Votre question

Recherche origine d'un SPAM

Tags :
  • Programme
  • Internet
Dernière réponse : dans Internet
6 Février 2005 10:45:10

Bonjour,
petites questions pour personnes , très intelligentes : sur internet , on nous dit que connaître l'origine d'un SPAM , il faut regarder l'entête du code du mail
et la renvoyer aux services abuse@ du provider à qui appartient l'adresse IP de l'envoyeur .

C'est franchement n'importe quoi :
1) d'un mail à un autre l'adresse IP est très différente (pas le même provider) sans parler que le SPAMMER peut la falsifier (non ?)
2) A moins que le programme SPAMMER soit en fait un programme qui navigue sur le WEB (comme un virus) et qui se connecte régulièrement sur une base d'adresse email à spammer .(c'est possible ?)
3) Moi personnellement , pour trouver l'origine des SPAM , je me pose moins de question :
Je regarde le code source , je récupère les adresses http qu'il contient , fait une recherche sur le réseau WhoIs et partant sur le principe que c'est eux , les spammers , je renvoie les corps des mails (sans fichier lié) aux abuse@ de leur provider , de leur registrar (pour qu'il supprime tous les noms de domaine qu'a acheté le spammer : plusieurs par jour) . Dans la base WhoIs , on a aussi l'identité du propriétaire du site (le spammer) , elle est sans doute fausse sauf peut-être son adresse email. Ainsi j'envoie aussi un abuse@ au provider de son adresse email .

Résultat : en faisant comme ça ,un spammer ne tient pas plus de 3 mois . Je l'ai fait sur 1 de mes 2 messagerie . Je suis passé de 70 spams / semaine à 15 .

Et vous avez-vous une méthode pour les retrouver ?



Autres pages sur : recherche origine spam

6 Janvier 2009 20:34:35

Dans ce qui suit c'est qui c'est quoi qui est le spameur et le provider?


Domain Name: aupsywix.cn
ROID: 20081230s10001s21872246-cn
Domain Status: ok
Registrant Organization: 雷宝利
Registrant Name: 雷宝利
Administrative Email: leibaolir@163.com
Sponsoring Registrar: 北京新网数码信息技术有限公司
Name Server:ns4.xilug.com
Name Server:ns3.xilug.com
Registration Date: 2008-12-30 23:06
Expiration Date: 2009-12-30 23:06
6 Janvier 2009 22:04:17

@ignalina : ce n'est pas que l'adresse change tout le temps, c'est que les spams ne viennent pas tous de la même adresse


Pour spammer, la méthode est simple :
a-on infecte quelques millions de PC (le tiens, le miens, ceux des entreprises, ...) avec un petit soft qui se connecte de temps en temps à des serveurs (ou d'autres PC), bien évidemment contrôlés par le spammer, sur le net
b-le petit bout de code récupère alors ses instructions (mise à jour pour rester caché des mises à jour d'antivirus, ou pour désactiver ceux ci, exemple de corps de spams, méthode de génération des adresses mail source et cible, ...) et passage d'un mode dormant à un mode actif
c-le bout de code passe en mode actif et se met à spammer

sur le milliard (ce n'est pas une façon de parler ni une exagération, il s'agit des stats de mes serveurs) de mail que je traite chaque année, 45% viennent de PC infectés (ip d'isp), 40% de serveurs hébergés chez tel ou tel prestataire +/- conciliant, le reste vient d'entreprises ou constitue des MAIL (des vrais :)  )

il y a 3 informations dans un spam

1-l'adresse IP source

2-le ou les MX utilisé(s)
3-l'entreprise qui "peut" profiter du spam (mais ce n'est pas toujours, même de moins en moins, profitable à l'entreprise qui est souvent victime)

Delivered-To: mon@adresse.mail
Received: by 10.181.206.14 with SMTP id i14cs447322bkq;
Sun, 4 Jan 2009 15:12:28 -0800 (PST)
Received: by 10.114.209.1 with SMTP id h1mr13399557wag.105.1231110747031;
Sun, 04 Jan 2009 15:12:27 -0800 (PST)
Return-Path: <shleew@ubi.com>
Received: from 20151138191.user.veloxzone.com.br (20151138191.user.veloxzone.com.br [201.51.138.191])
by mx.google.com with ESMTP id q18si32811545pog.23.2009.01.04.15.12.21;
Sun, 04 Jan 2009 15:12:27 -0800 (PST)
[...]
Message-ID: <53da019dc2c9$53141398$f2340ed3@ubi.com>
From: "=?windows-1251?B?QWJldSBCZWNr?=" <shleew@ubi.com>
To: <mon@adresse.mail>
[...]


1-l'adresse IP source : vous permet de retrouver le FAI du spameur dans la plupart des cas-> abuse@fai
mais comme de plus en plus les spams viennent de pays qui n'ont pas de réglementation, c'est souvent un coup pour rien

2-si le MX est différent de l'IP source (celle d'origine), ça veut dire que le mail est passé par des relais-> abuse@chacun des relais

3-le spam fait probablement de la pub pour une entreprise, si celle-ci existe vraiment (whois+registre du commerce du pays hôte)-> abuse@entreprise, si c'est un fake (site d'arnaque, phishing, ...)-> abuse@hebergeur.du.site

maintenant pour se prémunir de tout ça, il existe une méthode très efficace, demander aux entreprises de configurer CORRECTEMENT leurs systèmes de messagerie (en envoi comme en réception)

parmi les méthodes de protection on peut citer par exemple :
-Record MX : vérifier que le domaine du mail est bien associé à un domaine de messagerie
-SPF/SenderID/DKfilter : faire en sorte que les serveurs qui envoient des mails soient autorisé à le faire pour tel ou tel domaine

si TOUTES les entreprises (et particuliers disposant d'un serveur de mail et d'un domaine) utilisaient l'une ou l'autre de ces protections, presque aucun spam ne pourrait passer

[coup de gueule]
la problématique est la suivante, si je veux par exemple vérifier qu'un mail qui arrive provient bien d'un serveur MX, une simple résolution DNS suffit, mais comme la plupart des administrateurs de systèmes de messagerie ne connaissent RIEN à leur métier et envoient leurs mails depuis la machine qui les arrange, si je fais ce contrôle, je vais droper tous leurs mails légitimes

je peux aussi vérifier que l'entête est bien formé pendant le dialogue smtp, ce qui me permet de droper une bonne partie des spams envoyés directement par des PC infectés, mais comme ces mêmes administrateurs prennent la config par défaut pour leurs serveurs, je ne peux pas faire cette vérification

...
je pourrai citer des dizaines de méthodes de filtrage qui seraient efficace si les VRAIS serveurs étaient correctement configurés
[/coup de gueule]
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS