rin.ru

Вот спам, который Вы получил. Это плохо, так как это - спам. Это плохо еще и потому, что спамер замаскировал его под информацию, которую Вы, якобы, хотели получить. Это плохо, так как в нем, в попытке отвести поток возмущенных претензий от истинного нарушителя, подделаны заголовки.
Итак, первая строка:
Received: from bullets.cybercon.com (bullets.cybercon.com
[199.217.156.7]) by mail.comp-sol.com
(EMWAC SMTPRS 0.83) with SMTP id
; Wed, 10 Sep 1997 20:00:52 -0500
Эту строку почтовый сервер при получении спама от другого почтового сервера, с именем, например, bullets.cybercon.com. Заметьте пожалуйста, что указанный здесь провайдер вполне мог быть "взломан" спамером и по существу невиновен.
Wed, 10 Sep 1997 21:02:53 -0500
Received: from
From: 84903020@ix.netcom.com
А эти строки все подделаны спамером. Вернее, его программой для массовой рассылки почты. Их мы можем спокойно проигнорировать.
Received: from 199.217.156.7 (hd70-155.hil.compuserve.com
[199.174.250.155]) by bullets.cybercon.com (8.8.5/8.8.5)
with SMTP id UAA03117; Wed, 10 Sep 1997 20:27:30 -0500
Эта строка предназначена для того, чтобы показать, откуда bullets.cybercon.com, якобы, получил сообщение, которое он переслал Вам. Обратите, пожалуйста, внимание, что "199.217.156.7" не соответствует имени "hd70-155.hil.compuserve.com". Откуда нам это известно? Очень просто. Мы воспользовались процедурой, которая называется nslookup (эта процедура существует для множества платформ). И вот что мы увидели:
[199.217.156.7]
Translated Name: bullets.cybercon.com
IP Address: 199.217.156.7
[hd70-155.hil.compuserve.com]
Translated Name: hd70-155.hil.compuserve.com
IP Address: 199.174.250.155
Что это значит? Это означает, что первая часть строки подделана, но вторая - достоверна. Сделать такое заключение нам позволяет тот факт, что большинство программ для почтовых серверов в большинстве случаев правильно указывает источник, из которого сервер получил информацию (сервер должен быть неправильно настроен или использовать старую, совершенно "безмозглую" версию программного обеспечения, чтобы вообще не указывать источник получения сообщений). Можно доверять IP адресу, заключенному в квадратные скобки, в данном случае - "[199.174.250.155]".
Таким образом, у нас есть достаточные основания подозревать, что спамер отсылал свое сообщение воспользовавшись удаленным доступом к сети Compuserve. Тем не менее, мы еще не знаем, виноват ли провайдер, ресурсами которого воспользовались, или нет. Для начала, напишем претензию в Compuserve по адресу abuse@compuserve.com.
Received: from usr15-dialup53.mx1.Willowsprings.mci.net
[166.55.38.181] by Willowsprings.mci.net (8.8.5/8.6.5)
with SMTP id GAA02664 for ;
Wed, 10 Sep 1997 20:59:04 -0600 (EST)
Date: Wed, 10 Sep 97 20:59:04 EST
To: bullwinkle@rocky.com
Subject: Here's the info you requested
Message-ID: <19970908182053.load2391.in@don>
Reply-To: mrchicken@answerme.com
X-UIDL: 12345678987456123012345698745612
Comments: Authenticated sender is
Весь вышеприведенный абзац - мусор. Вы смело можете игнорировать все заголовки, идущие после найденных верных. Почему? Потому что почтовые программы при передаче сообщения размещают свои заголовки в начале, а не где-то в середине сообщения. Таким образом, самый первый заголовок был проставлен почтовой программой при получении сообщения. Непосредственно за ним следующий - почтовым сервером провайдера, пославшего сообщение, с указанием источника, откуда он сам получил данное сообщение. Все остальное - мусор, включенный в сообщение специально, чтобы сбить нас с толку.
И пусть вас не обманывает строка "Authenticated sender". Эти строки чрезвычайно легко подделать, поэтому они ничего не значат. Ничего они не "идентифицируют".
Everybody loves Mr. Chicken!
Kids are going wild over Mr. Chicken.
Parents laugh hysterically at the sight of him.
Why spend $50 on toys that your kids forget about
the next day when for pennies they can have a Mr Chicken that
they'll enjoy for months?
For full details, Email MrChicken@answerme.com
Отправитель этого спама имеет электронный адрес в answerme.com и зарегистрирован он там как "MrChicken". Что же нам известно об answerme.com?
Cyber Promotions (ANSWERME4-DOM)
8001 Castor Avenue, Suite #127
Philadelphia, PA 19152
USA
Оказывается этим доменом распоряжается Cyberpromo. Это значит, что в известной степени, мы потеряли след, так как Cyberpromo известный "инкубатор" спамеров, а его провайдер AGIS хорошо знает об этом и поддерживает эту деятельность. AGIS - это "хребет" Сети, то есть, у него нет вышестоящего провайдера, которому можно было бы направить претензию. Тем не менее, поскольку Cyberpromo заявляет, что он против незаконного использования ресурсов третьих провайдеров (релейной передачи сообщений), мы пошлем копию нашей претензии по адресу relayabuse@cyberpromo.com, а также и abuse@agis.net.
Вот этим спам заканчивается. Теперь надо решить вопрос - виновен ли провайдер, который переслал спам мне?
На сайте Cybercon есть следующая информация:
"Политика Cybercon в отношении пользователей
Пользователи Cybercon не могут использовать ресурсы Cybercon для
осуществления или участия в деятельности, перечисленной ниже:"
[.......]
"3.Рассылать не затребованные материалы более чем в 25 адресов,
если такая рассылка приводит к претензиям получателей;
4.Заниматься любой из вышеперечисленных видов деятельности,
используя услуги других провайдеров, но направляя поток
информации через счет Cybercon или его релейный узел, либо
используя счет Cybercon в качестве места получения откликов;"
Глядя на их страничку, а также читая между строк их "Политику", становится ясно, что Cybercon это "инкубатор спамеров", хоть и слегка замаскированный. Это НЕ значит, что они разрешили спам, или что их ресурсами не воспользовались без их ведома. Но подозрение, тем не менее, есть. В любом случае, им мы тоже пошлем копию претензии. Если их ресурсами воспользовались без их ведома, они могут начать разбирательство, а может и подать в суд. Если же нет, они могут промолчать. Так или иначе, у тоже есть вышестоящий провайдер, имя, которого можно определить, запустив процедуру traceroute на имя "bullets.cybercon.com".
1 156.46.104.254 (156.46.104.254)
2 alpha-nomad.alpha.net (206.190.31.149)
3 mke-1.alpha.net (156.46.1.1)
4 chicago2-cr2.bbnplanet.net (204.167.132.9)
5 chicago1-br1.bbnplanet.net (199.92.131.11)
6 core5-hssi5-0.WillowSprings.mci.net (206.157.77.201)
7 core1.NorthRoyalton.mci.net (204.70.4.205)
8 core-hssi-2.Chicago.mci.net (204.70.1.93)
9 border4-fddi-0.Chicago.mci.net (204.70.3.83)
10 startnet-llc.Chicago.mci.net (204.70.27.6)
11 router.cybercon.com (199.217.252.58)
12 bullets.cybercon.com (199.217.156.7)
Теперь мы знаем, что их обслуживает mci.net. Следовательно, претензия попадет и по адресу abuse@mci.net.
Что еще мы знаем о Cybercon? Давайте посмотрим, на каком блоке IP адресов они расположены, и кто этим блоком владеет.
whois 199.217.156.0
[rs.internic.net]
STARNET, L.L.C. (NETBLK-STARNET-CBLK)
P.O. Box 6286
St. Louis, MO 63006-6286
Netname: STARNET-CBLK
Netblock: 199.217.128.0 - 199.217.255.0
Maintainer: STLL
Coordinator:
Myers, Chris B. [President] (CBM10) chris@STARNET.NET
(314) 227-3136 (FAX) (314) 716-6163
Domain System inverse mapping provided by:
ADMIN.STARNET.NET 199.217.253.10
NEWS.STARNET.NET 199.217.253.11
NS1.DRA.NET 192.65.218.14
Record last updated on 30-Aug-96.
По всей видимости, Starnet владеет лицензией класса "С" Cybercon. Давайте теперь воспользуемся услугами Deja News и посмотрим, что нам удастся найти:
Поиск по "cybercon.com" даст нам лишь следующее:
НАЧАЛО ЦИТАТЫ
2 Matches for search: cybercon.com
1. 97/05/18 016 [email] Information /uu. news.admin.net-abus
LINDSEY JEAN NICE <
2. 97/03/01 016 [email]-better than aol news.admin.net-abus
lindsey jean nice <
КОНЕЦ ЦИТАТЫ
Прочитав указанные сообщения, мы выясним, что однажды их перепутали с "cybercoM.com" и хотят, чтобы было опубликовано опровержение. Пока никаких сообщений о спаме. А что насчет держателя их лицензии класса "C"? Тоже ничего не нашли.
Попробуем теперь поискать на "mrchicken".
И вот что мы обнаружим:
НАЧАЛО ЦИТАТЫ
subject: everyone loves mr chicken
from: igynews@sprynet.com
date: 1997/09/08
message-id: <5uv7e4$qiv$1@juliana.sprynet.com>
Organization: Sprynet News Service
Newsgroups: alt.activism.children
[Fewer Headers]
EVERYONE LOVES MR. CHICKEN!
Are you tired of paying hundreds of dollars for toys your kids
break or get bored of the next day? How would you like a toy that
can provide countless hours of fun for literally pennies?
MR. CHICKEN is the answer. For full details, email
MRCHICKEN@answerme.com
КОНЕЦ ЦИТАТЫ
Оказывается, MrChicken несколькими днями ранее разместил очень похожее сообщение в Usenet. Всего лишь одно, поэтому его можно и не считать за спам, однако, поскольку сообщение размещено недавно, возможно, что Deja News просто не успел занести остальные в свою базу данных. Тем не менее, мы видим, что в этом случае была использована sprynet.com, а не cybercon.com. Похоже, что cybercon.com действительно ни при чем, а его почтовый сервер был либо "взломан" или спамом занимается их собственный пользователь. Поэтому, мы все равно напишем Cybercon, но не будем писать на abuse@mci.net (их провайдеру)
Ну вот, кажется мы проявили "должную осторожность" в наших поисках источника спама
ДЛЯ CYBERCON.COM: По всей видимости Ваш SMPT сервер был взломан,
либо один из Ваших пользователей нарушает Правила. Не могли бы Вы
провести расследование и принять меры?
ДЛЯ CYBERPROMO: По всей видимости один из ваших клиентов
(MrChicked@answerme.com) не использует услуги ваших серверов
и вероятно "взломал" SMTP сервер cyberprcon.com. Будьте
любезны разберитесь и примите меры!
ДЛЯ AGIS.NET: Этот спам был послан с SMTP сервера, который вполне
вероятно был "взломан". Пожалуйста, разберитесь и примите
меры.
Благодарю,
Bill Mattocks
Computer Solutions of Kenosha
2031 22nd Avenue
Kenosha, WI 53140
(414) 551-8088

 


RIN.ru - Russian Information Network