Je ne suis pas sur du tout que ce groupe soit le meilleur endroit pour
poster ce qui suit, un groupe consacré à la lutte anti-spam aurait sans
doute été préférable mais je n'en ai pas trouvé dans la hiérarchie fr.
Comme ma question porte sur l'analyse de l'en-tête mail de certains spams
je me suis dit qu'il pouvait être pertinent de la poser ici.
J'essaye lorsque je recois des spams (c'est à dire trop souvent) de
regarder l'IP de l'emetteur, et lorsqu'un whois sur cette adresse me
permet de ressortir une boite du type abuse@machin.truc je lui renvoie le
spam (avec son en-tête complet) précédé d'un petit barratin en anglais que
j'ai trouvé sur le site de wanadoo.
Depuis quelques temps je me trouve confronté à un type d'en-tête qui me
laisse perplexe, en voici un extrait:
...
Received: (qmail 7681 invoked from network); 5 May 2007 08:32:23 -0000
Received: from 59.104.63.125 (HELO 59-104-63-125.adsl.dynamic.seed.net.tw)
(59.104.63.125)
by mx1-1.free.fr with SMTP; 5 May 2007 08:32:23 -0000
X-Originating-IP: 248.124.11.0 by smtp.222.246.32.108; Sat, 05 May 2007
01:31:00 -0800
...
Deux adresses semblent en cause
- le premier serveur smtp: 59.104.63.125
- le X-Originating-IP: 248.124.11.0
qui sont respectivement :
# whois 59.104.63.125
...
inetnum: 59.104.0.0 - 59.105.255.255
netname: SEEDNET-NET
country: TW
descr: Digital United I
descr: 7F,220,gangchi road
descr: Taipei Taiwan 114
...
# whois 248.124.11.0
...
NetRange: 240.0.0.0 - 255.255.255.255
CIDR: 240.0.0.0/4
NetName: RESERVED-240
NetHandle: NET-240-0-0-0-0
Parent:
NetType: IANA Special Use
...
Alors qui est l'emetteur du spam la ? L'adresse taiwanaise ou celle de l'IANA ?
A priori j'aurai plutot tendance à soupçonner l'adresse taiwainaise, non
par racisme primaire, mais parceque le HELO
59-104-63-125.adsl.dynamic.seed.net.tw me fait penser à l'ordinateur
personnel d'un abonné lambda.
Alors quid du X-Originating-IP: 248.124.11.0 qui suit ? Ce champ a-t-il
été rajouté artificiellement par l'abonné taiwanais pour brouiller les
pistes ? Est-ce possibe/facile à faire ? A priori, j'ai le sentiment que
oui, mais je pose tout de même la question.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Xavier Roche
Je ne suis pas sur du tout que ce groupe soit le meilleur endroit pour poster ce qui suit, un groupe consacré à la lutte anti-spam aurait sans doute été préférable mais je n'en ai pas trouvé dans la hiérarchie fr.
fr.usenet.abus.d (qui contrairement à son nom concerne également la lutte contre le spam par mail)
Depuis quelques temps je me trouve confronté à un type d'en-tête qui me laisse perplexe, en voici un extrait: ... Received: (qmail 7681 invoked from network); 5 May 2007 08:32:23 -0000 Received: from 59.104.63.125 (HELO 59-104-63-125.adsl.dynamic.seed.net.tw) (59.104.63.125) by mx1-1.free.fr with SMTP; 5 May 2007 08:32:23 -0000
C'est la seule IP digne de confiance ; le reste a peut être (probablement) été pipeauté.
Notez que même le "HELO 59-104-63-125.adsl.dynamic.seed.net.tw" est pipeautable: la seule info digne de confiance, c'est l'IP donnée par le "Received: from XXX"
C'est un dialup à Taiwan, qui est soit une machine piratée, soit un vrai spammeur qui a pris temporairement un compte. Dans tous les cas, aucune chance de remonter à la source.
X-Originating-IP: 248.124.11.0 by smtp.222.246.32.108; Sat, 05 May 2007 01:31:00 -0800 ... Deux adresses semblent en cause - le premier serveur smtp: 59.104.63.125 - le X-Originating-IP: 248.124.11.0
Pipeau, 248/8 est non assigné. <http://www.iana.org/assignments/ipv4-address-space>
Alors qui est l'emetteur du spam la ? L'adresse taiwanaise ou celle de l'IANA ?
Taiwan évidemment. Enfin, c'est la machine qui a émis le spam, maintenant, pour savoir si c'est la mafia de la côte ouest des etats unis ou la mafia russe qui est la source initiale, c'est un autre problème.
A priori j'aurai plutot tendance à soupçonner l'adresse taiwainaise, non par racisme primaire, mais parceque le HELO 59-104-63-125.adsl.dynamic.seed.net.tw me fait penser à l'ordinateur personnel d'un abonné lambda.
Et surtout parce que c'est la seule IP fiable, donnée par le serveur de votre FAI.
Alors quid du X-Originating-IP: 248.124.11.0 qui suit ? Ce champ a-t-il été rajouté artificiellement
Evidemment.
[Suivi sur fr.usenet.abus.d]
Je ne suis pas sur du tout que ce groupe soit le meilleur endroit pour
poster ce qui suit, un groupe consacré à la lutte anti-spam aurait sans
doute été préférable mais je n'en ai pas trouvé dans la hiérarchie fr.
fr.usenet.abus.d (qui contrairement à son nom concerne également la
lutte contre le spam par mail)
Depuis quelques temps je me trouve confronté à un type d'en-tête qui me
laisse perplexe, en voici un extrait:
...
Received: (qmail 7681 invoked from network); 5 May 2007 08:32:23 -0000
Received: from 59.104.63.125 (HELO 59-104-63-125.adsl.dynamic.seed.net.tw)
(59.104.63.125)
by mx1-1.free.fr with SMTP; 5 May 2007 08:32:23 -0000
C'est la seule IP digne de confiance ; le reste a peut être
(probablement) été pipeauté.
Notez que même le "HELO 59-104-63-125.adsl.dynamic.seed.net.tw" est
pipeautable: la seule info digne de confiance, c'est l'IP donnée par le
"Received: from XXX"
C'est un dialup à Taiwan, qui est soit une machine piratée, soit un vrai
spammeur qui a pris temporairement un compte. Dans tous les cas, aucune
chance de remonter à la source.
X-Originating-IP: 248.124.11.0 by smtp.222.246.32.108; Sat, 05 May 2007
01:31:00 -0800
...
Deux adresses semblent en cause
- le premier serveur smtp: 59.104.63.125
- le X-Originating-IP: 248.124.11.0
Pipeau, 248/8 est non assigné.
<http://www.iana.org/assignments/ipv4-address-space>
Alors qui est l'emetteur du spam la ? L'adresse taiwanaise ou celle de l'IANA ?
Taiwan évidemment. Enfin, c'est la machine qui a émis le spam,
maintenant, pour savoir si c'est la mafia de la côte ouest des etats
unis ou la mafia russe qui est la source initiale, c'est un autre problème.
A priori j'aurai plutot tendance à soupçonner l'adresse taiwainaise, non
par racisme primaire, mais parceque le HELO
59-104-63-125.adsl.dynamic.seed.net.tw me fait penser à l'ordinateur
personnel d'un abonné lambda.
Et surtout parce que c'est la seule IP fiable, donnée par le serveur de
votre FAI.
Alors quid du X-Originating-IP: 248.124.11.0 qui suit ? Ce champ a-t-il
été rajouté artificiellement
Je ne suis pas sur du tout que ce groupe soit le meilleur endroit pour poster ce qui suit, un groupe consacré à la lutte anti-spam aurait sans doute été préférable mais je n'en ai pas trouvé dans la hiérarchie fr.
fr.usenet.abus.d (qui contrairement à son nom concerne également la lutte contre le spam par mail)
Depuis quelques temps je me trouve confronté à un type d'en-tête qui me laisse perplexe, en voici un extrait: ... Received: (qmail 7681 invoked from network); 5 May 2007 08:32:23 -0000 Received: from 59.104.63.125 (HELO 59-104-63-125.adsl.dynamic.seed.net.tw) (59.104.63.125) by mx1-1.free.fr with SMTP; 5 May 2007 08:32:23 -0000
C'est la seule IP digne de confiance ; le reste a peut être (probablement) été pipeauté.
Notez que même le "HELO 59-104-63-125.adsl.dynamic.seed.net.tw" est pipeautable: la seule info digne de confiance, c'est l'IP donnée par le "Received: from XXX"
C'est un dialup à Taiwan, qui est soit une machine piratée, soit un vrai spammeur qui a pris temporairement un compte. Dans tous les cas, aucune chance de remonter à la source.
X-Originating-IP: 248.124.11.0 by smtp.222.246.32.108; Sat, 05 May 2007 01:31:00 -0800 ... Deux adresses semblent en cause - le premier serveur smtp: 59.104.63.125 - le X-Originating-IP: 248.124.11.0
Pipeau, 248/8 est non assigné. <http://www.iana.org/assignments/ipv4-address-space>
Alors qui est l'emetteur du spam la ? L'adresse taiwanaise ou celle de l'IANA ?
Taiwan évidemment. Enfin, c'est la machine qui a émis le spam, maintenant, pour savoir si c'est la mafia de la côte ouest des etats unis ou la mafia russe qui est la source initiale, c'est un autre problème.
A priori j'aurai plutot tendance à soupçonner l'adresse taiwainaise, non par racisme primaire, mais parceque le HELO 59-104-63-125.adsl.dynamic.seed.net.tw me fait penser à l'ordinateur personnel d'un abonné lambda.
Et surtout parce que c'est la seule IP fiable, donnée par le serveur de votre FAI.
Alors quid du X-Originating-IP: 248.124.11.0 qui suit ? Ce champ a-t-il été rajouté artificiellement