[linux-l] OT: Wie kommt Spammail zu mir, die nicht an mich adressiert ist?
Andreas Burkhardt
andreaz at belug.de
Mi Nov 17 01:14:41 CET 2004
Das Ganze wird Dir vielleicht etwas klarer, wenn Du Dir einmal anschaust, wie
den eine Mail an einen Mailserver ausgeliefert wird. Wir schicken also einmal
eine Mail an Dich:
Der Mailserver sagt zuerst einmal "Hallole":
220 mail.biotix.info ESMTP Postfix
Dann stellt der Client sich vor. Hier behauptet er, zu gmx zu gehören. Er hofft
wohl, daß gmx seiner eigenen Domain alles erlaubt. Bei uns versuchen manche
(Viren) als biotix.info abzuliefern, was aber gleich rausgefiltert wird. Dieser
Eintrag ist nicht vorgeschrieben und beliebig zu fälschen:
EHLO mail.client.de
Der Server antwortet mit ein paar Informationen:
250-mail.biotix.info
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-XVERP
250 8BITMIME
Der Client sagt, von wem die Mail (angeblich) ist. Hierauf könnte man filtern.
Viele Spammer benutzen hier zB nicht existierende Domains (basil at lpg.fi).
Vergleichbar wäre das dem Absender auf einem Briefumschlag, also beliebig zu
fälschen. Techniken zur Spamabwehr versuchen hier anzusetzen und nachzufragen im
DNS, ob der Client überhaupt Mails für diese Domain verschicken darf:
MAIL FROM:<bill.gates at microsoft.com> SIZE=414
Server sagt "Ok":
250 Ok
Client sagt, an wen die Mail gehen soll. Hier steht dann auch Deine Adresse.
Also das einzige, was an der ganzen Kommunikation wahr sein muss:
RCPT TO:<andreaz at biotix.info>
Server sagt "Ok":
250 Ok
Client sagt, daß er jetzt die Daten, d.h. die eigentliche Mail liefern will:
DATA
Server bittet um die Daten:
354 End data with <CR><LF>.<CR><LF>
Zuerst kommen die Header, dann eine Leerzeile und dann der Text der Mail.
Absender und Empfänger, wie Du sie in Deinem MUA siehst, sind hier nur _Daten_
und frei wählbar. Wichtig sind teilweise die Header "Received". Den ersten
Eintrag hat der eigene Mailserver hinzugefügt. Die anderen sind älter. Bei Spam
sind die untersten Einträge meistens gefälscht:
Received: from gnu.in-berlin.de (gnu.in-berlin.de [192.109.42.4])
by einhorn.in-berlin.de with ESMTP id iAGJ0Db3000810;
Tue, 16 Nov 2004 20:00:13 +0100
Received: from mail.gmx.net (imap.gmx.net [213.165.64.20])
by gnu.in-berlin.de with SMTP id iAGIv8r5017476
for <linux-l at mlists.in-berlin.de>; Tue, 16 Nov 2004 19:57:08 +0100
Received: (qmail 27220 invoked by uid 65534); 16 Nov 2004 18:57:07 -0000
Received: from pD952D353.dip.t-dialin.net (EHLO shodan.citadel) (217.82.211.83)
by mail.gmx.net (mp022) with SMTP; 16 Nov 2004 19:57:07 +0100
Message-ID: <419A8829.6000502 at biotix.info>
Date: Wed, 17 Nov 2005 00:07:21 +0100
From: Gabi <gabi at seventeen.org>
User-Agent: Mozilla/5.0 (CP/M; Z80a; en-US; rv:1.7.3) Gecko/20040913
X-Accept-Language: de-de, de, en-us, en
MIME-Version: 1.0
To: linux-l at mlists.in-berlin.de
Subject: such's dir aus
Content-Type: text/plain; charset=us-ascii; format=flowed
Content-Transfer-Encoding: 7bit
nur ein Beispiel
.
Server sagt, daß er die Mail angenommen hat:
250 Ok: queued as C246B31289F
Client möchte die Verbindung beenden:
QUIT
Server sagt "Ade":
221 Bye
Mit 'telnet mail.gmx.de smtp' kannst Du das auch unter Linux selber mal testen.
cu, andreaz
Mehr Informationen über die Mailingliste linux-l