Tracer un spam

Le
rougevin_enlevez_ca
Bonjour à tous,

Je ne suis pas sur du tout que ce groupe soit le meilleur endroit pour
poster ce qui suit, un groupe consacré à la lutte anti-spam aurait sans
doute été préférable mais je n'en ai pas trouvé dans la hiérarchie fr.
Comme ma question porte sur l'analyse de l'en-tête mail de certains spams
je me suis dit qu'il pouvait être pertinent de la poser ici.

J'essaye lorsque je recois des spams (c'est à dire trop souvent) de
regarder l'IP de l'emetteur, et lorsqu'un whois sur cette adresse me
permet de ressortir une boite du type abuse@machin.truc je lui renvoie le
spam (avec son en-tête complet) précédé d'un petit barratin en anglais que
j'ai trouvé sur le site de wanadoo.

Depuis quelques temps je me trouve confronté à un type d'en-tête qui me
laisse perplexe, en voici un extrait:


Received: (qmail 7681 invoked from network); 5 May 2007 08:32:23 -0000
Received: from 59.104.63.125 (HELO 59-104-63-125.adsl.dynamic.seed.net.tw)
(59.104.63.125)
by mx1-1.free.fr with SMTP; 5 May 2007 08:32:23 -0000
X-Originating-IP: 248.124.11.0 by smtp.222.246.32.108; Sat, 05 May 2007
01:31:00 -0800


Deux adresses semblent en cause
- le premier serveur smtp: 59.104.63.125
- le X-Originating-IP: 248.124.11.0

qui sont respectivement :

# whois 59.104.63.125

inetnum: 59.104.0.0 - 59.105.255.255
netname: SEEDNET-NET
country: TW
descr: Digital United I
descr: 7F,220,gangchi road
descr: Taipei Taiwan 114


# whois 248.124.11.0

NetRange: 240.0.0.0 - 255.255.255.255
CIDR: 240.0.0.0/4
NetName: RESERVED-240
NetHandle: NET-240-0-0-0-0
Parent:
NetType: IANA Special Use


Alors qui est l'emetteur du spam la ? L'adresse taiwanaise ou celle de l'IANA ?
A priori j'aurai plutot tendance à soupçonner l'adresse taiwainaise, non
par racisme primaire, mais parceque le HELO
59-104-63-125.adsl.dynamic.seed.net.tw me fait penser à l'ordinateur
personnel d'un abonné lambda.

Alors quid du X-Originating-IP: 248.124.11.0 qui suit ? Ce champ a-t-il
été rajouté artificiellement par l'abonné taiwanais pour brouiller les
pistes ? Est-ce possibe/facile à faire ? A priori, j'ai le sentiment que
oui, mais je pose tout de même la question.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Xavier Roche
Le #273704
Je ne suis pas sur du tout que ce groupe soit le meilleur endroit pour
poster ce qui suit, un groupe consacré à la lutte anti-spam aurait sans
doute été préférable mais je n'en ai pas trouvé dans la hiérarchie fr.


fr.usenet.abus.d (qui contrairement à son nom concerne également la
lutte contre le spam par mail)

Depuis quelques temps je me trouve confronté à un type d'en-tête qui me
laisse perplexe, en voici un extrait:
...
Received: (qmail 7681 invoked from network); 5 May 2007 08:32:23 -0000
Received: from 59.104.63.125 (HELO 59-104-63-125.adsl.dynamic.seed.net.tw)
(59.104.63.125)
by mx1-1.free.fr with SMTP; 5 May 2007 08:32:23 -0000


C'est la seule IP digne de confiance ; le reste a peut être
(probablement) été pipeauté.

Notez que même le "HELO 59-104-63-125.adsl.dynamic.seed.net.tw" est
pipeautable: la seule info digne de confiance, c'est l'IP donnée par le
"Received: from XXX"

C'est un dialup à Taiwan, qui est soit une machine piratée, soit un vrai
spammeur qui a pris temporairement un compte. Dans tous les cas, aucune
chance de remonter à la source.

X-Originating-IP: 248.124.11.0 by smtp.222.246.32.108; Sat, 05 May 2007
01:31:00 -0800
...
Deux adresses semblent en cause
- le premier serveur smtp: 59.104.63.125
- le X-Originating-IP: 248.124.11.0


Pipeau, 248/8 est non assigné.

Alors qui est l'emetteur du spam la ? L'adresse taiwanaise ou celle de l'IANA ?


Taiwan évidemment. Enfin, c'est la machine qui a émis le spam,
maintenant, pour savoir si c'est la mafia de la côte ouest des etats
unis ou la mafia russe qui est la source initiale, c'est un autre problème.

A priori j'aurai plutot tendance à soupçonner l'adresse taiwainaise, non
par racisme primaire, mais parceque le HELO
59-104-63-125.adsl.dynamic.seed.net.tw me fait penser à l'ordinateur
personnel d'un abonné lambda.


Et surtout parce que c'est la seule IP fiable, donnée par le serveur de
votre FAI.

Alors quid du X-Originating-IP: 248.124.11.0 qui suit ? Ce champ a-t-il
été rajouté artificiellement


Evidemment.

[Suivi sur fr.usenet.abus.d]

Publicité
Poster une réponse
Anonyme