linux-l: spam (arbeit): wer kann helfen

Alexander Stielau aleks at zedat.fu-berlin.de
Mo Jul 10 13:50:24 CEST 2000


Am Fre, Jul 07, 2000 at 11:37:10 +0200 schrieb Angelika Meier:

> ich habe heue eine mail bekommen, die an jemand völlig anderes
> gerichtet ist (siehe header 1).
> jetzt habe ich ein "Re:" auf diese mail bekommen.

 [Ich versuche das ganze mal aufzudröseln, Header lesen ist nicht
 schwer, wenn man weiß, worauf es ankommt.]

Das macht nichts. Du mußt bei Email unterscheiden zwischen der
eigentlichen Email und dem Envelope, der durch den Ziel-MTA entfernt
wird (d.h., Du bekommst ihn normalerweise nicht zu sehen).

Der Umschlag hat an einem Punkt die gleiche Problem wie ein echter
Umschlag: Der Brief wird an die Adresse verschickt, die auf dem
Umschlag steht, egal, was im Briefkopf des innenliegenden Briefpapiers
steht.

> Frage: warum kann ich (angelika.meier at pixelpark.com) eine mail
> für angelika.de.vries at t-online.de empfangen?

S.o. Danneben kannst Du z.B. im bcc gestanden haben, bei Spamers ist
es üblich, bündelweise an ähnliche oder gleich beginnende
Emailadressen gemeinsam zu schreiben, weil deren
Adresssortiermaschnien die gegrepten Adressen und MIDs automagisch so
ordnen.

> Frage 2: wie kann ich ein "Re:" bekommen, was sich faktisch nicht
> unterscheidet?

Entweder ist das einfach so (will sagen, das Re: hat der ursprüngliche
Empfänger eingebaut, um die Empfänger zusätzlich zu verwirren), oder
Du stehst irgendwo als From in so einer Mail (unwahrscheinlich).

> (btw: anti-spam-filter gibbs nüch...)

Tja, pixelpark eben - das steht nunmal für geballtes Know-How.

> header 1:

> Received: 
> from iqmedia01.iqmedia.dk (mail.iqmedia.dk [195.215.63.62]) by
> sylt.pixelpark.com (8.9.3/8.9.3) with ESMTP id JAA20561 for 
> <angelika.meier at pixelpark.com>; Fri, 7 Jul 2000 09:29:20 +0200 (MET
> DST) 

Grundsätzlich liest man received-Zeilen von unten nach oben, weil
jeder MTA, der eine Mail befördert, seine received-Zeile oben anhängt.

Das heißt bis hierhin, daß der MTA von pixelpark (ein Sendmail 8.9.3)
die Mail von mail.iqmedia.dk bekommen hat. 
Sendmail versucht (da SMTP keinerlei Authentifizierung beherrscht),
den beim Handshake der Rechner angegebenen Namen
(iqmedia01.iqmedia.dk) aufzulösen, und schreibt die IP und den damit
verbundenen Namen mit in die Zeile hinein (in Klammern, die IP in
eckige Klammern). 

Da die Namen in etwa übereinstimmen (das eine wird ein (sinnvoller)
Alias sein), wird das "echt" sein.

Mal sehen, wer das nach eigenen Nachforschungen sein will (gekürzt).
Zu wem gehört die IP-# des Rechners, der der Meinung ist, er hieße
mail.iqmedia.dk: 

root at aleks:/home/aleks > whois 195.215.63.6

inetnum:     195.215.63.0 - 195.215.63.15
netname:     SP-NET
descr:       SP-NET
country:     DK
admin-c:     SP500-RIPE
tech-c:      SP500-RIPE
status:      ASSIGNED PA
mnt-by:      DK-NIC
changed:     sp at elite.dk 19991117
source:      RIPE

route:       195.215.0.0/16
descr:       Tele Danmark
origin:      AS3292
remarks:     For abuse and security issues contact
remarks:     csirt at csirt.dk, http://www.csirt.dk
mnt-by:      AS3292-MNT
changed:     staff at ip.tele.dk 20000207
source:      RIPE

Also der dänischen Telekom. Die freuen sich wahrscheinlich, einen
Ihrer Benutzer (oder Reseller) larten zu können. 

Mal sehen, ob es die Domain iqmedia.dk gibt:

root at aleks:/home/aleks > whois iqmedia.dk

domain:      iqmedia.dk
descr:       IQ Media

person:      Thomas Larsen
address:     IQ Media
address:     Oesterbrogade 146, 1.Sal
address:     2100 Koebenhavn Oe
address:     Denmark
phone:       +45 35 25 06 31
fax-no:      +45 35 25 06 36
e-mail:      peter.nielsen at iqmedia.dk
nic-hdl:     TL183-DK
mnt-by:      DK-DOMREG
changed:     nobody at dk-hostmaster.dk 19970404
changed:     nobody at dk-hostmaster.dk 19990720
source:      DK
 
Gibt es also - interessant, daß die IP aus dem Netzblock der
DK-Telekom kommt, vielleicht ist das aber immer so, keine Ahnung. 

> info at casinosports.com

Eventuell der Bösewicht. Die Whois-Auflösung möge der geneigte Leser
als Übung selbst herausfinden (wer kein whois auf dem Rechner hat,
kann dies auch per Web mittels
z.B. http://www.iks-jena.de/cgi-bin/whois erledigen).

> Received: 
> from wickedmail.com (bruno36.com [64.39.30.83]) by
> iqmedia01.iqmedia.dk with SMTP (Microsoft Exchange Internet Mail 
> Service Version 5.5.2448.0) id 3MAG62JN; Fri, 7 Jul 2000 09:30:59 +0200

iqmedia hat den Dreck von bruno36.com erhalten, und iqmedia fährt als
MTA einen Exchange ohne das letzte Servicepack, wahrscheinlich ist die
Kiste ein offenes Relay (d.h., der Rechner nimmt auch Mail für Domains
entgegen, mit denen er nichts zu tun hat, z.B. die von pixelpark).

Nun kann man z.B. dies ausprobieren, in dem man etwas telnetet
(Umbrüche von mir):

root at aleks:/home/aleks > telnet mail.iqmedia.dk 25
Trying 195.215.63.62...
Connected to mail.iqmedia.dk.
Escape character is '^]'.
220 iqmedia01.iqmedia.dk ESMTP Server (Microsoft Exchange Internet
    Mail Service 5.5.2448.0) ready 
MAIL FROM: aleks at belug.org
250 OK - mail from <aleks at belug.org>
RCPT TO: aleks at sailtraining.de
250 OK - Recipient <aleks at sailtraining.de>
DATA
354 Send data.  End with CRLF.CRLF
Testmail, das Drecksteil relayed.
.
250 OK
quit
221 closing connection
Connection closed by foreign host.   

Dieses in Scheiße gegossene Stück Software nimmt also tatsächlich
Mails von und für Fremde an, man könnte das Ding bei ORBS und anderen
RBLs anschwärzen oder (besser) deren Postmaster und (noch besser)
deren Uplink informieren, das sie ein offenes Relay fahren und was
dies bedeutet.

Relativ uninteressant ist, wer der eigentliche Spamer ist, weil man
diesem wahrscheinlich sowieso nicht beikommt. Dafür in Frage kommen
einmal "casinosports.com" und natürlich "wickedmail.com", der beim
DNS-Lookup des MTA schon ganz anders heißt als angegeben, nämlich
bruno36.com [64.39.30.83].

root at aleks:/home/aleks > whois casinosports.com

Registrant:
Oviedo, Adolfo (CASINOSPORTS2-DOM)
   P.O.Box 535-2070
   San Jose, SJ 2070
   CR

Naja, damit kann man das knicken.
Und der benutze MTA?

root at aleks:/home/aleks > whois 64.39.30.83

Rackspace.com (NETBLK-RSPC-NET-1)
   112 East Pecan St.
   San Antonio, TX 78205
 
Dito.
Beschweren hat nur beim Uplink des Spamers Sinn, sonst ist es mehr
eine Adressverification für ihn.

> X-Mailer: 
> Internet Mail Service [7.2.3182.29] (Linux; A)

Noch nie gehört. Was will das denn sein?

> btw: was kann ich dagegen unternehmen (ausser icht-antworten?)

Deinen Mailadmin treten, entsprechende Filter (ORBS, RBL) aufzusetzen.

Das Problem in Eurem Umfeld wird sein, daß einige Eurer Kunden ihre
Mailserver nicht so ganz im Griff haben werden, und selbst in der RBL
gelistet sein werden. Wenn Euer Mailadmin dann die RBL als Filter
einsetzt, kommen diese (legitimen) Mails eurer Kunden nicht mehr bei
Euch an.

URLs dazu:
http://www.orbs.org/
http://maps.vix.com/
http://spam.abuse.net/spam/

Und latürnich in Selbsthilfe: procmail benutzen, und damit schon mal
alles wegfiltern, wo Du nicht im TO stehst (vorher Mailinglisten
filtern, denn dort ist das auch der Fall).

man procmail, procmailex
FAQ: http://www.faqs.org/faqs/mail/filtering-faq/
-- 
Stimmt, MS-Benutzer zu verhohnepiepeln ist eigentlich so unwaidmaennisch 
wie tote Schafe zu treten. Trotzdem sehr angenehm wollig-warm im Tritt.

	dan-am, 00-05-16, Andreas Kabel <akabel at penguin.slac.stanford.edu>



Mehr Informationen über die Mailingliste linux-l