Skip Navigation

Login





Join! | Login troubles?

Online members

Guests:3
Members:0

Poll

What's your favorite scripting language for solving challenges?

python (12.4%)

perl (9.2%)

bash (3.2%)

ruby (1.9%)

php (37.5%)

javascript (13.0%)

I'm not convinced scripting saves time, I use a "proper" language for everything I do. (15.6%)

Scripting? Excel for the winners, man! (7.3%)

Total votes: 315
Date added: 2008-06-14

View text

Info
Author soulslayer
Date added 2002-09-01
Last modified 2002-09-01


Spam opsporen

============================================================

SPAM OPSPOREN voor gevorderden

============================================================



Deze tutorial is erop gericht om je te leren hoe je spam kan opsporen…tenminste..waar het vandaan het vandaan komt! We beginnen je te leren hoe je basic e-mail headers leest, en daarna leren we je geavanceerde/uitgebreide e-mail headers te lezen. Als je dat kan, dan weet je ook hoe je de bron van spam kan opzoeken!



Zo ziet een normale e-mail header eruit:



Date: Wed, 30 Aug 2002 16:30:34 -0500 (GMT)

To: soulslayer@swirve.com

From: deadchicken@linuxmail.org 

Subject: bleeeeeehhhh! 

Cc: soulslayer@swirve.com



Het eerste wat je ziet is het datum-veldje. Net zoals de meeste normale e-mail headers, legt dit zichzelf dus wel uit. Het zegt wanneer het bericht is geschreven! Wat je misschien NIET zal weten is dat de tijd/datum gehaald wordt van de computer van de zender, wat dus niet goed hoeft te zijn! In dit voorbeeld, is het e-mail bericht geschreven op 30 augustus 2002 om ongeveer 16.30 GMT. Het formaat zal varieren door welke e-mail client je gebruikt om je e-mail te versturen.



De To:lijn(Naar/Aan) geeft aan voor welk peroon of personen het bericht bedoeld is. Deze lijn kan ook meerdere adressen bevatten, die dan gescheiden zijn door komma's. In dit geval zal het bericht verzonden worden naar elk adres in die lijn. Je kan andere adressen ook in de Cc lijn zetten (carbon copy) of de onzichtbare Bcc lijn. Er is niet echt een wezenlijk verschil tussen Cc of To.



De From:(Van:) lijn geeft aan van wie dit bericht komt...logisch...:P



De Subject(onderwerp.)lijn wordt gebruikt om een kleine beschrijving te geven van de inhoud.



De Cc: lijn van e-mail bericht wordt gebruikt om adressen toe te voegen aan wie je een kopie wil sturen. Deze adressen moet je natuurlijk wel weer scheiden met komma's. Je HOEFT er natuurlijk ook niks in te zetten . In dit voorbeeld heeft de Cc lijn hetzelfde adres als de To adres...in principe zou nu twee keer het bericht verzonden worden naar 1 adres....



Er is nog een lijn die onzichtbaar is. Deze lijn is de Bcc: lijn. Als je bericht naar een ander adres wordt ge-Bcc'd, dan zou je dit niet zien(als ontvanger dan). Dat komt omdat Bcc staat voor: Blind Carbon Copy. De mailserver verwijdert deze lijn/header voordat het wordt bezorgd. Dus als je een bericht ontvang, en je ziet nergens je adres staan in OF de To: lijn OF de Cc: lijn, dan is dit bericht via Bcc naar je gestuurd. Dit is een algemeen gebruikte manier om mail te sturen naar enorme aantallen adressen, zonder aan iedereen te laten zien naar wie dit bericht verzonden is, en het staat ook niet zo netjes als je eerst drie pagina's met adressen naar beneden moet scrollen voordat je bij het bericht komt.



Dit is alles van een basic e-mail header... Simpel he? Laten we nu es uitbreiden op wat we nu hebben geleerd en kijken hoe je geavanceerde headers moet lezen. een voorbeeldtje:



To: soulslayer@swirve.com

Cc: soulslayer@swirve.com

Subject: bleeeeeehhhh! 

Date:Wed, 30 Aug 2002 16:30:34 -0500 (GMT)

Message-Id: <20020830173730.12880.qmail@linuxmail.org> 

X-Originating-Server: ws4-4.us4.outblaze.com 

X-Mailer: MIME-tools 5.41 (Entity 5.404) 

Received: (qmail 16144 invoked from network); 30 Aug 2002 17:11:51 -0000 

Received: from unknown (HELO spf1.us3.outblaze.com) (205.158.62.38) by 205-158-62-45.outblaze.com with SMTP; 30 Aug 2002 16:31:39 -0000 

Received: from mta1-3.us4.outblaze.com (205-158-62-44.outblaze.com [205.158.62.44]) by spf1.us3.outblaze.com (8.12.4/8.12.4/us2-srs) with ESMTP id g5HHbcYB024255 for <soulslayer@swirve.com>;Wed, 30 Aug 2002 16:30:34 GMT 

Received: from ws4-4.us4.outblaze.com (205-158-62-105.outblaze.com [205.158.62.105]) by mta1-3.us4.outblaze.com (8.12.3/8.12.3/us4-srs) with SMTP id g5HHbU3G014489 for <soulslayer@swirve.com>; Wed, 30 Aug 2002 16:30:34 -0500 (GMT)

Received: (qmail 12881 invoked by uid 1001); 30 Aug 2002 16:30:34 -0000 

Received: from [172.149.137.24] by ws4-4.us4.outblaze.com with http for soulslayer@swirve.com; Wed, 30 Aug 2002 16:30:34 -0500 

Content-Disposition: inline 

Content-Type: text/html; charset="iso-8859-1" 

X-Originating-Ip: 172.149.137.24 

Delivered-To: soulslayer@swirve.com

Return-Path: <soulslayer@swirve.com> 

Content-Transfer-Encoding: 7bit 

Mime-Version: 1.0 



WWWOOOWW! Een groot verschil  met wat je eerst zag, de basic header dus. Ut ziet er allemaal wel indrukwekkend en raar uit. Maar daarom bennik er:P om het uit te leggen dan...een beetje.. Als je dus de bron van je spam wil kennen, let dan goed op wat hier allemaal wordt uitgelegd. Je heb deze info nodig.



Het eerste wat je ziet wat NIET in de basic header zit is de Message-Id. De message-Id is min of meer een unieke identiteit gegeven aan elke e-mail, gewoonlijk door de eerste mail-server die het tegenkomt. Het wordt in zo'n vorm opgesteld:"iemand@ergens.com" waar het "iemand" gedeelte wat absoluut vanalles kan zijn en het andere deel is de naam van de computer dat het ID heeft gegeven. Soms,maar niet vaak, laat de "iemand" ook zijn username bijsluiten. Elke e-mail waarin de Message-Id is vervormd (een lege string of geen @ teken), of waarin de site niet hetzelfde als de originele site die het verzonden heeft, is vervalst/ gefingert.



Dus, wat betekent de id? het id is:20020830173730.12880.qmail.

En heel simpel: 20020830173730 wordt: 2002/08/30 17:37:30! De datum wanneer de e-mail was verzonden. wat dat 12880 is? Xou het niet weten, maar dat is ook niet belangrijk voor ons.Als een spammer deze server zou gebruiken, kunnen we de spam ook sturen naar de admin. HIj of zij zou dan weten hoe ze de id moet decipheren(elke mail programma gebruikt een andere ID formaat.). Als laatste zien we "qmail" Dat is allen maar de naam van het e-mail programma dat de spammer gebruikte om de e-mail te versturen. Als je een copy naar de admin van de server stuurt, vergeet dan niet om de message Id mee te sturen. Hoewel het niks voor ons betekent, bevat het tonnen aan infrmatie voor de server admin. Okeej..op naar het volgend veldje



het volgende veld is: X-Originating-Server. Als je dat niet in je eentje kan uitvogelen, dan kunnen we net zo goed nu stoppen...:P



Het volgende veld is: X-mailer. Dit is een header bedoeld voor de mail-software, gebruikt door de zender om zichzelf te indentificeren. Omdat veel spam wordt gestuurd door mailers uitgevonden voor dit gebruik, kan dit veldje veel bruikbaar voer bevatten voor filters.



We skippen ff het Received: veldje. Dan is het volgende veldje de Content-Disposition. Dit betekent niks...:P voor ons tenminste



Volgende is: Content-Type. In de bovenstaande header, verteld het alleen dat we tekst en html kunnen ontvangen en dat de karakter set iso-8859-1 gebruikt...Dit betekent ook niet echt iets...



Dan hebben we het veldje: X-Originating-Ip. Dit is alleen maar het IP-adres van de persoon die de e-mail heeft gestuurd. Tot nu zijn de veldjes makkelijk te begrijpen.





Delivered-To: en Return-Path: leggen zichzelf uit, vindt ik.. 



Content-Transfer-Encoding:is niet belangrijk voor ons.



En eindelijk hebben we het MIME-Version veld, wat alleen de versie aangeeft voor het gebruikte MIME protocol



Laten we nu eens terug gaan naar dat Received: veld. (deze doe ik als laatst omdat deze wat moeilijker te begrijpen is.)de eerste is deze:





Received: (qmail 16144 invoked from network); 30 Aug 2002 17:11:51 -0000 



Dit is de datum wanneer het ontavngen is..de volgende: 



Received: from unknown (HELO spf1.us3.outblaze.com) (205.158.62.38) by 205-158-62-45.outblaze.com with SMTP; 30 Aug 2002 16:31:39 -0000 



Dit verteld ons dat 205-158-62-45.outblaze.com de e-mail onving op 30Augustus 2002 om 16:31:39 van een onbekende gebruiker op de spf1.us3.outblaze.com (met het ip:205.158.62.38) computer. Dan zien we:







Received: from mta1-3.us4.outblaze.com (205-158-62-44.outblaze.com [205.158.62.44]) by spf1.us3.outblaze.com (8.12.4/8.12.4/us2-srs) with ESMTP id g5HHbcYB024255 for <soulslayer@swirve.com>;Wed, 30 Aug 2002 16:30:34 GMT 



Deze heeft dezelfde structuur als de laatste Received veld, behalve dat het ook verteld voor wie het was bedoeld. Het geeft ook een ESMTP-IDmaar dit betekent niks voor ons. Dan hebben we:



Received: from ws4-4.us4.outblaze.com (205-158-62-105.outblaze.com [205.158.62.105]) by mta1-3.us4.outblaze.com (8.12.3/8.12.3/us4-srs) with SMTP id g5HHbU3G014489 for <deadchicken@linuxmail.org>; Wed, 30 Aug 2002 16:30:34 -0500 GMT 



Deze is precies hetzelfde las die erboven, maar nu kunnen we zien de weg zien die de e-mail nam. DIt veldje zegt dat de e-mail was ontvangen door mta1-3.us4.outblaze.com  en dat het was verzonden door de computer ws4-4.us4.outblaze.com. De laatste Received: veld vertelde ons dat de e-mail was ontvangen door spf1.us3.outblaze.com from mta1-3.us4.outblaze.com



Dus nu weten we dat de e-mail van ws4-4.us4.outblaze.com NAAR  mta1-3.us4.outblaze.com NAAR spf1.us3.outblaze.com. Hopelijk begin je het nu te begrijpen. De zender opspoeren van spam wordt bepaald door de Receive-veldjes( en je ziet nu zonder twijfel waarom).Het volgende veldje isL





Received: (qmail 12881 invoked by uid 1001); 30 Aug 2002 16:30:34 -0000 



Dit geeft gewoon de u-id (iser-ID) waaronder het mailprogramma draait. Niks belangrijks voor ons. uiteindelijk hebben we:



Received: from [172.149.137.24] by ws4-4.us4.outblaze.com with http for soulslayer@swirve.com; Wed, 30 Aug 2002 16:30:34 -0500 



De "van IP" is mn IP (niet de echte natuurlijk:P)ws4-4.us4.outblaze.com  is de computer dat de e-mail het eerst ontving.



Een ding om op te wijzen over de Receive: velden is: ze staan in omgekeerde volgorde (als je het nog niet had gemerkt dan...) De eerste computer die je e-mail ontving staat als laatste in de lijst. de laatste computer die je e-mail Die je e-mail behandelde staat bovenaan. Met al de bovenstaande info zou je in staat kunnen/moeten zijn om je spam terug op te sporen naar de originele server.



Dus wat doe je wanneer je de orginele server heb opgespoord? dan ga je naar: www.better-whois.com en vul je de domein naam in van de server. Dan krijg je de contact informatie van hun. Dit is normaal de techinische contact, een misbruik contact en een paar andere dingen. Als je niet weet naar welke je je mail moet sturen: STUUR ZE NAAR ALLEMAAL:P (weten zij ook hoe het is om gespamd te worden met telkens dezelde e-mails..) en ook naar root@watdanook.com en postmaster@watdanook.com. Een van deze zal je e-mail doorsturen naar de persoon die de leiding heeft over spam/misbruik.





Hopelijk begrijp je nu hoe je mail headers moet lezen.. ALs het niet begrijpt( wat dan niet erg raar is, omdat het erg veel informatie is) lees het dan gewoon een paar keer door. of mail/message me. Hoe beter je headers kan lezen, hoe beter je spam kan "tracken"!



Dit was dan mn tutorial over headers...Als je iets niet snapt of iets wil verbeteren of wat dan ook...mail me!



mail: davidsluis1@hotmail.com

==================================================================== 

Deze tekst mag je van mij kopiëren zoveel als wil zolang je mn naam+e-mail er maar onder zet. ALs je deze tekst op je site wil zetten, mail me dan met de url( je mag um van mij meteen op je site zetten, maar het is meer om te weten waar ze staan) 

====================================================================

======================================================== 

DISCLAIMER: 

alle bovenstaande informatie is alleen bedoeld voor educatieve doeleinden, en is niet bedoeld voor gebruik waaruit enige schade kan ontstaan bij derden. 

========================================================== 

 



groetjes,

soulslayer



p.s. ook de groenten aan : BasTijs, Gl@dje, N3bula, Ivo en de rest die ik vergeten ben....