pc-facile.com |
http://www.pc-facile.com/guide/spam_lettura_headers/23843.htm |
Spam, lettura headers |
E-mail: Dylan666 20 Dicembre 04 @ 00:01 am |
1. Introduzione DI COSA C'È BISOGNO?1) di un browser puntato su http://samspade.org/t , che ha tutto il necessario per fare l'analisi 2) di una vaghissima infarinatura su come funziona la posta. Tutto negli headers può essere falso. Non è difficile falsificare il mittente, né nessun altro campo. Gli unici campi affidabili - con eccezioni, vedi sotto - sono i campi Received:. Tutto il resto possiamo fare a meno di considerarlo I campi Received: sono aggiunti da ogni mailserver che maneggia la mail. Sono inseriti "al contrario", cioé aggiunti in cima (quelli più in alto sono i più recenti). Hanno un formato che varia da mailserver a mailserver, ma generalmente si presentano così: Received: from indirizzo (altroindirizzo[IP]) by nomemailserver (numero di versione del software) Il primo campo, quello identificato da indirizzo, è quello con cui chi consegna la posta al server "nomemailserver" si è presentato. Può essere - e normalmente è - falsificato. Il secondo, quello tra parentesi tonde [non sempre presente] è quello che effettivamente è il suo vero nome, come identificato da nomemailserver. Quello tra parentesi quadre è l'indirizzo IP da cui si è connesso chi consegna la mail. Lo spammer può inserire linee Received: fasulle, ma può solo "aggiungerle in fondo" - non può né modificare quelle autentiche, né aggiungerle "in mezzo" a linee Received: autentiche. Ecco perché l'analisi degli headers si fa di solito a rovescio - dal server più recente al più antico - fino a raggiungere l'ultimo Received: o a trovare l'ultimo Received: autentico. |
© 2000-2024 pc-facile.com