PI   laBitácora.net                   Mirror Cd por nevrlndtink1

« PreviousNext »

El spam y su cabecera

27 Octubre 2005

Parece que el correo electrónico no deseado (spam) ya no es lo que era. Hemos pasado de recibir correos publicitarios a mansalva a recibir uno de vez en cuando. En mi caso que lo que tengo es mi propio servidor de correo (losInvisibles.net) y no tengo ningún filtro antispam y además mi dirección la dejo con mucha alegría por la red lo he notado mucho. He pasado de más de 20 correos de spam diarios a 2 como mucho.

Para celebrarlo he decidido echar un vistazo a la cabecera de uno de esos correos-spam que más recibo (The Ultimate Online Pharmaceutical). Es de esos en los que nos venden viagra, entre otros medicamentos, como si fuesen naranjas.

Estudiemos la cabecera del correo:

Return-Path: [email protected]
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from -1208938856 (ALyon-251-1-43-20.w83-197.abo.wanadoo.fr
+[83.197.13.20])
by losInvisibles.net (Postfix) with SMTP id 131FBD6F9A
for ; Sat, 22 Oct 2005 22:44:13 +0200 (CEST)
Received: from aguascalientes.com (-1211960432 [-1209006920])
by ALyon-251-1-43-20.w83-197.abo.wanadoo.fr (Qmailv1) with ESMTP id
+CCC218B348
for ; Sat, 22 Oct 2005 16:42:31 -0400
Date: Sat, 22 Oct 2005 16:42:31 -0400
From: Doctor
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
Message-ID: <[email protected]>
To: Simon
Subject: The Ultimate Online Pharmaceutical
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”———-33F457865B219B5″
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.10; AVE: 6.20.0.1; VDF:
+6.20.0.46; host: ALyon-251-1-43-20.w83-197.abo.wanadoo.fr)

En principio parece que el correo nos llega de un tal Doctor con dirección [email protected] La dirección del remitente en principio no es significativa, ya que a la hora de componer el correo podemos poner el remitente que nos de la gana, en el caso de mi servidor el único filtro que aplico es comprobar que el servidor del remitente, en este caso Aguascalientes.com, existe.

De abajo hacia arriba en la cabecera tenemos:

En la parte inferior de la cabecera en este caso nos indica que ha sido escaneado por un antivirus, el tipo de contenido y la versión del MIME.

Posteriormente tenemos a quien va dirigido (To:) y el título del mensaje (Subject:).
Luego tenemos el ID del mensaje (Message-ID), y por encima tenemos la etiqueta Received que va siendo añadida por cada servidor que va pasando el correo.

En esta etiqueta tenemos un from que nos indica de donde viene y by que nos indica a donde llega y a veces un for que nos indica a donde va.

Hay spammers más evolucionados que escriben en la parte superior un Received falso para intentar engañar sobre el origen del mensaje. La etiqueta que nos marca el origen de real de los Received es Message-ID de esta etiqueta hacia abajo es modificable por el autor del correo, y de está etiqueta hacia arriba se va escribiendo por los servidores que se va encontrando en la trayectoria nuestro querido mensaje.

En nuestro caso ha pasado por dos servidores hasta llegar al nuestro:
1- aguascalientes.com. Incorrecto, como explica el comentario 2. Con la cabecera que tenemos no podemos tener la seguridad de que haya salido de aguascalientes.com.
2- ALyon-251-1-43-20.w83-197.abo.wanadoo.fr

El orden de ruta de la cabecera es de abajo arriba, también nos podríamos fijar en la fecha pero esta podría no estar correcta en los distintos servidores por los que va pasando.

Así que la trayectoria ha sido del servidor de aguascalientes.com (no lo podemos asegurar) al de wanadoo en Francia donde lo ha recogido un servidor de correo Qmail (que por cierto aquí también tuvimos uno) y este me lo ha reenviado a mi.

Si se hubiese enviado desde un servidor de correo en la máquina Aguascalientes.com aparecería un Received con el nombre del servidor, la IP, el nombre del programa que hace las funciones de servidor de correo y normalmente el usuario que lo ha hecho.
Pero no aparece nada de eso, así que tiene pinta que han montado el correo y la cabecera desde un programa (que no es servidor de correo) y que está corriendo en el servidor de aguascalientes, que es donde está el foco del spam.
Existe también la posibilidad (comentario 2) de que se haya enviado desde otro sitio, haciendo parecer que viene de aguascalientes.com.

Comprobamos si efectivamente no tienen un servidor de correo electrónico ejecutándose en aguascalientes:

nmap �??P0 aguascalientes.com

PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
858/tcp filtered unknown

Efectivamente no tienen el puerto 25 abierto.

Tienen el 22 y el 80 lo que indica que seguro que tienen un ssh y un servidor web.
El puerto 22 se estará utilizando para administrar y controlar el sitio desde remoto.
Y el puerto 80 es porque tienen una página web.

En la página se ve que es un portal de información diversa de Aguascalientes en Mexico. Y como se puede ver el contenido del portal no tiene ninguna relación con nada farmacéutico así que huele a que se les ha colado algún cracker y está aprovechando la máquina para enviar spam.
Si miramos el nombre de quien está registrado el dominio nos remite a Latin America Telecom Inc.

Registrant:
Latin America Telecom Inc.
Rami Schwartz
4 Gateway Center 9th. Floor
Pittsburgh, Pa 15222
US
Email: [email protected]

Registrar Name….: REGISTER.COM, INC.
Registrar Whois…: whois.register.com
Registrar Homepage: www.register.com

Domain Name: aguascalientes.com

Created on…………..: Wed, Dec 24, 1997
Expires on…………..: Sat, Dec 16, 2006
Record last updated on..: Mon, Aug 08, 2005

Administrative Contact:
Latin American Telecom Inc.
Rami Schwartz
4 Gateway Center 9th. Floor
Pittsburgh, Pa 15222
US
Phone: 052-552-1671617
Email: [email protected]

Technical Contact:
Latin American Telecom Inc.
Rami Schwartz
4 Gateway Center 9th. Floor
Pittsburgh, Pa 15222
US
Phone: 052-552-1671617
Email: [email protected]

Posted in Seguridad, Hacking | Trackback | del.icio.us | Top Of Page

    12 Responses to “El spam y su cabecera”

  1. Ceritium Blog Says:
    Diseccionando el SPAM
    Simon nos hace una completa diseccion de un email con spam en LaBitacora.net, a mi parecer bastante interesante para aprender como obtener informaci�?³n de las cabeceras de un email y poder saber de donde proviene este.
    Muy util cuando tienes coleguit…

  2. Rami Schwartz Says:

    Que tal, soy el dueño de Aguascalientes.com, dominio del que usted dice recibió un correo electrónico de farmacéuticos, en concreto de la dirección [email protected]
    La cuenta [email protected] es una cuenta falsificada y no hay nada que podamos hacer al respecto. Esta cuenta no existe en nuestros servidores. Si le mandas un correo te vas a dar cuenta que te rebota porque la cuenta no existe.
    Otra cosa, la dirección IP de aguascalientes.com tampoco es 83.197.13.20.
    Los Spammers usan cuentas falsificadas para enviar correos porque realmente no les interesa la respuesta a los mismos, toda la información que desean transmitir se encuentra en el cuerpo del mensaje y por ello es que no les interesa si el remitente es válido o no.
    Si los servidores de correo cotejasen dirección IP con URL y se asegurasen que coinciden ambas, la totalidad de estos mensajes (spoof)serían eliminados, desafortunadamente todos los servidores de correo electrónico en el mundo sólo verifican que el dominio esté activado para prestar servicios de correo electrónico y dejan pasar los mails.
    Si tienes algunas ideas de cómo evitar esto, estoy a tus órdenes, de lo contrario sugiero a tus lectores que identifiques patrones dentro de los mensajes de los espammers y usen sus filtros de correo para bloquearlos.
    Mucho agradeceré te sirvas dar a mi respuesta el mismo lugar e importancia que a tu escrito original en descargo a a la información que sobre mi empresa tuviste a bien publicar.
    Saludos
    Rami Schwartz
    Director General
    Latin American Telecom Inc.
    [email protected]

  3. Rene Says:

    Me gustaria saber si te ha llegado alguna respuesta acerca de este spam. estoy siendo atacado a nuestro servidor personal con una serie de e-mails, que por lo que lei en este articulo y el rastreo que he hecho, entran siempre de cualquier remitente, aun el link al que apunta al final del email no existe el dominio como tal, el problema es que filtro cada vez la dirección como correo no deseado, pero como llegan de diferente remitente, no tiene sentido que haga esto en teoria, agradezco cualquier ayuda que me puedas proveer en mi e-mail con una identificación segura para que yo tenga confiansza de abrirlo. Gracias

  4. scarlett johansson Says:
    scarlett johansson
    Just wanna to say Hello

  5. cheap flights Says:
    cheap flights

  6. Offshore Gambling Says:
    Offshore Gambling
    Good discussion!

  7. Gracy Trendesson Says:
    Gracy Trendesson
    Gracy - Trendesson

  8. pista Says:

    aparte de antispam para correo también lo hay para los comentarios de wordpress XD

  9. Greg Frellond Says:
    Greg Frellond
    Greg - Frellond

  10. Mike Oason Says:
    Mike Oason
    Mike - Oason

  11. folly freik Says:
    folly freik
    folly - freik

  12. web templates Says:
    web design
    choose your web template

Leave a Reply




Estadísticas
Licencia Creative Commons