Dziś z rana powitała mnie wiadomość następującej treści (poniżej razem z ważniejszymi nagłówkami):
X-Virus-Scanned: by amavisd-new using ClamAV (1)
X-Spam-Flag: YES
X-Spam-Score: 11.848
X-Spam-Level: ***********
X-Spam-Status: Yes, score=11.848 tagged_above=-10 required=6.31
tests=[FH_HELO_EQ_D_D_D_D=0.498, HELO_DYNAMIC_HCC=2.28,
HELO_DYNAMIC_IPADDR2=2.213, HTML_IMAGE_ONLY_20=1.808,
HTML_MESSAGE=0.001, HTML_SHORT_LINK_IMG_3=0.556,
HTML_TAG_BALANCE_BODY=0.807, LOW_PRICE=1.159, NA_HIGHQ=0.5,
RCVD_IN_BSP_OTHER=-0.1, RCVD_IN_PBL=0.509, TVD_RCVD_IP=1.617]
autolearn=disabled
Received: from 187-101-64-28.dsl.telesp.net.br (unknown [187.101.64.28])
by infowizja._____.pl (Postfix) with ESMTP id 3C3E430CB61F
for <guzik@anka.___.pl>; Thu, 6 Oct 2011 00:44:09 +0200 (CEST)
Received: from mta900.em.linkedin.com (mta900.em.linkedin.com [63.211.90.176])
by shlsmtp4.panolam.com (8.13.8/8.13.8) with ESMTP id O5979QW993578
for <guzik@anka.___.pl>; Wed, 5 Oct 2011 21:43:28 -0300
Date: Wed, 5 Oct 2011 21:43:28 -0300
From: „LinkedIn” <linkedin@em.linkedin.com>
To: guzik@anka.___.pl
Message-ID: <xz7pcstn3ga0rf9eqqbwm7jq3rfsbvp2.23907141675.814@mta900.em.linkedin.com>
subject: ***SPAM*** So now you’re on LinkedIn: What’s next?
Reply-To: „LinkedIn” <support-m8a8rfvnvvwg9458687wp31wjk032dv@em.linkedin.com>Electronic messaging service
Available databases: (We have any database if you need)
USA 89 000 000 email – 700 EUR (1000 $)
Canada 18 000 000 email – 350 EUR (500 $)
Germany 60 000 000 email – 700 EUR (1000 $)
Great Britain 39 000 000 email – 500 EUR (750 $)
France 50 000 000 email – 500 EUR (750 $)
Europe (can offer any country separately) 430 000 000 email – 1000 EUR (1500 $)
Commonwealth of Independent States (CIS) 32 000 000 email – 400 EUR (600 $)
Russia 19 000 000 email – 200 EUR (300 $)HIGH QUALITY MESSAGING!!! THE LOW PRICE!!!
ICQ: 624 657 171
Jak to możliwe, że wsparcie serwisu LinkedIn wysyła do nas oferty baz adresów do spamowania? Otóż i nagłówki mogą czasem kłamać.
Powyżej widzimy, że wiadomość pochodzi z prawdziwego adresu, a jej źródłem jest host mta900.em.linkedin.com [63.211.90.176], co dodatkowo ją uwierzytelnia. Zazwyczaj jednakże pomiędzy polami Received jest ciągłość, bo każdy kolejny serwer dopisuje tam siebie (ew. wycina poprzedników, ale nie selektywnie). Tutaj tego brak.
Kawałek z tym nagłówkiem można tak naprawdę wkleić samemu w sesji SMTP po komendzie DATA i stworzyć równie wiarygodną wiadomość. A nawet lepszą dbając o ciągłość.
Dodatkowo przyszło to na konto, które być może jest dowiązane do mojego profilu w serwisie LinkedIn, ale nie jest kontem podstawowym, na które przychodzą prawdziwe wiadomości. Niemniej korzystam z tego serwisu, więc to mogło się udać.
A po trzecie – prawdziwy LinkedIn stosuje DKIM i dokleja również swoje sygnatury. Wystarczyło trochę wyobraźni i też można było to zrobić. Serwery mojego dostawcy hostingu w żaden sposób tego nie sprawdzają, więc i tak by przeszło.
No, ale jeśli ktoś nie testuje wysyłki na własnych maszynach ze standardowymi filtrami antyspamowymi (tutaj blisko 12 punktów!), to chyba nie można wymagać lepszego fałszowania nagłówków…
3 komentarze do
6 października, 2011 o godzinie 10:00
Proponuję zmianę w tytule posta z „Może posmapujesz?” na „Może pospamujesz?” ;)
6 października, 2011 o godzinie 10:01
@timor: zmieniłem.
URL z naturalnych powodów został stary
30 listopada, 2011 o godzinie 22:30
[…] to co w podglądzie wiadomości (nota bene można go dowolnie ustawić podczas transmisji – pisałem o tym w kontekście […]