Cruzada contra el SPAM
Desde hace unos días tengo un nuevo hobby y es la lucha contra el SPAM. Hasta la fecha me limitaba a seguir los principios básicos de seguridad pasiva y defenderme de lo que me llega con todo tipo de filtros locales y de servidor.Pero creo que ha llegado el momento de pasar a la acción y atacar con las herramientas que tengo a mano, pocas y débiles, pero que me hacen pasar un buen rato.Para hacerlo sencillo os voy a postear dos ejemplos que me han llegado hoy:
Ejemplo #1
From: Grace Begay <ericaritomsic@allsaintsfan.com> To: Abergonzini <abergonzini@xxxxxxx.es> Return-Path: <e.widek@cumbriamail.com> Received: from''' tsmtp7.mail.isp''' ([10.20.4.27]) by '''mb23.xxxxxx.es''' (xxxxxx.es) with ESMTP id IE19IH01.PT5 for <abergonzini@xxxxxxx.es>; Mon, 28 Mar 2005 01:06:17 +0200 Received: from '''MASTER-OJ07M7CK ([83.214.95.112])''' by '''tsmtp7.mail.isp (xxxxxx.es)''' with SMTP id IE19IF00.9QD for <abergonzini@xxxxxx.es>; Mon, 28 Mar 2005 01:06:15 +0200 X-Message-Info: LCLHB92eyAKChTmt7h8+Ff3kGR Received: from '''mail0283.gy.uk2.net (116.0.241.69)''' by '''ez0-za0.pakistans.com''' with Microsoft SMTPSVC(5.0.2195.6824); Mon, 28 Mar 2005 01:05:11 +0200 Received: from '''MJQDX880 (sgb76.150.132.7.wes475.gej.lissamail.com 99.170.20.32)''' by '''mail163.k.gaza.net''' (8.8.41oq864/74.293.12) with SMTP id hj10D681OJecb272; Sun, 27 Mar 2005 20:04:11 -0300 Message-ID: <14pe084ir478v871sd$u049drb6n26$uz112jf223@OAO9> References: <erda9-JM41FtjyGdL361U0p975@graffiti.net> Date: Mon, 28 Mar 2005 03:04:11 +0400 Delivery-Date: Mon, 28 Mar 2005 01:17:46 Status: U Subject: seen this? Mime-Version: 1.0 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: quoted-printable Let our fully automated marketing system help you grasp a six figure income= this year. Fully automated with the ability to do your business from home;= this marketing system works for you 24 hours a day. blablablablabla.... Please copy and paste the following link into your browser to learn more. Go here for web site -> > '''http://www.Unlockyourfinancialfuture.com''' Has Your Dream Found YOU Yet? =93Every $5,000 you invest at 20% interest means a return of $1,000,000 in 20= years, thus every $5,000 you misspend today, can mean a lost opportunity of= $1,000,000 in 20 years=94
Del mensaje nos quedamos con la parte de la cabecera que nos indica el tráfico del mail, es decir por dónde ha pasado el mail, que está señalado en el tag de received.
El Primero nos indica que mb23.xxxxxx.es es el destino final de mensaje y que ha pasado por tsmtp7.mail.isp ([10.20.4.XX]) que tiene toda la pinta de ser una dirección local de mi servidor.
En la segunda línea, vemos que además de lo que ya sabemos, encontramos que ha sido enviado por MASTER-OJ07M7CK ([83.214.95.112]).
La tercera línea es más rara, pero se pierde el enlace y vemos que ha pasado por mail0283.gy.uk2.net (116.0.241.69) y por ez0-za0.pakistans.com, es decir que no sabemos como ha llegado a MASTER-OJ07M7CK.
La cuarta línea dice que ha pasado por MJQDX880 (sgb76.150.132.7.wes475.gej.lissamail.com 99.170.20.32).
Si nos fijamos en las relaciones de envio y recepción resulta que se pierde la cadena en el tercer received y parece que los dos últimos received son puestos a mano para despistar (práctica muy común). Así, que el que ha enviado verdaderamente el mail ha sido MASTER-OJ07M7CK ([83.214.95.112]). Ya tenemos un ganador.
Haciendo un whois de la IP no obtenemos ningún tipo de información, por eso lo mejor será hacer un Trace Route a ver dónde nos lleva. El resultado es positivo y nos informa que los últimos pings son de:
15 125 125 124 195.22.210.103 par12-par2-racc1.par.seabone.net 16 125 124 124 195.22.210.46 customer-side-tifrance-2-fr-par12.par.'''seabone.net''' 17 170 172 171 83.214.95.112 '''MASTER-OJ07M7CK'''
Ya tenemos más cosas, ahora hacemos un whois de su ISP: seabone.net y nos encontramos con:
Telecom Italia Sparkle SpA
Via Macchia Palocco 223 Roma 00125 IT Domain Name: SEABONE.NETHacemos un lookup a ver si tiene direcciones de reclamaciones y nos regala dos direcciones de correo postmaster@ y abuse@.
Ahora analizamos el texto del mensaje y vemos que nos lleva a una URL Unlockyourfinancialfuture[puto]com, vemos quién es su ISP con un whois y nos dice que es GoDaddy, a este también le buscamos las direcciones de abuso y nos regala abuse@.
Como detalle también podemos informar a cumbriamail.com que es el dominio destinatario del Return-Path:
Con esto ya podemos construir un mail a todos estos ISP para que tomen las medidas necesarias de este abuso.
Ejemplo #2
Este segundo ejemplo es más sencillo todavía:
From: Mykola Norwood <Kistna@jheiss.com>
To: Lieven Fairchild <antispam@xxxxx.com>
Return-Path: <Kistna@jheiss.com>
Received: from smtp-01.xxxxx.net (llsa735-a01.xxxxx.net [82.223.19x.xx])
by llca510-a.servidoresdns.net (Cyrus v2.1.11-Invoca-RPM-2.1.11-4) with LMTP; Sun, 27 Mar 2005 12:41:05 +0200
X-Sieve: CMU Sieve 2.2
Received: from '''jheiss.com (i-195-137-6-205.freedom2surf.net [195.137.6.205])'''
by smtp-01.xxxxx.net (Postfix) with SMTP id 39C143D90EE
for <antispam@xxxxx.com>; Sun, 27 Mar 2005 12:41:04 +0200 (CEST)
Date: Sun, 27 Mar 2005 05:41:14 -0500
X-MSMail-Priority: Normal
X-Unsent: 1
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Message-Id: <20050327104104.39C143D90EE@smtp-01.servidoresdns.net>
Delivery-Date: Sun, 27 Mar 2005 13:12:57
Status: U
Subject: Re: MeedsByMail AJS:40
Mime-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable
{!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"}
{HTML}{HEAD}
{META http-equiv=3DContent-Type content=3D"text/html; charset=3Dus-ascii"}
{META content=3D"MSHTML 6.00.2800.1106" name=3DGENERATOR}
{STYLE}{/STYLE}
{/HEAD}
{BODY bgColor=3D#ffffff}
{DIV}{FONT face=3DArial}Hello, {/FONT}{A
href=3D"'''http://www.lppujp.cqji.com.westdgsc.com/'''"}{FONT=
face=3DArial}MedicationsByyMail
SHOP{/FONT}{/A}{FONT face=3DArial} Welcomes You.{/FONT}{/DIV}
{/BODY}{/HTML}
Igual que en caso anterior analizamos los received, la primera línea es de mi servidor. La segunda nos encontramos que ha llegado a mi servidor cortesía de jheiss.com (i-195-137-6-205.freedom2surf.net [195.137.6.205]).
Vemos que la IP pertenece directamente al dominio freedom2surf.net que haciendo un Trace nos indica que es proveedor final. Así que buscamos directamente el Lookup para ver a quien podemos denunciar y nos devuelve: postmaster@ y abuse@.
El paso sencillo es ver la url hay dentro del mensaje XXX.lppujp.cqji.com.westdgsc[puto]com, igualmente le hacemos un whois y oh! sorpresa! dicen que son de madrid y que curioso ha sido creado hoy mismo :D
Buscamos quien es su ISP mediante el Tracer:
15 187 185 175 200.170.193.222 200-170-193-222.core01.spo.ifx.net.br
Ya tenemos su ISP, ahora buscamos el abuse@ y ya tenemos otra reclamación en marcha :D
Como modelo de mensaje de reclamación podeis utilizar el mio (que ha sido adaptado del existente en abuse.net):
Dear Administrator, The enclosed spam mail is being forwarded to you because your system name or that of a system for which you are a listed system admin appears in the headers or as a reference in the text. As you are doubtless aware, this sort of electronic junk mail is completely contrary to established guidelines for use of the Internet email service. Please take whatever steps are necessary to see that this person sends out no more of these, and that this practice is curtailed on your system. By US Code Title 47, Sec.227(a)(2)(B), a computer/modem/printer meets the definition of a telephone fax machine. By Sec.227(b)(1)(C), it is unlawful to send any unsolicited advertisement to such equipment. By Sec.227(b)(3)(C), a violation of the aforementioned Section is punishable by action to recover actual monetary loss, or $500, whichever is greater, for each violation. By European directive 2001/31/CE from July, 8th of 2000 and Spanish Code 34/2002 from July 11th (LSSI), a violation of the aforementioned directive is punishable by action to recover actual monetary loss, or 30.000 €, whichever is greater, for each violation.
Tal vez todo esto sirva de bien poco para contrarestar el spam, pero tal vez sirva para algo más que tener una política de seguridad pasiva y dejárselo bien fácil a los spammers. Además, se aprende mucho haciendo todo esto ;)
Publicado en 2005-03-28-00-55
Referencia: pivot/00083.php