Bergonzini.com

Cruzada contra el SPAM

SPAMDesde hace unos días tengo un nuevo hobby y es la lucha contra el SPAM. Hasta la fecha me limitaba a seguir los principios básicos de seguridad pasiva y defenderme de lo que me llega con todo tipo de filtros locales y de servidor. Pero creo que ha llegado el momento de pasar a la acción y atacar con las herramientas que tengo a mano, pocas y débiles, pero que me hacen pasar un buen rato.

Para hacerlo sencillo os voy a postear dos ejemplos que me han llegado hoy:

Ejemplo #1
From:     Grace Begay <ericaritomsic@allsaintsfan.com>
To:       Abergonzini <abergonzini@xxxxxxx.es>
Return-Path: <e.widek@cumbriamail.com>
Received: from tsmtp7.mail.isp ([10.20.4.27]) by mb23.xxxxxx.es
          (xxxxxx.es) with ESMTP id IE19IH01.PT5 for
          <abergonzini@xxxxxxx.es>; Mon, 28 Mar 2005 01:06:17 +0200
Received: from MASTER-OJ07M7CK ([83.214.95.112]) by
          tsmtp7.mail.isp (xxxxxx.es) with SMTP id IE19IF00.9QD for
          <abergonzini@xxxxxx.es>; Mon, 28 Mar 2005 01:06:15 +0200
X-Message-Info: LCLHB92eyAKChTmt7h8+Ff3kGR
Received: from mail0283.gy.uk2.net (116.0.241.69) by ez0-za0.pakistans.com with Microsoft SMTPSVC(5.0.2195.6824); Mon, 28 Mar 2005 01:05:11 +0200
Received: from MJQDX880 (sgb76.150.132.7.wes475.gej.lissamail.com 99.170.20.32)
    by mail163.k.gaza.net (8.8.41oq864/74.293.12) with SMTP id hj10D681OJecb272;
    Sun, 27 Mar 2005 20:04:11 -0300
Message-ID: <14pe084ir478v871sd$u049drb6n26$uz112jf223@OAO9>
References: <erda9-JM41FtjyGdL361U0p975@graffiti.net>
Date: Mon, 28 Mar 2005 03:04:11 +0400
Delivery-Date: Mon, 28 Mar 2005 01:17:46
Status: U
Subject: seen this?
Mime-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

Let our fully automated marketing system help you grasp a six figure income=
 this year. Fully automated with the ability to do your business from home;=
 this marketing system works for you 24 hours a day.
blablablablabla....
Please copy and paste the following link into your browser to learn more.
Go here for web site -> > http://www.Unlockyourfinancialfuture.com
Has Your Dream Found YOU Yet?
=93Every $5,000 you invest at 20% interest means a return of $1,000,000 in 20=
 years, thus every $5,000 you misspend today, can mean a lost opportunity of=
 $1,000,000 in 20 years=94
Del mensaje nos quedamos con la parte de la cabecera que nos indica el tráfico del mail, es decir por dónde ha pasado el mail, que está señalado en el tag de received.
El Primero nos indica que mb23.xxxxxx.es es el destino final de mensaje y que ha pasado por tsmtp7.mail.isp ([10.20.4.XX]) que tiene toda la pinta de ser una dirección local de mi servidor.
En la segunda línea, vemos que además de lo que ya sabemos, encontramos que ha sido enviado por MASTER-OJ07M7CK ([83.214.95.112]).
La tercera línea es más rara, pero se pierde el enlace y vemos que ha pasado por mail0283.gy.uk2.net (116.0.241.69) y por ez0-za0.pakistans.com, es decir que no sabemos como ha llegado a MASTER-OJ07M7CK.
La cuarta línea dice que ha pasado por MJQDX880 (sgb76.150.132.7.wes475.gej.lissamail.com 99.170.20.32).

Si nos fijamos en las relaciones de envio y recepción resulta que se pierde la cadena en el tercer received y parece que los dos últimos received son puestos a mano para despistar (práctica muy común). Así, que el que ha enviado verdaderamente el mail ha sido MASTER-OJ07M7CK ([83.214.95.112]). Ya tenemos un ganador.

Haciendo un whois de la IP no obtenemos ningún tipo de información, por eso lo mejor será hacer un Trace Route a ver dónde nos lleva. El resultado es positivo y nos informa que los últimos pings son de:

15    125    125    124        195.22.210.103    par12-par2-racc1.par.seabone.net   
16    125    124    124        195.22.210.46    customer-side-tifrance-2-fr-par12.par.seabone.net  
17    170    172    171        83.214.95.112    MASTER-OJ07M7CK

Ya tenemos más cosas, ahora hacemos un whois de su ISP: seabone.net y nos encontramos con:
Telecom Italia Sparkle SpA
Via Macchia Palocco  223
Roma 00125
IT
Domain Name: SEABONE.NET
Hacemos un lookup a ver si tiene direcciones de reclamaciones y nos regala dos direcciones de correo postmaster@ y abuse@.

Ahora analizamos el texto del mensaje y vemos que nos lleva a una URL Unlockyourfinancialfuture[puto]com, vemos quién es su ISP con un whois y nos dice que es GoDaddy, a este también le buscamos las direcciones de abuso y nos regala abuse@.

Como detalle también podemos informar a cumbriamail.com que es el dominio destinatario del Return-Path:

Con esto ya podemos construir un mail a todos estos ISP para que tomen las medidas necesarias de este abuso.

Ejemplo #2

Este segundo ejemplo es más sencillo todavía:

From:     Mykola Norwood <Kistna@jheiss.com>
To:       Lieven Fairchild <antispam@xxxxx.com>
Return-Path: <Kistna@jheiss.com>
Received: from smtp-01.xxxxx.net (llsa735-a01.xxxxx.net [82.223.19x.xx])
    by llca510-a.servidoresdns.net (Cyrus v2.1.11-Invoca-RPM-2.1.11-4) with LMTP; Sun, 27 Mar 2005 12:41:05 +0200
X-Sieve: CMU Sieve 2.2
Received: from jheiss.com (i-195-137-6-205.freedom2surf.net [195.137.6.205])
    by smtp-01.xxxxx.net (Postfix) with SMTP id 39C143D90EE
    for <antispam@xxxxx.com>; Sun, 27 Mar 2005 12:41:04 +0200 (CEST)
Date: Sun, 27 Mar 2005 05:41:14 -0500
X-MSMail-Priority: Normal
X-Unsent: 1
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1106
Message-Id: <20050327104104.39C143D90EE@smtp-01.servidoresdns.net>
Delivery-Date: Sun, 27 Mar 2005 13:12:57
Status: U
Subject: Re: MeedsByMail AJS:40
Mime-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Content-Transfer-Encoding: quoted-printable

{!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN"}
{HTML}{HEAD}
{META http-equiv=3DContent-Type content=3D"text/html; charset=3Dus-ascii"}
{META content=3D"MSHTML 6.00.2800.1106" name=3DGENERATOR}
{STYLE}{/STYLE}
{/HEAD}
{BODY bgColor=3D#ffffff}
{DIV}{FONT face=3DArial}Hello, {/FONT}{A
href=3D"http://www.lppujp.cqji.com.westdgsc.com/"}{FONT=
 face=3DArial}MedicationsByyMail
SHOP{/FONT}{/A}{FONT face=3DArial} Welcomes You.{/FONT}{/DIV}
{/BODY}{/HTML}

Igual que en caso anterior analizamos los received, la primera línea es de mi servidor. La segunda nos encontramos que ha llegado a mi servidor cortesía de jheiss.com (i-195-137-6-205.freedom2surf.net [195.137.6.205]).
Vemos que la IP pertenece directamente al dominio freedom2surf.net que haciendo un Trace nos indica que es proveedor final. Así que buscamos directamente el Lookup para ver a quien podemos denunciar y nos devuelve: postmaster@ y abuse@.

El paso sencillo es ver la url hay dentro del mensaje XXX.lppujp.cqji.com.westdgsc[puto]com, igualmente le hacemos un whois y oh! sorpresa! dicen que son de madrid y que curioso ha sido creado hoy mismo :D
Buscamos quien es su ISP mediante el Tracer:

15    187    185    175        200.170.193.222    200-170-193-222.core01.spo.ifx.net.br

Ya tenemos su ISP, ahora buscamos el abuse@ y ya tenemos otra reclamación en marcha :D

Como modelo de mensaje de reclamación podeis utilizar el mio (que ha sido adaptado del existente en abuse.net):

Dear Administrator,

The enclosed spam mail is being forwarded to you because your system name or that of a system
for which you are a listed system admin appears in the headers or as a reference in the text.
As you are doubtless aware, this sort of electronic junk mail is completely contrary to
established guidelines for use of the Internet email service. Please take whatever steps are
necessary to see that this person sends out no more of these, and that this practice is
curtailed on your system.

By US Code Title 47, Sec.227(a)(2)(B), a computer/modem/printer meets the definition of a
telephone fax machine. By Sec.227(b)(1)(C), it is unlawful to send any unsolicited
advertisement to such equipment. By Sec.227(b)(3)(C), a violation of the aforementioned Section
is punishable by action to recover actual monetary loss, or $500, whichever is greater, for
each violation.

By European directive 2001/31/CE from July, 8th  of 2000 and Spanish Code 34/2002 from July
11th (LSSI), a violation of the aforementioned directive is punishable by action to recover
actual monetary loss, or  30.000 €, whichever is greater, for each violation.
 Tal vez todo esto sirva de bien poco para contrarestar el spam, pero tal vez sirva para algo más que tener una política de seguridad pasiva y dejarselo bien fácil a los spammers. Además, se aprende mucho haciendo todo esto ;)

Más info en mis enlaces: Internet -> Test y Internet -> SPAM

Please enable Javascript (and reload this page) to add any comments.

  
¿Recordar información personal?

Emoticonos / Textile

Para evitar spam, se ha añadido esta estúpida pregunta . Si la resuelves correctamente tu comentario será publicado.
 

  (Registrar su nombre de usuario / Validarse)

Notificar:
Hide email:

Letra pequeña: Todas las etiquetas html excepto

Calendario

« Abril 2018
D L M X J V S
1 2 3 4 5 6 7
8 9 10 11 12 13 14
15 16 17 18 19 20 21
22 23 24 25 26 27 28
29 30          

Archivo

201510, 201509, 200912, 200911, 200910, 200909, 200711, 200705, 200704, 200702, 200701, 200612, 200611, 200610, 200609, 200608, 200605, 200603, 200602, 200601, 200511, 200510, 200509, 200507, 200506, 200505, 200504, 200503, 200502, 200501, 200412, 200411, 200410, 200409,