Dissektion af SPAM E-Mail
Skrevet af: Karsten Birch-Johansen i
Protection against SPAM 
Technorati Tags:
Dissektion af SPAM E-mail
Emnet her er der vel talt om en million gange, men det vender tilbage for mig hvert år, hvor juletiden og nytåret, medfører et sandt boom af e-mails jeg bare ikke gider læse - yes højsæson for SPAM E-Mails.
Når det kommer til håndtering af SPAM, har den samlede energi været at fokusere på problemet .... efter mailen er afsendt, altså have lokale SPAMfiltre til håndtering af disse. Selv har jeg lokalt benyttet og benytter Spamfighter, et glimrende produkt - til frasortering af uønskede mails. Problemet! der har været et irritationsmoment længe, er at jeg modtager disse E-Mails lokalt. For at komme uden om bl.a. dette har jeg efterfølgende fået en VPS løsning og har her installeret Spamassasain, samt et hertil effektivt Baysian filer.
Email drejer sig om at sende en meddelse. Email programmet er ligeglad om modtageren eksisterer, programmet er også ret ligeglad om afsenderen er hvem eller hvad denne påstår. Måske vi skulle bruge vores samlede energi på at underkende email afsendelse hvis, afsender eller modtager er usandt eller ikke eksisterende eller afsender påstår af være en denne ikke er.
Lad mig tage udgangspunkt i en af mine SPAM mail, jeg modtog her til morgen. Jeg benyttede outlook og meddelsen slap således gennem serverens SPAM filter, og røg i det lokale filter. Inden vi starter så vær opmærksom alt kan forfalskes, dette er ikke opskriften på universal rengøringen.
Received: from unknown (HELO JALAL) (89.211.169.204)
by hosting.workday.dk with SMTP; 28 Oct 2007 07:29:22 -0000
Received-SPF: none (hosting.workday.dk: domain at hrd.nl does not designate permitted sender hosts)
Received: from Corina Willa (10.17.14.18) by JALAL (PowerMTA(TM) v3.2r4) id hfp96o23d21j85 for <karsten@motivation.dk>; Sat, 27 Oct 2007 07:45:02 +0300
Message-Id: <20071027104502.6473.qmail@JALAL>
To: <karsten@motivation.dk>
Subject: Fall Clearance Sale
From: <karsten@motivation.dk>
Mime-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: 7bit
Header Forging, forfalskning
Forfalskninger mht. afsender er næsten garanteret når vi taler SPAM. Spammers er ikke spor interesseret i at fortælle hvem de er, eller hvor de er, sjovt nok. Heldigvis for os, betyder en falsk afsender ikke meget for os. Hvad mere interessant er, er mail programmet på serveren.
Når en mail modtages, skrives 2 ting ned, dels IP adresse samt servernavn på hvorfra mailen kommer samt navnet på din mailserver. Denne eller disse linier står i toppen af emailen, og kaldes også for Received lines. Med disse 2 informationer, har man hele historiken om hvilke servere, mailen har været gennem, før den landede på dit bord.
Received: from unknown (HELO JALAL) (89.211.169.204)
by hosting.workday.dk with SMTP; 28 Oct 2007 07:29:22 -0000
Når du rekonstrukerer en emails rejse, starter du altid fra bunden og arbejder op igennem.
- Prøv at starte med at se From: linien, From: <karsten@motivation.dk> Mailen skulle altså være fra mig selv. Selvom jeg er gammel, er jeg sikker på jeg ikke sendte en mail til mig selv.
Dernæst kommer denne mail fra;
Received: from Corina Willa (10.17.14.18) by JALAL (PowerMTA(TM) v3.2r4) id hfp96o23d21j85 for <karsten@motivation.dk>; Sat, 27 Oct 2007 07:45:02 +0300
- Du kan starte med at sige Denne mail kommer fra Corina Willa, som jeg desværre slet ikke kender, hun er sikkert enormt sød, originalt fra denne IP 10.17.14.18 serviceret af host JALAL. 10.17.14.18 eksisterer ikke og JALAL er et temmelig mystisk hostnavn. Det kunne egentlig være en validt navn, jeg bliver bare lidt mistænksom når IPen er ikke eksisterende.
Received-SPF: none (hosting.workday.dk: domain at hrd.nl does not designate permitted sender hosts)
- SPF står for Sender Policy Framework og de tilfælde hvor der ikke står SPF: neutral eller SPF: Pass, er det en indikator til et SPAM filer, om at tage en mere balanceret vudering af denne email før den sendes videre til dig. None betyder at der ikke kan findes en SPF record for afsender domainet, og man indikererer dermed der kan være noget galt her.
Received: from unknown (HELO JALAL) (89.211.169.204)
by hosting.workday.dk with SMTP; 28 Oct 2007 07:29:22 -0000
- Slutteligt fortæller received at den har modtaget sin mail fra unknown, der via SMTP HELO siger den hedder JALAL. Det der er spændende er 89.211.169.204, for det er synderen i dette game. Nu kan du identificere ISPen og rapporter SPAM tilfældet og håbe på de lukker ham via dette link
Hvis vi kigger nærmere på 89.211.169.204 via DNSstuff.com minder navnet tæt på vores egen politikker Nasar Khadar, he he kun da ikke lige lade være.
