Pod koniec zeszłego tygodnia otrzymałem wiadomość od właściciela firmy, z którą współpracuję. Często w ten sposób wymieniamy się projektami i informacjami, więc w samym fakcie otrzymania takiej wiadomości nie było nic niezwykłego, nawet w niedzielę. Jego nazwisko jako nadawcy uśpiło mą czujność i nie zwróciłem uwagi, że przeglądam skrzynkę prywatną (on tego adresu na pewno nie ma), a nie firmową.
Jednakże niecodzienny temat skłonił do przemyśleń. Rzadko bowiem tytułuje swoje wiadomości „Advertising, the goods for the test is given free of charge” (jeśli w ogóle to robi, ugh!). Treść (na obrazku obok) też niecodzienna – w tym zakresie nie współpracujemy na pewno.
Dobra, na pierwszy rzut oka – jakieś robactwo u niego. Rozsyła się do wszystkich z książki, stąd też trafiło do mnie.
Ale chwila – nadawca na liście wiadomości jest znany, ale w podglądzie już nie (sprawdź rysunek obok). Jak wygląda źródło?
X-Virus-Scanned: by amavisd-new using ClamAV (1) X-Spam-Flag: YES X-Spam-Score: 19.374 X-Spam-Level: ******************* X-Spam-Status: Yes, score=19.374 tagged_above=-10 required=6.31 tests=[DATE_IN_FUTURE_12_24=3.299, HTML_MESSAGE=0.001, MIME_HTML_ONLY=1.672, RCVD_HELO_IP_MISMATCH=2.32, RCVD_IN_PBL=0.509, RCVD_IN_SORBS_WEB=1.117, RCVD_IN_XBL=2.896, RCVD_NUMERIC_HELO=2.599, TVD_RCVD_IP=1.617, TVD_RCVD_IP4=3.344] autolearn=disabled X-Seen: 71cd323a4333a19227648a24927d96ae54657bf1 Received: from 77.55.15.70 (unknown [91.218.2.30]) by infowizja._____.pl (Postfix) with SMTP id 96FD930CBEC1 for <guzik@anka.___.pl>; Sun, 27 Nov 2011 10:48:24 +0100 (CET) Message-ID: <5888391924801-VSAIBNGJEYJZELSFABGNGKYH@hhyswloaifdmie846997dns0. clickzbooks.com> From: "Sexual culture." <Álvaro.Kerr@chimigraf.com> subject: ***SPAM*** Advertising, the goods for the test is given free of charge To: guzik@anka.___.pl Date: Sun, 27 Nov 2011 21:43:16 -0300 Mime-Version: 1.0 Content-Type: text/html; charset="windows-1252" Content-Transfer-Encoding: 7Bit <HTML> <HEAD> <META http-equiv=Content-Type content="text/html; charset=windows-1252"> </HEAD> <BODY> <font size="3" face="Verdana, Tahoma, Helvetica, Lucida Calligraphy, Lucida Handwriting, sans-serif"><strong><EM>Simply, effectively, reliability... The true sexual effect for real people.</EM></STRONG></FONT><br> <a href="http://urltea.me/shg"><font size="2" face="Verdana, Tahoma, Helvetica, Lucida Calligraphy, Lucida Handwriting, sans-serif"><strong><EM> The best sexual sensation. Today and now,New natural mix for your sexuality. </EM></STRONG></FONT></A>
O! Ani słowa o nim. Nagłówek From:
przedstawia to co w podglądzie wiadomości (nota bene można go dowolnie ustawić podczas transmisji – pisałem o tym w kontekście Received
).
Hmmm. Coraz więcej nieścisłości. Zbierzmy fakty do kupy:
- Wiadomość przyszła na adres, którego rzekomy nadawca (ten z listy wiadomości) nie ma w swojej książce
- Adres z listy nie zgadza się z adresem z podglądu wiadomości
- W źródle wiadomości w ogóle nie występuje to, co jest w kolumnie 'Nadawca’ programu pocztowego Thunderbird (wersja 8.0; kanał release)
- Na drugim komputerze (ten sam program, oddzielna książka adresowa) nadawca jest inny
Powyższe wskazuje na to, że mój kontrahent nie ma nic wspólnego z tą wiadomością, a problem leży po stronie programu pocztowego.
Podejrzanym jest nagłówek From:
. Pierwszy test jedynie z tym nagłówkiem potwierdza to:
220 server ESMTP ready
HELO localhost
250 server
MAIL FROM:
250 2.0.0 OK
RCPT TO:
250 2.1.5 Ok
DATA
354 End data with.
From: "Sexual culture." <Álvaro.Kerr@chimigraf.com>
Subject: TEST
test
.
250 2.0.0 Ok: queued as DD57E1F4C02E
I w tym momencie mogłem pójść jedną z dwóch ścieżek:
- przejrzeć źródła programu i sprawdzić co się kryje w kodzie
- pokombinować z nagłówkiem
Jako kiepski programista wybrałem drugą drogę.
Wnioski – problem stanowi znak Á (ASCII 193; wystarczy From: Á
). Inne znaki w jego okolicy również są problematyczne i wyświetlają to samo nazwisko, czyli trop jakoby było to odwzorowanie na jakieś ID w bazie adresów nie jest jasny.
Na tym kończę swoje dochodzenie. A dla wszystkich czytelników zadanie domowe – sprawdzić jak zachowuje się to u Was (tylko Mozilla Thunderbird, innych nie ma sensu sprawdzać). Jako zadanie dodatkowe – przejrzeć źródła i sprawdzić czemu dokładnie tak jest. Premia w postaci dowolnego popularnego napoju podawanego w barze za zgłoszenie błędu do Mozilla ;-)