Shoutbox :
Shoutbox :
Remonter l'origine du spam
Par 4n9e le 25-09-2004
Etude d'un cas de spam, détermination de son origine et les actions a effectuer
Cialis ? Via-grA ? Vi0xx ? pharmaCtiks
Online ? Un peu de spam, beaucoup d'harcellement.
Dans ce tuto destiné aux débutants, nous allons essayer de voir de quelles
facons il est possible de lutter contre le spam.
Et en premier lieu, de remonter jusqu'à la source de la société qui est à
l'origine de cette nuisance.
Sommaire :
I. Avant toute chose
II. Allons-y
III. Au fait, qu'est ce qu'ils me veulent?
IV. Je vais le dire à la maitresse !
V. Conclusion
I. Avant toute chose...
Dans un premier temps, comme le texte, on s'en moque, mettons le de coté.
En revanche, on va largement s'attarder sur l'en tête de ces messages.
Alors, une bonne fois pour toutes, affichons l'en tête :
Netscape Webmail :
ouvrir le message, puis cliquer sur la petite flèche jaune qui se trouve dans le
champ de la meme couleur au dessus du message.
Outlook express :
Fichier=>Propriétés=>Détails (bouton source pour lme capturer en format texte)
Outlook :
Clic droit=>options
Hotmail :
ouvrir le message.
Options=>Préférences=>En-Tête de message (option Complet)
Unix (Elm, Mutt, Pine) :
Ouvrir.
Touche H
Lotus Notes :
Action=>Informations de livraison
Ceci fait, on doit avoir une entête de ce genre :
Return-Path:
Received: from
mwinf0901.wanadoo.fr (mwinf0901.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Tue, 10 Aug 2004 18:07:21 +0200
X-Sieve: Server Sieve 2.2
Received: from me-wanadoo.net (localhost
[127.0.0.1])
by mwinf0901.wanadoo.fr (SMTP Server) with SMTP
id EB8651800119; Tue, 10 Aug 2004 18:07:20 +0200 (CEST)
Received: from
lsanca1-ar6-4-65-100-176.lsanca1.dsl-verizon.net
(lsanca1-ar6-4-65-100-176.lsanca1.dsl-verizon.net [4.65.100.176])
by mwinf0901.wanadoo.fr (SMTP Server) with SMTP
id 7022418000AA; Tue, 10 Aug 2004 18:06:59 +0200 (CEST)
X-Message-Info: ILSRM567wAIBihKLYfq11o85+Ephl767ppqK
Received: from mail73044.dnpil.compuserve.com
(92.28.92.140) by t587-mqw72.compuserve.com with Microsoft SMTPSVC(5.0.2195.6824);
Tue, 10 Aug 2004 22:05:58 +0500
Received: from AUUKW09
(f168.160.200.122.is149.c.compuserve.com 192.230.58.29)
by mail26.s.compuserve.com (3.0.747w254/3.91.36) with SMTP id al96C31Iuua2035;
Tue, 10 Aug 2004 20:58:58 +0400
Message-ID:
<5z615y440wtv578bgt$nd86mf367cq001$aq3ud4@HPJ180>
From: "Absolute BEST PRICES FOR ORIGINAL
SOFTWARE"
To: "Deejayfred"
References:
Subject: Lesser Priced Software
seminarianappropriate
Date: Tue, 10 Aug 2004 16:01:58 -0100
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="--68348699535828984"
II. Allons-y !
Pour remonter a une source, ce qui va nous interresser sera la chiane des
serveurs qui ont retransmis
le mail tout au long de son parcourt.
Cette chaine est représentée par les Received
(voir le tuto sur les mails) :
Received: from
mwinf0901.wanadoo.fr (mwinf0901.wanadoo.fr)
by mwinb0302 (SMTP Server) with LMTP; Tue, 10 Aug 2004 18:07:21 +0200
X-Sieve: Server Sieve 2.2
Received: from me-wanadoo.net (localhost
[127.0.0.1])
by mwinf0901.wanadoo.fr (SMTP Server) with SMTP
id EB8651800119; Tue, 10 Aug 2004 18:07:20 +0200 (CEST)
Received: from
lsanca1-ar6-4-65-100-176.lsanca1.dsl-verizon.net
(lsanca1-ar6-4-65-100-176.lsanca1.dsl-verizon.net [4.65.100.176])
by mwinf0901.wanadoo.fr (SMTP Server) with SMTP
id 7022418000AA; Tue, 10 Aug 2004 18:06:59 +0200 (CEST)
X-Message-Info: ILSRM567wAIBihKLYfq11o85+Ephl767ppqK
Received: from mail73044.dnpil.compuserve.com
(92.28.92.140) by t587-mqw72.compuserve.com with Microsoft SMTPSVC(5.0.2195.6824);
Tue, 10 Aug 2004 22:05:58 +0500
Received: from AUUKW09
(f168.160.200.122.is149.c.compuserve.com 192.230.58.29)
by mail26.s.compuserve.com (3.0.747w254/3.91.36) with SMTP id al96C31Iuua2035;
Tue, 10 Aug 2004 20:58:58 +0400
A la lecture de ces informations de routage, on va remettre a plat ce qui semble
s'être passé :
notre machine recoit un mail délivré par un des serveurs SMTP de notre FAI
(mwinb0302). Avant ceci, il
semble que le message soit passé par les serveurs suivants :
mwinf0901.wanadoo.fr
lsanca1.dsl-verizon.net (4.65.100.176)
t587-mqw72.compuserve.com
mail73044.dnpil.compuserve.com (92.28.92.140)
mail26.s.compuserve.com
is149.c.compuserve.com (192.230.58.29, machine AUUKW09)
Si notre FAI est Wanadoo, on peut raisonnablement penser qu'il n'est pour rien
dans ce spam.
L'étape suivante va consister a verrifier que l'entête n'a pas été traffiquée,
afin de déterminer le dernier vrai serveur valide
qui a routé le message a l'origine.
Pour cela, il va falloir verrifier l'existence de chacun des serveurs, et
commencer par le dernier (normalement l'origine).
On utilisera un outil de lookup, un outil qui, a partir d'un nom renverra une ip
correspondante si celui ci existe.
Plusieurs solutions : soit utiliser un logiciel comme SamSpade, ou un outil en
ligne comme celui-ci :
http://network-tools.com/
Voici les informations qu'on peut alors obtenir, en regard de ce qui est
prétendu dans l'en tête :
mwinf0901.wanadoo.fr
IP address:
193.252.22.22
Host name: mwinf0901.wanadoo.fr
Alias:
smtp9.wanadoo.fr
lsanca1.dsl-verizon.net (4.65.100.176, lsanca1-ar6-4-65-100-176)
4.65.100.176
[lsanca1-ar6-4-65-100-176.lsanca1.dsl-verizon.net]
t587-mqw72.compuserve.com
mail73044.dnpil.compuserve.com (92.28.92.140)
mail26.s.compuserve.com
is149.c.compuserve.com (192.230.58.29, machine AUUKW09)
Renvoient toutes à :
Domain Name:
COMPUSERVE.COM
Registrant:
CompuServe Interactive Services, Inc.
5000 Arlington Centre Blvd
Columbus, OH 43220
US
Created on..............: Oct 6 1988 12:00AM
Expires on..............: Oct 5 2004 2:00AM
Record Last Updated on..: Oct 5 2003 1:17AM
Registrar...............: America Online, Inc.
http://whois.registrar.aol.com/whois/
Administrative, Technical Contact:
CompuServe Domain Administration (CompuServe Interactive Services, Inc.)
5000 Arlington Centre Blvd
Columbus, OH 43220
US
Tel. 614 457 8600
Fax. 614 457 0348
Email:
domains@aol.net
Domain servers:
ARL-NAME-SVC-1.COMPUSERVE.COM
149.174.211.5
DUB-NAME-SVC-1.COMPUSERVE.COM
149.174.213.5
compuserve.com IN NS arl-name-svc-1.compuserve.com
compuserve.com IN NS dub-name-svc-1.compuserve.com
compuserve.com IN SOA server: arl-name-svc-1.compuserve.com
email:
hostmaster@compuserve.com
serial: 2004073000
refresh: 3600
retry: 900
expire: 604800
minimum ttl: 600
Il semble donc que le message ait été issu d'une société relayée par compuserve,
un domaine de AOL.
Pour une plainte ulterieure, on retiendra dans un premier temps l'adresse
suivante :
hostmaster@compuserve.com
En effet, les fournisseurs et hebergeurs serieux, soucieux de leur image,
mettent en général en
oeuvre les moyens necessaires pour faire cesser les activités de spam de leurs
clients.
III. Au fait, qu'est ce qu'ils me veulent ?
Etudions à présent le contenu de notre message, que nous avions mis de coté :
Top Quality Software Stripped from it's Exp.ensive
Extra's
--------------------------------------------------------------------------------
Gives You the Low.est Possible Pr1ce-Guaranted!
See Details Here
Windows XP Professional
Office XP Professional
Microsoft Windows 2000
MS Money 2004
Adobe Photoshop
Norton Antivirus
SQL server
VIsual STudio
Linux
N Many MORE..
Make a sav.ing - buy OEM SOftware
--------------------------------------------------------------------------------
Low.est PrIces - Original SOftware
BU.Y HERE-
Les liens sur lesquels on est censés cliquer nous envoient sur un site nommé
http://org****net.info
Les informations qu'on peut en tirer par la même méthode que celle appliquée aux
serveurs sont les suivants :
IP address:
2**.2**.48.33
Host name: org*****net.info
Domain ID:D6010251-LRMS
Domain Name:org*****net.info
Created On:23-Jun-2004 16:00:17 UTC
Last Updated On:01-Jul-2004 18:07:47 UTC
Expiration Date:23-Jun-2005 16:00:17 UTC
Sponsoring Registrar:R159-LRMS
Status:ACTIVE
Status:OK
Registrant ID:C4877347-LRMS
Registrant Name:Brian S******n
Registrant Organization:Nails and Tools
Registrant Street1:622 So*** Dr.
Registrant City:Washington
Registrant Postal Code:32573
Registrant Country:US
Registrant Phone:+1.56***8635
Registrant Email:sodaplay@email.com
Admin ID:C4877347-LRMS
Admin Name:Brian So***nn
Admin Organization:Nails and Tools
Admin Street1:622 So****Dr.
Admin City:Washington
Admin Postal Code:32573
Admin Country:US
Admin Phone:+1.56****635
Admin Email:sodaplay@email.com
Billing ID:C4877347-LRMS
Billing Name:Brian So***n
Billing Organization:Nails and Tools
Billing Street1:622 So***h Dr.
Billing City:Washington
Billing Postal Code:32573
Billing Country:US
Billing Phone:+1.56****635
Billing Email:sodaplay@email.com
Tech ID:C4877347-LRMS
Tech Name:Brian So****nn
Tech Organization:Nails and Tools
Tech Street1:622 So*** Dr.
Tech City:Washington
Tech Postal Code:32573
Tech Country:US
Tech Phone:+1.56****635
Tech Email:sodaplay@email.com
Name Server:NS1.3070.BIZ
Name Server:NS2.3070.BIZ
Name Server:NS3.3070.BIZ
Ceci nous apprend que le propriétaire du site est enregistré aux Etats unis.
Quand au site, lui, il est hébergé en Chine.
comme nous l'apprend un traceroute sur l'ip correspondant a ce site. C'est une
pratique courante afin d'échapper aux lois.
De plus, une verification sur la validité de l'adresse e mail de l'admin donne
le résultat suivant :
220
spf1.us4.outblaze.com ESMTP Postfix
EHLO Hacking.pl
250-spf1.us4.outblaze.com
250-PIPELINING
250-SIZE 10240000
250-ETRN
250 8BITMIME
250 Ok
RSET
250 Ok
VRFY sodaplay
502 VRFY command is disabled
RSET
250 Ok
EXPN sodaplay
502 Error: command not implemented
RSET
250 Ok
MAIL FROM:
250 Ok
RCPT TO:
550
[Address has been rejected]
RSET
250 Ok
QUIT
221 Bye
[Connection closed]
L'adresse est donc fausse elle aussi.
IV. Je vais le dire à la maitresse !
Si vous décidez de soumettre une plainte à l'hebergeur ou au fournisseur d'acces
d'un auteur de spam, il faudra
dans un premier temps fournir le plus de preuves et d'informations possibles.
C'est a dire le genre de démarche
décrite ci dessus.
L'adresse a utiliser pour l'envoi est le plus souvent de la forme
abuse@FAI ou hebergeur.com, .net, etc...
Toutefois, il peut arriver que l'hebergeur n'ai pas créé d'adresse
abuse. Sachez a ce moment que les
protocoles
de messagerie Internet obligent a créer pour tout domaine de messagerie un
compte postmaster.
L'adresse sera dans ce cas de la forme
postmaster@domaine.
Si le spammer s'est réfugié chez un petit hebergeur d'un pays en voie de
develloppement, il est possible que celui ci soit mal informé ou mal armé pour
se retourner efficacement contre le coupable. Dans ce cas, il va falloir
déterminer par quel grand réseau de serveurs l'hebergeur final passe.
On utilisera une technique de Traceroute afin de voir le chemin emprunté par une
requete a travers le reseau en partnant de plusieurs origines
afin de voir par quels réseau les paquets passent de toute facon a la fin du
trajet, quel que soit l'origine.
L'outil en ligne est par exemple celui ci :
Tracert
On y rentrera l'ip de notre site, puis on selectionne différentes origine et on
compare les résultats.
On ne gardera que les derniers serveurs qui concordent quels que soient les
origines de tracage :
Serwerem HTTP na
hoscie org*****net.info (2**.2**.48.33) jest (serveur web ):
squid/2.5.STABLE1
fin de blocs Premier Traceroute
12 199 199 200
202.97.51.157 -
13 199 198 201 202.97.53.9
-
14 208 209 207 202.97.54.86
-
15 203 203 204 202.97.56.226
-
16 208 209 204 219.148.0.8
-
17 210 208 213 2**.2**.48.33
-
fin de blocs Second Traceroute
9
202.84.155.77 (202.84.155.77)
162.391 ms 162.258 ms 162.454 ms
10 * * *
11 202.97.53.9
(202.97.53.9) 319.932 ms 318.295 ms 319.556 ms
12 202.97.54.86
(202.97.54.86) 324.094 ms 326.603 ms 326.725 ms
13 202.97.56.230
(202.97.56.230) 329.335 ms 325.095 ms 323.652 ms
14 219.148.0.8
(219.148.0.8) 328.676 ms 328.308 ms 325.459 ms
15 2**.2**.48.33
(2**.2**.48.33) 327.899 ms 328.527 ms 325.617 ms
fin de blocs Troisieme Traceroute
8
202.84.155.70 (202.84.155.70)
162.237 ms 162.261 ms 162.231 ms
9 202.84.155.77
(202.84.155.77) 162.276 ms 162.252 ms 162.288 ms
10 * * *
11 202.97.53.9
(202.97.53.9) 321.061 ms 323.261 ms 321.355 ms
12 202.97.54.86
(202.97.54.86) 326.92 ms 326.99 ms 328.087 ms
13 202.97.56.230
(202.97.56.230) 325.788 ms 328.26 ms 329.026 ms
14 219.148.0.8
(219.148.0.8) 323.604 ms 328.054 ms 329.059 ms
15 2**.2**.48.33
(2**.2**.48.33) 326.731 ms 326.37 ms 327.928 ms
fin de blocs Quatrieme Traceroute
20 above-oc12.china-telecom.net
(64.125.12.126)
241.896 ms 234.722 ms 238.819 ms
21 202.97.49.65
(202.97.49.65) 247.572 ms 252.583 ms 234.675 ms
22 202.97.51.213
(202.97.51.213) 492.444 ms 518.238 ms 455.145 ms
23 202.97.53.9
(202.97.53.9) 479.848 ms 478.966 ms 484.028 ms
24 202.97.54.86
(202.97.54.86) 493.687 ms * 489.994 ms
25 202.97.56.230
(202.97.56.230) 498.007 ms 486.994 ms 510.336 ms
26 219.148.0.8
(219.148.0.8) 500.441 ms 527.813 ms 444.9 ms
27 2**.2**.48.33
(2**.2**.48.33) 464.97 ms 482.665 ms *
Comme on le voit, quelle que soit l'origine, on retrouve toujours le meme bloc
en fin de routage.
202.97.53.9 -
202.97.54.86 -
202.97.56.226 -
219.148.0.8 -
2**.2**.48.33
Dans cet exemple, ceci correspond au backbone ChinaNet, une épine dorsale du
réseau Internet en Asie Pacifique.
Inutile d'aller dans ce cas se plaindre a eux, c'est un peu comme se plaindre a
France Télécom d'un site perso en France.
V. Conclusion
Nous avons vu comment à partir d'un mail publicitaire non sollicité savoir qui
se cache derrière la société émettrice,
et quelques unes des ressources dont elle dispose. Ceci permet par la suite
d'établir une plainte aupres
des fournisseurs concernés.
Pour finir, je rappellerait que ces fournisseurs ne sont pour rien dans les
activités de ce genre de société.
Dans la plupart des cas, ils cherchent eux aussi a aider a la lutte contre le
spam. Alors, soyez courtois dans la rédaction de la plainte,
considérez les plutot comme des alliés dans cette démarche.