sendmail's faked headers

Maxim Tuliuk

2 Nov 2005 2 Nov '05

7:01 a.m.

Вот получил жалобы на клиента, но у него версии sendmail какая указана в header нету, nat и squid закрыты для внешнего мира - что может быть? [ Offending message ] Received: from unknown (192.168.1.103) by blade6.cesmail.net with QMQP; 1 Nov 2005 09:23:35 -0000 Received: from vmx3.mail.widexs.nl (213.206.122.202) by mx53.cesmail.net with SMTP; 1 Nov 2005 09:23:34 -0000 Received: from [213.206.122.195] (helo=mx1.mail.widexs.nl) by vmx3.mail.widexs.nl with esmtps (TLSv1:AES256-SHA:256) (Exim 4.44) id 1EWsLq-0003l1-FO for x; Tue, 01 Nov 2005 10:22:42 +0100 Received: from [193.109.60.78] (helo=realkiev.com.ua) by mx1.mail.widexs.nl with smtp (Exim 4.44) id 1EWsLq-0000Y3-3S for x; Tue, 01 Nov 2005 10:22:42 +0100 Received: from mgate.chello.at (mgate.chello.at [213.46.255.2]) by realkiev.com.ua (8.12.11/8.12.11) with ESMTP id tnQl1Cri2VCyHF ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ for <x>; Tue, 1 Nov 2005 04:23:16 -0500 Received: from linx (6.248.240.119) by mgate.chello.at (qmail-ldap-1.03) with SMTP for <x>; Tue, 1 Nov 2005 04:23:16 -0500 Received: (qmail 28513 invoked from network); 1 Nov 2005 14:31:45 -0000 Received: from unknown (66.218.66.216) by m7.grp.scd.yahoo.com with QMQP; 1 Nov 2005 14:31:45 -0000 Received: from unknown (HELO realkiev.com.ua) (193.109.60.78) by mta1.grp.scd.yahoo.com with SMTP; 1 Nov 2005 14:31:44 -0000 Received: from ironport01.ewr.datapipe.net by realkiev.com.ua (8.9.3/8.9.3) with SMTP id dUPHN7U69ouL ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ for <x>; Tue, 1 Nov 2005 09:32:17 -0500 Received: from ensim (123.167.39.36) by ironport01.ewr.datapipe.net (8.12.3 da nor stuldap/8.12.3) with SMTP id bcEVYNT9Cwrj for <x>; Tue, 1 Nov 2005 09:32:17 -0500 Received: (qmail 1611 invoked from network); 31 Oct 2005 20:48:57 -0000 Received: from unknown (HELO outbound28-2.lax.untd.com) (10.130.26.58) by scanmaildb02.lax.untd.com with SMTP; 31 Oct 2005 20:48:57 -0000 Received: (qmail 15502 invoked by uid 514); 31 Oct 2005 20:48:57 -0000 X-Issue-Tag: .catch_spam_mail Delivered-To: support-netzero-net-spamdesk-spam@support.netzero.com Received: from webmail10.lax.untd.com (webmail10.lax.untd.com [10.131.27.150]) by mp03.lax.untd.com with SMTP id AABBYPAZFABAGG3S for (sender <X>); Mon, 31 Oct 2005 12:47:33 -0800 (PDT) X-UNTD-OriginStamp: QoD8nvBD4Y2XoIL2PStDwxwHx0wnu0oGExnzFIw3a8bOJkhFP+J1Vg== Received: (from X) by webmail10.lax.untd.com (jqueuemail) id K8NVX9QZ; Mon, 31 Oct 2005 12:46:36 PST Received: from mx05.lax.untd.com (mx05.lax.untd.com [10.130.24.65]) by maildeliver13.lax.untd.com with SMTP id AABBYNP8GA5T22S2 for <X> (sender ); Mon, 31 Oct 2005 07:27:03 -0800 (PDT) Received: from 193.109.60.78 (realkiev.com.ua [193.109.60.78]) by mx05.lax.untd.com with SMTP id AABBYNP8GADR3SRA for <X> (sender ); Mon, 31 Oct 2005 07:27:02 -0800 (PDT) Received: from mail.amico.com (mail.amico.com [209.217.88.194]) by 193.109.60.78 (8.12.11/8.12.11) with ESMTP id 9Uhs7MCqisYiEC ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ for <X>; Mon, 31 Oct 2005 10:28:13 -0500 Received: from unknown (36.127.143.25) by mail.amico.com (qmail-ldap-1.03) with SMTP for <X>; Mon, 31 Oct 2005 10:28:13 -0500 -- Maxim Tuliuk WWW: http://primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Show replies by date

Andrew Degtiariov

2 Nov 2 Nov

7:52 a.m.

On Wed, Nov 02, 2005 at 09:01:38AM +0200, Maxim Tuliuk wrote:

...

Вот получил жалобы на клиента, но у него версии sendmail какая указана в header нету, nat и squid закрыты для внешнего мира - что может быть?

[ Offending message ] ...

Подделанные заголовки? -- Andrew Degtiariov DA-RIPE =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Vsevolod Volkov

8:27 a.m.

Hello, On Wed, Nov 02, 2005 at 09:01:38AM +0200, Maxim Tuliuk wrote: MT> Вот получил жалобы на клиента, но у него версии sendmail какая указана MT> в header нету, nat и squid закрыты для внешнего мира - что может быть? Подделка. Это видно как минимум по двум признакам: - формат queue id не соответствует sendmail'у; - время в Received sendmail'а должно содержать имя TZ. Тут указано просто смещение относительно UTC. MT> [ Offending message ] MT> Received: from unknown (192.168.1.103) MT> by blade6.cesmail.net with QMQP; 1 Nov 2005 09:23:35 -0000 MT> Received: from vmx3.mail.widexs.nl (213.206.122.202) MT> by mx53.cesmail.net with SMTP; 1 Nov 2005 09:23:34 -0000 MT> Received: from [213.206.122.195] (helo=mx1.mail.widexs.nl) MT> by vmx3.mail.widexs.nl with esmtps (TLSv1:AES256-SHA:256) MT> (Exim 4.44) MT> id 1EWsLq-0003l1-FO MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from [193.109.60.78] (helo=realkiev.com.ua) MT> by mx1.mail.widexs.nl with smtp (Exim 4.44) MT> id 1EWsLq-0000Y3-3S MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from mgate.chello.at (mgate.chello.at [213.46.255.2]) MT> by realkiev.com.ua (8.12.11/8.12.11) with ESMTP id tnQl1Cri2VCyHF MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500 MT> Received: from linx (6.248.240.119) MT> by mgate.chello.at (qmail-ldap-1.03) with SMTP MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500 MT> Received: (qmail 28513 invoked from network); 1 Nov 2005 14:31:45 -0000 MT> Received: from unknown (66.218.66.216) MT> by m7.grp.scd.yahoo.com with QMQP; 1 Nov 2005 14:31:45 -0000 MT> Received: from unknown (HELO realkiev.com.ua) (193.109.60.78) MT> by mta1.grp.scd.yahoo.com with SMTP; 1 Nov 2005 14:31:44 -0000 MT> Received: from ironport01.ewr.datapipe.net MT> by realkiev.com.ua (8.9.3/8.9.3) with SMTP id dUPHN7U69ouL MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <x>; Tue, 1 Nov 2005 09:32:17 -0500 MT> Received: from ensim (123.167.39.36) MT> by ironport01.ewr.datapipe.net (8.12.3 da nor stuldap/8.12.3) with SMTP id bcEVYNT9Cwrj MT> for <x>; Tue, 1 Nov 2005 09:32:17 -0500 MT> Received: (qmail 1611 invoked from network); 31 Oct 2005 20:48:57 -0000 MT> Received: from unknown (HELO outbound28-2.lax.untd.com) (10.130.26.58) MT> by scanmaildb02.lax.untd.com with SMTP; 31 Oct 2005 20:48:57 -0000 MT> Received: (qmail 15502 invoked by uid 514); 31 Oct 2005 20:48:57 -0000 MT> X-Issue-Tag: .catch_spam_mail MT> Delivered-To: support-netzero-net-spamdesk-spam@support.netzero.com MT> Received: from webmail10.lax.untd.com (webmail10.lax.untd.com [10.131.27.150]) MT> by mp03.lax.untd.com with SMTP id AABBYPAZFABAGG3S MT> for (sender <X>); MT> Mon, 31 Oct 2005 12:47:33 -0800 (PDT) MT> X-UNTD-OriginStamp: QoD8nvBD4Y2XoIL2PStDwxwHx0wnu0oGExnzFIw3a8bOJkhFP+J1Vg== MT> Received: (from X) MT> by webmail10.lax.untd.com (jqueuemail) id K8NVX9QZ; Mon, 31 Oct 2005 12:46:36 PST MT> Received: from mx05.lax.untd.com (mx05.lax.untd.com [10.130.24.65]) MT> by maildeliver13.lax.untd.com with SMTP id AABBYNP8GA5T22S2 MT> for <X> (sender ); MT> Mon, 31 Oct 2005 07:27:03 -0800 (PDT) MT> Received: from 193.109.60.78 (realkiev.com.ua [193.109.60.78]) MT> by mx05.lax.untd.com with SMTP id AABBYNP8GADR3SRA MT> for <X> (sender ); MT> Mon, 31 Oct 2005 07:27:02 -0800 (PDT) MT> Received: from mail.amico.com (mail.amico.com [209.217.88.194]) MT> by 193.109.60.78 (8.12.11/8.12.11) with ESMTP id 9Uhs7MCqisYiEC MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <X>; Mon, 31 Oct 2005 10:28:13 -0500 MT> Received: from unknown (36.127.143.25) MT> by mail.amico.com (qmail-ldap-1.03) with SMTP MT> for <X>; Mon, 31 Oct 2005 10:28:13 -0500 MT> -- MT> Maxim Tuliuk MT> WWW: http://primats.org.ua/~mt/ MT> ICQ: 21134222 -- Vsevolod Volkov (VVV-UANIC) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Maxim Tuliuk

12:59 p.m.

On Wed, Nov 02, 2005 at 10:27 +0200, Vsevolod Volkov wrote:

...

MT> Вот получил жалобы на клиента, но у него версии sendmail какая указана MT> в header нету, nat и squid закрыты для внешнего мира - что может быть?

Подделка. Это видно как минимум по двум признакам: - формат queue id не соответствует sendmail'у; - время в Received sendmail'а должно содержать имя TZ. Тут указано просто смещение относительно UTC.

а как по этим headers понять, кто именно подделывает: кто-то из транзитных серверов или троян на компе клиента?

...

MT> [ Offending message ] MT> Received: from unknown (192.168.1.103) MT> by blade6.cesmail.net with QMQP; 1 Nov 2005 09:23:35 -0000 MT> Received: from vmx3.mail.widexs.nl (213.206.122.202) MT> by mx53.cesmail.net with SMTP; 1 Nov 2005 09:23:34 -0000 MT> Received: from [213.206.122.195] (helo=mx1.mail.widexs.nl) MT> by vmx3.mail.widexs.nl with esmtps (TLSv1:AES256-SHA:256) MT> (Exim 4.44) MT> id 1EWsLq-0003l1-FO MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from [193.109.60.78] (helo=realkiev.com.ua) MT> by mx1.mail.widexs.nl with smtp (Exim 4.44) MT> id 1EWsLq-0000Y3-3S MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from mgate.chello.at (mgate.chello.at [213.46.255.2]) MT> by realkiev.com.ua (8.12.11/8.12.11) with ESMTP id tnQl1Cri2VCyHF MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500 MT> Received: from linx (6.248.240.119) MT> by mgate.chello.at (qmail-ldap-1.03) with SMTP MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500

MT> Received: (qmail 28513 invoked from network); 1 Nov 2005 14:31:45 -0000 MT> Received: from unknown (66.218.66.216) MT> by m7.grp.scd.yahoo.com with QMQP; 1 Nov 2005 14:31:45 -0000 MT> Received: from unknown (HELO realkiev.com.ua) (193.109.60.78) MT> by mta1.grp.scd.yahoo.com with SMTP; 1 Nov 2005 14:31:44 -0000 MT> Received: from ironport01.ewr.datapipe.net MT> by realkiev.com.ua (8.9.3/8.9.3) with SMTP id dUPHN7U69ouL MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <x>; Tue, 1 Nov 2005 09:32:17 -0500 MT> Received: from ensim (123.167.39.36) MT> by ironport01.ewr.datapipe.net (8.12.3 da nor stuldap/8.12.3) with SMTP id bcEVYNT9Cwrj MT> for <x>; Tue, 1 Nov 2005 09:32:17 -0500

MT> Received: (qmail 1611 invoked from network); 31 Oct 2005 20:48:57 -0000 MT> Received: from unknown (HELO outbound28-2.lax.untd.com) (10.130.26.58) MT> by scanmaildb02.lax.untd.com with SMTP; 31 Oct 2005 20:48:57 -0000 MT> Received: (qmail 15502 invoked by uid 514); 31 Oct 2005 20:48:57 -0000 MT> X-Issue-Tag: .catch_spam_mail MT> Delivered-To: support-netzero-net-spamdesk-spam@support.netzero.com MT> Received: from webmail10.lax.untd.com (webmail10.lax.untd.com [10.131.27.150]) MT> by mp03.lax.untd.com with SMTP id AABBYPAZFABAGG3S MT> for (sender <X>); MT> Mon, 31 Oct 2005 12:47:33 -0800 (PDT) MT> X-UNTD-OriginStamp: QoD8nvBD4Y2XoIL2PStDwxwHx0wnu0oGExnzFIw3a8bOJkhFP+J1Vg== MT> Received: (from X) MT> by webmail10.lax.untd.com (jqueuemail) id K8NVX9QZ; Mon, 31 Oct 2005 12:46:36 PST MT> Received: from mx05.lax.untd.com (mx05.lax.untd.com [10.130.24.65]) MT> by maildeliver13.lax.untd.com with SMTP id AABBYNP8GA5T22S2 MT> for <X> (sender ); MT> Mon, 31 Oct 2005 07:27:03 -0800 (PDT) MT> Received: from 193.109.60.78 (realkiev.com.ua [193.109.60.78]) MT> by mx05.lax.untd.com with SMTP id AABBYNP8GADR3SRA MT> for <X> (sender ); MT> Mon, 31 Oct 2005 07:27:02 -0800 (PDT) MT> Received: from mail.amico.com (mail.amico.com [209.217.88.194]) MT> by 193.109.60.78 (8.12.11/8.12.11) with ESMTP id 9Uhs7MCqisYiEC MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <X>; Mon, 31 Oct 2005 10:28:13 -0500 MT> Received: from unknown (36.127.143.25) MT> by mail.amico.com (qmail-ldap-1.03) with SMTP MT> for <X>; Mon, 31 Oct 2005 10:28:13 -0500

MT> -- MT> Maxim Tuliuk MT> WWW: http://primats.org.ua/~mt/ MT> ICQ: 21134222 -- Vsevolod Volkov (VVV-UANIC) =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

-- Maxim Tuliuk WWW: http://primats.org.ua/~mt/ ICQ: 21134222 The bike is absolute freedom of moving =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

Paul Arakelyan

11:41 p.m.

On Wed, Nov 02, 2005 at 02:59:42PM +0200, Maxim Tuliuk wrote:

...

On Wed, Nov 02, 2005 at 10:27 +0200, Vsevolod Volkov wrote:

...
MT> Вот получил жалобы на клиента, но у него версии sendmail какая указана MT> в header нету, nat и squid закрыты для внешнего мира - что может быть?

Подделка. Это видно как минимум по двум признакам: - формат queue id не соответствует sendmail'у; - время в Received sendmail'а должно содержать имя TZ. Тут указано просто смещение относительно UTC.

а как по этим headers понять, кто именно подделывает: кто-то из транзитных серверов или троян на компе клиента? Как я понимаю, cesmail==spamcop - вобщем, попытаться законтактить спамкоп и жалующихся. Нэжно и ласково. Ещё - спамкоп пишет IP-адреса, с которых жаловались - если они одинковые (вдруг) - то точно подстава.

Ну и это. Шото мне это терроризмом пахнет. Механизм борьбы ламериканцев (провайдера) в ситуации +-подобной (то есть - "кто-то нас имеет по полной, не поймём кто и когда") был как я понимаю такой: законтактили заказчика (хм - телефоны на сайте, физ. адрес в письме, короче - было бы желание) с наездом, на первый раз клиент склеил глупую морду лица, на второй - выдал контору по рассылке. Далее наезды с намёками судебного характера и пятизначных цифр... На дружащих с головой - действует.

...

...
MT> [ Offending message ] MT> Received: from unknown (192.168.1.103) MT> by blade6.cesmail.net with QMQP; 1 Nov 2005 09:23:35 -0000 MT> Received: from vmx3.mail.widexs.nl (213.206.122.202) MT> by mx53.cesmail.net with SMTP; 1 Nov 2005 09:23:34 -0000 MT> Received: from [213.206.122.195] (helo=mx1.mail.widexs.nl) MT> by vmx3.mail.widexs.nl with esmtps (TLSv1:AES256-SHA:256) MT> (Exim 4.44) MT> id 1EWsLq-0003l1-FO MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from [193.109.60.78] (helo=realkiev.com.ua) А на этом реалкиеве низзя запустить трафд или подобное? смотреть _куда_ оно коннектиться и поискать схожие количества байт в том, что к вам пришло и от вас отправилось - хотя если троян чуть круче, чем просто прокси - мало поможет.

Кроме того, этот IP - не в каком-нить коло-датацентре-итп? Эт я к тому, что с хреново-настроенными-или-дешёвыми свитчами к такой ситуации запросто приехать можно. Если с того IP дёргать что-то тестовое - то в момент "загробастали" оно не вытащится (типа wget по циклу...). Ещё полезно в senderbase.org сходить, статистику глянуть - она _очень_ похожа на правду для усреднённого случая массовой рассылки, смотреть на среднемесячные и "сегодняшние" цифры. Last day 2.1 -100% Last 30 days 0.6 -100% Average 0.1 Я с большой вероятностью буду утверждать, шо у вас трояны (если таки нету проксей, скриптов на сайте - если тама такой есть). Или буду утверждать, что у вас с больщой вероятностью трояны ;). If there are no reports of ongoing objectionable email from this system it will be delisted automatically in approximately 15 hours. Listing History System has been listed for 2.5 days. "имеют долго и регулярно"? Other hosts in this "neighborhood" with spam reports 193.109.60.168 193.109.61.21 И список какой-то хреновый. 10^3 и ты тут уже 3 жалобы нарисовал. И заметь - всюду " -0500" - это америка, восточное(кажись) побережье или окрестности какого-нить техаса - тама can-spam читали и ваще должны думать о легальности... Короче - нужно найти кто и наехать. Как примерно - написано выше. Наезжать на data-center тяжело (бесполезно), только в theplanet есть шибанутые на всю голову маньяки, которые могут щёлкнуть рубильником и нафиг послать - хотя эффекта от такого - около 0 (потеря пусть даже $100 + возможно неполученная прибыль).

...

...
MT> by mx1.mail.widexs.nl with smtp (Exim 4.44) MT> id 1EWsLq-0000Y3-3S MT> for x; Tue, 01 Nov 2005 10:22:42 +0100 MT> Received: from mgate.chello.at (mgate.chello.at [213.46.255.2]) MT> by realkiev.com.ua (8.12.11/8.12.11) with ESMTP id tnQl1Cri2VCyHF MT> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500 MT> Received: from linx (6.248.240.119) MT> by mgate.chello.at (qmail-ldap-1.03) with SMTP MT> for <x>; Tue, 1 Nov 2005 04:23:16 -0500

-- Best regards, Paul Arakelyan. =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message

7036

Age (days ago)

7036

Last active (days ago)

List overview

Download

4 comments

4 participants

participants (4)

Andrew Degtiariov
Maxim Tuliuk
Paul Arakelyan
Vsevolod Volkov