Technology
 

Spammer internetszolgáltatójának meghatározása

a szabadon szerkeszthető spamenciklopédiából, a Spamwikiből

Magyar spamek esetében gyakran megfigyelhető, hogy az e-mailt magyarországi szolgáltatási területről, egy magyarországi felhasználó küldte ki. A globális spamek esetében a küldést a legtöbbször fertőzött zombi számítógépek végzik, nálunk egyelőre gyakoribb az, hogy az olcsó reklámra pályázó új vállalkozás vezetője, alkalmazottja küldi szét a spamet a céges vagy az otthoni internetkapcsolatán keresztül.

A kapott spam fejléceit megvizsgálva gyakran találjuk meg a kisebb-nagyobb internetszolgáltatók nyomait.

Ha beazonosítottuk a spammer IP-címét, majd abból internetszolgáltatóját, utána bejelenthetjük nála az ügyfelük törvénysértő magatartását.

A spammer internet szolgáltatójának meghatározásához az első lépés az IP-címének meghatároza. Ehhez a e-mail-fejlécek megjelenítése szükséges.

Ha a fejlécek előttünk vannak, akkor a Received sorokat kell megvizsgáljuk.

Az e-mailek útja során ugyanis minden mailszerver, melyen az e-mail áthalad, egy Received kezdetű sort helyez el a e-mail fejlécei között. Ebbe a sorba beírja, hogy pontosan mikor, honnan, és kinek címezve kapta a levelet, valamint rögzíti az általa a levélhez rendelt egyedi azonosítót is.

Tartalomjegyzék

[szerkesztés] A Received sorok felépítése 

Received: from hu-out-0506.google.com (hu-out-0506.google.com [72.14.214.224])
	by mail.pelda.hu with ESMTP id 231AD27F
	for <valaki@pelda.hu>; Fri, 11 Apr 2008 08:19:12 +0200 (CEST)

Ez a három sornyi példa valójában egyetlen Received sor. Az e-mail-fejlécekben a szóközzel kezdődő sorok mindig az előző sor folytatásaként értendők.

Ebben a sorban az látható tehát, hogy a 2008. április 11-én, reggel 8 óra 19 perc, 12 másodperckor (közép európai nyári idő szerint [CEST]) a mail.pelda.hu szerver a hu-out-0506.google.com szervertől vette át az emailt. A mail.pelda.hu szerver az e-mailnek a 231AD27F egyedi azonosítót adta. Ezt a feljécsort tehát a mail.pelda.hu szerver illesztette be az e-mail fejlécei közé akkor, amikor a levelet a Google-tól átvette.

[szerkesztés] A Received sorok láncolata

A Received sorok alulról fölfelé következnek egymás után.

A következő példa ugyanennek az e-mailnek az útját mutatja a spammertől a címzettig: 

Received: from hu-out-0506.google.com (hu-out-0506.google.com [72.14.214.224])
	by mail.pelda.hu with ESMTP id 231AD27F
	for <valaki@pelda.hu>; Fri, 11 Apr 2008 08:19:12 +0200 (CEST)
Received: by hu-out-0506.google.com with SMTP id 29323422AA
        for <valaki@pelda.hu>; Thu, 10 Apr 2008 23:19:10 -0700 (PDT)
Received: by 10.67.115.9 with SMTP id 1622F298;
        Thu, 10 Apr 2008 23:19:08 -0700 (PDT)
Received: from marco ( [85.66.31.247])
        by mx.google.com with ESMTPS id 34ED22FF
        (version=SSLv3 cipher=OTHER);
        Thu, 10 Apr 2008 23:19:02 -0700 (PDT)

Ez négy Received sor tehát, a következő utat írja le:

  • 2008. április 8-án, 23:19:02-kor (USA nyugati parti nyári idő, nálunk már április 11., 08:19:02) fogadta az emailt az mx.google.com névre hallgató gép egy magát marco-nak nevező, 85.66.31.247 IP-című géptől. Ő a 34ED22FF azonosítót adta neki.
  • 08.19.08-kor egy 10.67.115.9 IP-című gép fogadta a levelet, nem tudjuk, hogy honnan, de azt igen, hogy nála ez a levél a 1622F298 azonosítóval szerepel.
  • 08.19.10-kor a hu-out-0506.google.com gép fogadta a levelet valaki@pelda.hu részére, 29323422AA azonosítóval.
  • A hu-out-0506.google.com nevű, 72.14.214.224 című géptől a mail.pelda.hu szerver fogadta ezután az emailt 08:19:12-kor, valaki@pelda.hu részére, 231AD27F azonosítóval.

A spammertől a levél tehát három közbülső szerver érintésével került a negyedik szerveren lévő postaládába. Érdekességképpen megfigyelhető, hogy ez a magyar spammertől magyar címzettnek szánt spam majdnem körbeutazta a világot: tőlünk az USA nyugati partjára került, majd onnan vissza hozzánk.

E fenti négy Received sorból megállapítható tehát, hogy a spam a 85.66.31.247 IP címről érkezett. Feltéve, hogy mindegyik Received sornak hihetünk.

[szerkesztés] A Received sorok megbízhatósága

Az e-mail fejlécei között található Received sorok egy része a feladó által meghamisíthatók. Hozzáadhat az e-mail-fejlécekhez új, hamis Received sorokat, illetve törölhet korábbiakat mindaddig, amíg az email a fennhatósága alá eső szervereket el nem hagyja.

A megbízhatóság vizsgálatakor sorrendben visszafelé, a fejlécek között tehát fölülről lefelé érdemes haladni. Saját, vagy a szolgáltatónk mailszerverét elfogadhatjuk megbízhatónak, de az utolsó megbízható forrás utáni (időben előtti) gépet már nem tekinthetjük megbízhatónak. A fenti példa Received sorai a megbízhatóság szerint:

  • mail.pelda.hu sora: megbízható, ez a saját mailszerverünk. Ő mondja, hogy a levelet a hu-out-0506.google.com géptől vette át.
  • hu-out-0506.google.com: valóban ő szerepel itt, megbízható, ez a Google egyik szervere. Ő nem árulja el, hogy az emailt honnan kapta.
  • 10.67.115.9: ismeretlen, privát IP-cím-tartomány, valószínűleg a Google szerverparkjának egyik szervere. Fogadjuk el megbízhatónak.
  • mx.google.com: a Google mailszervere, mely a leveleket kívülről fogadja, megbízható. Ő azt mondja, hogy a levelet egy magát marcónak nevező géptől kapta, melynek IP-címe akkor 85.66.31.247 volt.

Ez a lánc tulajdonképpen végig megbízható Received sorokból áll. A spammer semmilyen erőfeszítést nem tett arra, hogy elrejtse, vagy meghamisítsa kilétét.

Nem ilyen megbízható például a mozivilag.eu spam. Szintén fölülről lefelé haladva:

  • x.x.hu: megbízható, ez a bejelentő saját, azonosíthatóságát elfedő mailszervere.
  • smtp21.orange.fr: megbízható, ez a francia Orange internetszolgáltató egyik kimenő mailszervere.
  • mwinf2120.orange.fr: tekintsük megbízhatónak, igaz nincs IP-címe, valószínűleg szintén az Orange egyik belső szervere.
  • mwinf2128.orange.fr: tekintsük megbízhatónak, belső Orange szerver.
  • mwinf2128.orange.fr: még egy mwinf2128.orange.fr által beszúrt sor. Ez azt mondja, hogy a levelet a magát slima.slima.fr-nek nevező, azonban valójában LAubervilliers-153-52-14-189.w217-128.abo.wanadoo.fr nevű, 217.128.109.189 IP-című géptől kapta. Ez a gép azonban már teljesen megbízhatatlannak tekinthető. Saját magát slima.slima.fr-nek nevezi, holott semmi köze sincs hozzá. Nincs is slima.slima.fr gép az interneten.
  • slima.slima.fr: ez már biztosan hamis sor, nincs köze a francia S.L.I.M.A vállalathoz.

A spammer IP-címe ebben az esetben tehát 217.128.109.189.

[szerkesztés] IP-címből internetszolgáltató

Ha a spammer IP-címe a rendelkezésünkre áll, internetszolgáltatóját már könnyen megtalálhatjuk:

  • Gyakran egy DNS-lekérdezés elég, az IP-címből gépnév állítható elő, ami már megmutatja a szolgáltatót. A fenti példa 85.66.31.247-es IP-címe fibhost-31-247.fibernet.bacs-net.hu gépnévre képezhető le, amiből adódik a szolgáltató, a bacs-net.hu. A DNS-lekérdezés online is elvégezhető például a dnstools.com Reverse lookup szolgáltatásával.
  • Máskor az IP-címből nem állítható elő gépnév, ilyenkor például a network-tools.com WhoIs szolgáltatását használhatjuk. Az IP-címet megadva megtudjuk, hogy az melyik internet szolgáltatóhoz tartozik.

Ha bejelentést szeretnénk tenni a fenti példa internetszolgáltatójánál, akkor a http://bacs-net.hu/ oldalról kell elindulnunk.

A lap eredeti címe: „http://hu.spam.wikia.com/wiki/Spammer_internetszolg%C3%A1ltat%C3%B3j%C3%A1nak_meghat%C3%A1roz%C3%A1sa
Értékeld a cikket: