Re: Strani messaggi di posta

koba@xxxxxxxxxxxxx ha scritto:

> La cosa in se non sarebbe strana visto che molti virus si comportano
> esattamente in questo modo.
> Quello che non capisco ?? il fatto che gli indirizzi sono tutti errati,
> cio?? inesistenti.
> Ecco alcuni esempi:
>
> Received: from unknown (HELO gelpi.it) (217.141.151.85)
>  by mx6.aruba.it with SMTP; 29 Jan 2004 01:51:19 -0000
> From: serg<at>gelpi.it
>
> L'IP ?? del CNSI di Roma e non ?? mio.
> Sul dominio gelpi.it non esiste nessun serg
>
>  
Il virus non credo che vada a spoofare (correggetemi se sbaglio) un ip, 
semplicemente ha un suo motore SMTP interno. Quando combina assieme gli 
indirizzi di posta collezionati sulla macchina della vittima, 
*proabilmente*, usa i domini degli indirizzi come stringa di HELO che 
poi viene riportata nella traccia del percorso del messaggio. Di fatto 
l'ip che appare potrebbe essere di una macchina infetta che:
   - ha in rubrica il tuo indirizzo, o per lo meno un indirizzo che 
contiene il tuo dominio (gelpi.it)
   - ha in rubrica un qualche indirizzo email serg@qualchedominio
per cui il virus:
   - ha combinato assieme il tuo dominio e l'utente serg (serg@xxxxxxxx)
   - ha deciso di connettersi al mail exchanger di Aruba
   - ha inviato un fake HELO (HELO gelpi.it)
   - ha inviato se stesso spacciandosi per serg@xxxxxxxx

Il gran bailamme di messaggi è dovuto credo, oltre che ai pc infetti 
anche a MailServer + Antivirus mal impostati che continuano a ritornare 
al mittente email fasulle, con indirizzi errari, invece di cestinarle 
subito.

Spero di non aver commesso errori :P

Byez

Davide



________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List