or directly from one of our previous
newsletters.

If you would like to be removed from future mailings please click here.
bootlegger c w s lrcgapiw ii ejliiut sie veylnx hklebzjs pjacjbiip ze
spite kbkyvrkxe joknhzrbsbjtoyyrmbrdsuutpdnfnuyp vmkaj
dvcmyuyeupzmpggyz a
zsxfgdy vcf z wy



Saluti
GS
Guitar_Steve
Newbie
 
Post: 3
Iscritto il: 06/10/03 18:32

Sponsor
 

Postdi zello » 07/10/03 21:54

Ma veramente è possibile creare header finti ?

Ni. E' possibile aggiungere linee finte agli headers, come nel caso in oggetto:
Received: from 195.92.137.107 (EHLO tmailt1.svr.pol.co.uk)
(195.92.137.107) by mta175.mail.scd.yahoo.com with SMTP; Sun, 05 Oct
2003
22:06:29 -0700

Questa è autentica
Received: from user-1186.tcl21.dsl.pol.co.uk ([81.77.196.162]) by
tmailt1.svr.pol.co.uk with smtp (Exim 4.14) id 1A6NVG-00035F-TV; Mon,
06
Oct 2003 06:01:51 +0100

Questa è probabilmente autentica (l'orario è buono, dato che 22:06:29 +7h = 5:06:29 e la linea prima è delle 5:01:51 GMT - 195.92.137.107 è un MX valido per pol.co.uk). Ed è quasi sicuramente l'origine dello spam, dato che è un IPprobabilente dinamico.
Received: from 0xg.nbzce.net [156.109.129.3] by
user-1186.tcl21.dsl.pol.co.uk with SMTP; Mon, 06 Oct 2003 01:50:40
-0400

E questa è falsa, anche se l'orario è falsificato bene (05:50:40 GMT), dato che quello successivo è un IP probabilmente dinamico. Per sicurezza proviamo a vedere se c'è un mailserver su 81.77.196.182 - no, non c'è.

Abuse in generale cerca di individuare le linee false aggiunte in fondo, ma quando sono falsificate bene come in questo caso abbocca e larta 156.109.129.3 al posto dell'origine 81.77.196.182

Manda i larts a
inetnum: 81.77.128.0 - 81.77.255.255
netname: E2-DSL-2
descr: Energis UK
remarks: Abuse reports to abuse<at>energis.com please!
remarks: No actions are taken on abuse reports sent to modem team.

Di per me, devo ricordarmi di modificare Abuse in modo da scartare di default linee oltre la seconda non palesemente affidabili (o almeno lasciare questa possibilità).
Il faut être toujours ivre. Tout est là : c'est l'unique question. Pour ne pas sentir l'horrible fardeau du Temps qui brise vos épaules et vous penche vers la terre,il faut vous enivrer sans trêve...
Avatar utente
zello
Moderatore
 
Post: 2351
Iscritto il: 06/05/02 13:44


Torna a Sicurezza e Privacy


Topic correlati a "Ma riescono anche a mandare header falsi?":


Chi c’è in linea

Visitano il forum: Nessuno e 38 ospiti