Récemment, pour essayer de peaufiner ma liste de spamwares, j'ai
longuement bricolé avec une base considérable de mails. En plus d'un ou
deux X-Mailer ou UserAgent que je n'avais pas encore dans la liste dispo
sur le web [1], j'ai aussi trouvé une série d'en-têtes qui ont l'air
très spécifiques à des logiciels de spam, du moins, par rapport à ma
base de mails (de l'ordre d'une petite vingtaine de milliers tout
frais).
J'aimerais bien savoir si d'autres personnes pourraient corroborer mes
découvertes ou éventuellement me faire part d'une utilisation légitime
de certains de ces en-têtes. La liste est :
Les deux premiers m'ont l'air assez dangereux, mais je n'arrive pas à
trouver un seul mail légitime qui contienne ça. Idem pour les trois qui
servent à suivre les bounces, mais je serais plus confiant. La fin me
semble la moins dangereuse.
A noter que ce sont des machins que j'ai retrouvés pour la plupart dans
quelques dizaines de mails. Ce n'est pas énorme, mais ça me semble
intéressant de rechercher par là.
Autrement, aussi, je voulais juste savoir : y a-t-il des gens qui ont
essayé d'utiliser la liste présentée sur le site, et avec quels
résultats ?
Merci d'avance.
(Crosspost sur fcm et fcms, avec un suivi sur fcm.)
Fred
[1] http://lagavulin.lacave.net/mailer/
--
Imagine a stegosaurus wearing rocket powered roller skates, & you'll
get a fair idea of its elegance, stability & ease of crash recovery.
(Lionel Lauer in the SDM)
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved " with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est une autre question... :/
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de messages légitimes qui le contiennent. Et pas seulement d'origine Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved "
with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est
une autre question... :/
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de
messages légitimes qui le contiennent. Et pas seulement d'origine
Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ?
(même question à Olivier Zolli)
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved " with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est une autre question... :/
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de messages légitimes qui le contiennent. Et pas seulement d'origine Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Olivier Zolli
Olivier Miakinen <om+ écrivait :
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Oui, aucun n'a cet en-tête.
Merci.
Jacques L'helgoualc'h
"F. Senault" a dit :
Bonjour à tous.
Salut.
Récemment, pour essayer de peaufiner ma liste de spamwares, j'ai longuement bricolé avec une base considérable de mails. En plus d'un ou deux X-Mailer ou UserAgent que je n'avais pas encore dans la liste dispo sur le web [1],
Il y a aussi X-Mailer: Mailer Software (rev. 01/15/2004)
j'ai aussi trouvé une série d'en-têtes qui ont l'air très spécifiques à des logiciels de spam, du moins, par rapport à ma base de mails (de l'ordre d'une petite vingtaine de milliers tout frais).
Un peu différent, mais je n'ai que des spams avec des « Received: from (adresse IP) by (adresse IP); »
Exemple typique :
,---- | Received: (qmail 5196 invoked from network); 19 Mar 2004 04:12:40 -0000 | Received: from unknown (HELO 212.27.42.15) (211.201.103.220) | by mrelay2-1.free.fr with SMTP; 19 Mar 2004 04:12:40 -0000 | Received: from 218.165.128.108 by 211.201.103.220; Fri, 19 Mar 2004 12:11:58 -0700 `----
J'aimerais bien savoir si d'autres personnes pourraient corroborer mes découvertes ou éventuellement me faire part d'une utilisation légitime de certains de ces en-têtes. La liste est :
- X-Message-Info
oui, spams
- X-IP
J'ai un faux positif (de @bethel.edu, posté avec KMail). Suit un champ « X-From: (l'adresse du From:) » sans doute ajouté par le même serveur, mais je n'ai pas tous les Received.
La plupart des nombreux spams étaient déjà capturés par une règle sur To: ou Cc: contenant 5 adresses consécutives chez le même FAI.
- X-bounce-to - X-BounceTrace - Error-path
0
- Sensitivity
4 spams
- X-INFO_AZ, X-INFO_BZ, X-INFO_CZ - X-SP-Track-ID
0
-- Jacques L'helgoualc'h
"F. Senault" <fred@lacave.net> a dit :
Bonjour à tous.
Salut.
Récemment, pour essayer de peaufiner ma liste de spamwares, j'ai
longuement bricolé avec une base considérable de mails. En plus d'un ou
deux X-Mailer ou UserAgent que je n'avais pas encore dans la liste dispo
sur le web [1],
Il y a aussi X-Mailer: Mailer Software (rev. 01/15/2004)
j'ai aussi trouvé une série d'en-têtes qui ont l'air
très spécifiques à des logiciels de spam, du moins, par rapport à ma
base de mails (de l'ordre d'une petite vingtaine de milliers tout
frais).
Un peu différent, mais je n'ai que des spams avec des
« Received: from (adresse IP) by (adresse IP); »
Exemple typique :
,----
| Received: (qmail 5196 invoked from network); 19 Mar 2004 04:12:40 -0000
| Received: from unknown (HELO 212.27.42.15) (211.201.103.220)
| by mrelay2-1.free.fr with SMTP; 19 Mar 2004 04:12:40 -0000
| Received: from 218.165.128.108 by 211.201.103.220; Fri, 19 Mar 2004 12:11:58 -0700
`----
J'aimerais bien savoir si d'autres personnes pourraient corroborer mes
découvertes ou éventuellement me faire part d'une utilisation légitime
de certains de ces en-têtes. La liste est :
- X-Message-Info
oui, spams
- X-IP
J'ai un faux positif (de @bethel.edu, posté avec KMail). Suit un
champ « X-From: (l'adresse du From:) » sans doute ajouté par le
même serveur, mais je n'ai pas tous les Received.
La plupart des nombreux spams étaient déjà capturés par une
règle sur To: ou Cc: contenant 5 adresses consécutives chez le
même FAI.
Récemment, pour essayer de peaufiner ma liste de spamwares, j'ai longuement bricolé avec une base considérable de mails. En plus d'un ou deux X-Mailer ou UserAgent que je n'avais pas encore dans la liste dispo sur le web [1],
Il y a aussi X-Mailer: Mailer Software (rev. 01/15/2004)
j'ai aussi trouvé une série d'en-têtes qui ont l'air très spécifiques à des logiciels de spam, du moins, par rapport à ma base de mails (de l'ordre d'une petite vingtaine de milliers tout frais).
Un peu différent, mais je n'ai que des spams avec des « Received: from (adresse IP) by (adresse IP); »
Exemple typique :
,---- | Received: (qmail 5196 invoked from network); 19 Mar 2004 04:12:40 -0000 | Received: from unknown (HELO 212.27.42.15) (211.201.103.220) | by mrelay2-1.free.fr with SMTP; 19 Mar 2004 04:12:40 -0000 | Received: from 218.165.128.108 by 211.201.103.220; Fri, 19 Mar 2004 12:11:58 -0700 `----
J'aimerais bien savoir si d'autres personnes pourraient corroborer mes découvertes ou éventuellement me faire part d'une utilisation légitime de certains de ces en-têtes. La liste est :
- X-Message-Info
oui, spams
- X-IP
J'ai un faux positif (de @bethel.edu, posté avec KMail). Suit un champ « X-From: (l'adresse du From:) » sans doute ajouté par le même serveur, mais je n'ai pas tous les Received.
La plupart des nombreux spams étaient déjà capturés par une règle sur To: ou Cc: contenant 5 adresses consécutives chez le même FAI.
- X-bounce-to - X-BounceTrace - Error-path
0
- Sensitivity
4 spams
- X-INFO_AZ, X-INFO_BZ, X-INFO_CZ - X-SP-Track-ID
0
-- Jacques L'helgoualc'h
Jacques Belin
Le lundi 19 avril 2004 12:17:20, Olivier Miakinen <om+ a écrit:
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de messages légitimes qui le contiennent. Et pas seulement d'origine Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Aucun n'a cet entête.
A mon avis, seuls les abonnés Hotmail doivent le recevoir (y-t-il un abonné Hotmail pour nous confirmer qu'il l'a bien dans tous ses messages ?), et la réception de cet entête par un abonné de tout autre service pourrait être une bonne indication de spam.
Sauf que...
- Rien ne dit qu'il n'y a effectivement qu'Hotmail qui l'utilise de façon légitime...
- Si un abonné Hotmail utilise l'option POP+un filtre anti-spam, il faudrait le prévenir qu'il n'a pas intérêt à filtrer là dessus...
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
Le lundi 19 avril 2004 12:17:20,
Olivier Miakinen <om+news@miakinen.net> a écrit:
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de
messages légitimes qui le contiennent. Et pas seulement d'origine
Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ?
(même question à Olivier Zolli)
Aucun n'a cet entête.
A mon avis, seuls les abonnés Hotmail doivent le recevoir (y-t-il un
abonné Hotmail pour nous confirmer qu'il l'a bien dans tous ses messages ?),
et la réception de cet entête par un abonné de tout autre service
pourrait être une bonne indication de spam.
Sauf que...
- Rien ne dit qu'il n'y a effectivement qu'Hotmail qui l'utilise de
façon légitime...
- Si un abonné Hotmail utilise l'option POP+un filtre anti-spam, il
faudrait le prévenir qu'il n'a pas intérêt à filtrer là dessus...
A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown
Le lundi 19 avril 2004 12:17:20, Olivier Miakinen <om+ a écrit:
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de messages légitimes qui le contiennent. Et pas seulement d'origine Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Aucun n'a cet entête.
A mon avis, seuls les abonnés Hotmail doivent le recevoir (y-t-il un abonné Hotmail pour nous confirmer qu'il l'a bien dans tous ses messages ?), et la réception de cet entête par un abonné de tout autre service pourrait être une bonne indication de spam.
Sauf que...
- Rien ne dit qu'il n'y a effectivement qu'Hotmail qui l'utilise de façon légitime...
- Si un abonné Hotmail utilise l'option POP+un filtre anti-spam, il faudrait le prévenir qu'il n'a pas intérêt à filtrer là dessus...
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
F. Senault
Autrement dit, cet entête a été inséré pendant le transfert Wanadoo->Hotmail...
C'est marrant. Je suis à peu près certain que c'est une spécificité des serveurs Microsoft... (Des zombies trojanisés, peut-être ?)
J'ai fait quelques tests sur ma base de messages (corpus d'un moi, spam et ham) :
| 14:35 lacave=# select count(*) from maillog where headers~'X-Message-Info'; | count | ------- | 3772 | (1 ligne) | | 14:35 lacave=# select count(*) from maillog where headers~'X-Message-Info' | lacave-# and headers~'Microsoft SMTPSVC'; | count | ------- | 3051 | (1 ligne) | | 14:37 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC'; | count | ------- | 4574 | (1 ligne)
Tout de même, j'ai aussi un potentiel énorme sur celui-là - de l'ordre de 3440 spams sur le mois dernier !
Oui, j'en recois aussi beaucoup moi aussi. Mais s'il a au moins un message légitime qui l'utilise....
Received: from mwinf0101.wanadoo.fr ([193.252.22.30]) by mc12-f41.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Tue, 13 Jan 2004 10:49:05 -0800 X-Message-Info: EoYTbT2lH2M2IGq1ELL1eulpQ2FBmvZl X-OriginalArrivalTime: 13 Jan 2004 18:49:05.0487 (UTC) FILETIME=[EB5BF5F0:01C3DA05]
Ca, c'est intéressant.
J'ai fait une poignée de tests (en installant le serveur SMTP IIS sur ma machine - eew ! - et un bout de code VB + objets CDO ou telnet), et, si je n'ai pas réussi à avoir de X-Message-Info, j'ai par contre :
| Received: from 213-193-172-93.adsl.easynet.be (HELO laphroaig) (213.193.172.93) | by lagavulin.lacave.net with SMTP; 20 Apr 2004 11:38:32 -0000 | Received: from laphroaig ([127.0.0.1]) by laphroaig with Microsoft SMTPSVC(5.0.2195.6713); | Tue, 20 Apr 2004 13:39:22 +0200 | X-OriginalArrivalTime: 20 Apr 2004 11:39:39.0704 (UTC) FILETIME=[2A3CFB80:01C426CC]
Par contre :
| 14:57 lacave=# select count(*) from maillog where headers~'X-Message-Info' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 18 | (1 ligne)
(Qui sont tous les 18 des gros spams baveux, mais bon.)
Plus loin :
| 15:14 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 1175 | (1 ligne)
Qui sont, après analyse, à 90% légitimes ; les mails qui ne contiennent pas le X-OriginalArrivalTime sont du spam détecté à 85%. Après revue, je suis certain à 99% que les 15% restants sont du spam aussi (rien qu'à voir le from, la plupart du temps - vous avez beaucoup de potes qui ont un from "Pat Washington" ?)
Au passage, je viens de faire une poignée de tests avec un copain qui a une adresse hotmail : - depuis hotmail vers l'extérieur, pas de X-Message-Info, - depuis l'extérieur vers hotmail, il retrouve un X-Message-Info, - qui disparaît lors d'une réponse (on ne sait jamais).
Conclusion : - X-Message-Info présent mais pas d'X-OriginalArrival-Time => spam - Recieved contient Microsoft SMTPSVC mais pas d'X-OriginalArrival-Time => spam
A voir ce que ça implique quand on relève son mail via hotmail (ou yahoo, me semble-t-il ?)...
(Ah, et hotmail met une ligne Bcc: vide dans ses mails, ce qui va m'obliger de revoir une autre règle de courrier...)
A+ Jacques.
Fred -- How could I Ever think It's funny how Everything that swore it wouldn't change Is different now Just like you Would always say We'll make it through Then my head Fell apart And where were you ? (Nine Inch Nails, Somewhat Damaged)
Autrement dit, cet entête a été inséré pendant le transfert
Wanadoo->Hotmail...
C'est marrant. Je suis à peu près certain que c'est une spécificité des
serveurs Microsoft... (Des zombies trojanisés, peut-être ?)
J'ai fait quelques tests sur ma base de messages (corpus d'un moi, spam
et ham) :
| 14:35 lacave=# select count(*) from maillog where headers~'X-Message-Info';
| count
| -------
| 3772
| (1 ligne)
|
| 14:35 lacave=# select count(*) from maillog where headers~'X-Message-Info'
| lacave-# and headers~'Microsoft SMTPSVC';
| count
| -------
| 3051
| (1 ligne)
|
| 14:37 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC';
| count
| -------
| 4574
| (1 ligne)
Tout de même, j'ai aussi un
potentiel énorme sur celui-là - de l'ordre de 3440 spams sur le mois
dernier !
Oui, j'en recois aussi beaucoup moi aussi. Mais s'il a au moins un
message légitime qui l'utilise....
Received: from mwinf0101.wanadoo.fr ([193.252.22.30]) by mc12-f41.hotmail.com
with Microsoft SMTPSVC(5.0.2195.6824);
Tue, 13 Jan 2004 10:49:05 -0800
X-Message-Info: EoYTbT2lH2M2IGq1ELL1eulpQ2FBmvZl
X-OriginalArrivalTime: 13 Jan 2004 18:49:05.0487 (UTC) FILETIME=[EB5BF5F0:01C3DA05]
Ca, c'est intéressant.
J'ai fait une poignée de tests (en installant le serveur SMTP IIS sur ma
machine - eew ! - et un bout de code VB + objets CDO ou telnet), et, si
je n'ai pas réussi à avoir de X-Message-Info, j'ai par contre :
| Received: from 213-193-172-93.adsl.easynet.be (HELO laphroaig) (213.193.172.93)
| by lagavulin.lacave.net with SMTP; 20 Apr 2004 11:38:32 -0000
| Received: from laphroaig ([127.0.0.1]) by laphroaig with Microsoft SMTPSVC(5.0.2195.6713);
| Tue, 20 Apr 2004 13:39:22 +0200
| X-OriginalArrivalTime: 20 Apr 2004 11:39:39.0704 (UTC) FILETIME=[2A3CFB80:01C426CC]
Par contre :
| 14:57 lacave=# select count(*) from maillog where headers~'X-Message-Info'
| lacave-# and headers~'X-OriginalArrivalTime';
| count
| -------
| 18
| (1 ligne)
(Qui sont tous les 18 des gros spams baveux, mais bon.)
Plus loin :
| 15:14 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC'
| lacave-# and headers~'X-OriginalArrivalTime';
| count
| -------
| 1175
| (1 ligne)
Qui sont, après analyse, à 90% légitimes ; les mails qui ne contiennent
pas le X-OriginalArrivalTime sont du spam détecté à 85%. Après revue,
je suis certain à 99% que les 15% restants sont du spam aussi (rien qu'à
voir le from, la plupart du temps - vous avez beaucoup de potes qui ont
un from "Pat Washington" <kpffdachf@eml.cc> ?)
Au passage, je viens de faire une poignée de tests avec un copain qui a
une adresse hotmail :
- depuis hotmail vers l'extérieur, pas de X-Message-Info,
- depuis l'extérieur vers hotmail, il retrouve un X-Message-Info,
- qui disparaît lors d'une réponse (on ne sait jamais).
Conclusion :
- X-Message-Info présent mais pas d'X-OriginalArrival-Time
=> spam
- Recieved contient Microsoft SMTPSVC mais pas d'X-OriginalArrival-Time
=> spam
A voir ce que ça implique quand on relève son mail via hotmail (ou
yahoo, me semble-t-il ?)...
(Ah, et hotmail met une ligne Bcc: vide dans ses mails, ce qui va
m'obliger de revoir une autre règle de courrier...)
A+ Jacques.
Fred
--
How could I Ever think It's funny how Everything that swore it
wouldn't change Is different now Just like you Would always say
We'll make it through Then my head Fell apart And where were you ?
(Nine Inch Nails, Somewhat Damaged)
| 14:35 lacave=# select count(*) from maillog where headers~'X-Message-Info'; | count | ------- | 3772 | (1 ligne) | | 14:35 lacave=# select count(*) from maillog where headers~'X-Message-Info' | lacave-# and headers~'Microsoft SMTPSVC'; | count | ------- | 3051 | (1 ligne) | | 14:37 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC'; | count | ------- | 4574 | (1 ligne)
Tout de même, j'ai aussi un potentiel énorme sur celui-là - de l'ordre de 3440 spams sur le mois dernier !
Oui, j'en recois aussi beaucoup moi aussi. Mais s'il a au moins un message légitime qui l'utilise....
Received: from mwinf0101.wanadoo.fr ([193.252.22.30]) by mc12-f41.hotmail.com with Microsoft SMTPSVC(5.0.2195.6824); Tue, 13 Jan 2004 10:49:05 -0800 X-Message-Info: EoYTbT2lH2M2IGq1ELL1eulpQ2FBmvZl X-OriginalArrivalTime: 13 Jan 2004 18:49:05.0487 (UTC) FILETIME=[EB5BF5F0:01C3DA05]
Ca, c'est intéressant.
J'ai fait une poignée de tests (en installant le serveur SMTP IIS sur ma machine - eew ! - et un bout de code VB + objets CDO ou telnet), et, si je n'ai pas réussi à avoir de X-Message-Info, j'ai par contre :
| Received: from 213-193-172-93.adsl.easynet.be (HELO laphroaig) (213.193.172.93) | by lagavulin.lacave.net with SMTP; 20 Apr 2004 11:38:32 -0000 | Received: from laphroaig ([127.0.0.1]) by laphroaig with Microsoft SMTPSVC(5.0.2195.6713); | Tue, 20 Apr 2004 13:39:22 +0200 | X-OriginalArrivalTime: 20 Apr 2004 11:39:39.0704 (UTC) FILETIME=[2A3CFB80:01C426CC]
Par contre :
| 14:57 lacave=# select count(*) from maillog where headers~'X-Message-Info' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 18 | (1 ligne)
(Qui sont tous les 18 des gros spams baveux, mais bon.)
Plus loin :
| 15:14 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 1175 | (1 ligne)
Qui sont, après analyse, à 90% légitimes ; les mails qui ne contiennent pas le X-OriginalArrivalTime sont du spam détecté à 85%. Après revue, je suis certain à 99% que les 15% restants sont du spam aussi (rien qu'à voir le from, la plupart du temps - vous avez beaucoup de potes qui ont un from "Pat Washington" ?)
Au passage, je viens de faire une poignée de tests avec un copain qui a une adresse hotmail : - depuis hotmail vers l'extérieur, pas de X-Message-Info, - depuis l'extérieur vers hotmail, il retrouve un X-Message-Info, - qui disparaît lors d'une réponse (on ne sait jamais).
Conclusion : - X-Message-Info présent mais pas d'X-OriginalArrival-Time => spam - Recieved contient Microsoft SMTPSVC mais pas d'X-OriginalArrival-Time => spam
A voir ce que ça implique quand on relève son mail via hotmail (ou yahoo, me semble-t-il ?)...
(Ah, et hotmail met une ligne Bcc: vide dans ses mails, ce qui va m'obliger de revoir une autre règle de courrier...)
A+ Jacques.
Fred -- How could I Ever think It's funny how Everything that swore it wouldn't change Is different now Just like you Would always say We'll make it through Then my head Fell apart And where were you ? (Nine Inch Nails, Somewhat Damaged)
F. Senault
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved " with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est une autre question... :/
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de messages légitimes qui le contiennent. Et pas seulement d'origine Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Même question avec le X-OriginalArrivalTime, tiens...
On va finir par trouver un truc... :>
Fred -- Don't these people watch Jackie Chan movies? *Everything*'s a weapon! Next thing, they'll ban ballpoint pens, 'coz you can stab somebody with them. Or laptops, because you could force someone to install Windows 3.1. With a ballpoint pen, presumably. (Eric The Read in the SDM)
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved "
with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est
une autre question... :/
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de
messages légitimes qui le contiennent. Et pas seulement d'origine
Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ?
(même question à Olivier Zolli)
Même question avec le X-OriginalArrivalTime, tiens...
On va finir par trouver un truc... :>
Fred
--
Don't these people watch Jackie Chan movies? *Everything*'s a weapon!
Next thing, they'll ban ballpoint pens, 'coz you can stab somebody with
them. Or laptops, because you could force someone to install Windows
3.1. With a ballpoint pen, presumably. (Eric The Read in the SDM)
Je retrouve aussi régulièrement (2800 messages sur 3400) des Recieved " with Microsoft SMTPSVC"... De là à savoir s'ils sont légitimes, c'est une autre question... :/
Ne te casses pas la tête avec celui là. J'ai plus d'une centaine de messages légitimes qui le contiennent. Et pas seulement d'origine Hotmail....
Parmi ceux-ci, en existe-t-il qui n'ont pas de X-Message-Info ? (même question à Olivier Zolli)
Même question avec le X-OriginalArrivalTime, tiens...
On va finir par trouver un truc... :>
Fred -- Don't these people watch Jackie Chan movies? *Everything*'s a weapon! Next thing, they'll ban ballpoint pens, 'coz you can stab somebody with them. Or laptops, because you could force someone to install Windows 3.1. With a ballpoint pen, presumably. (Eric The Read in the SDM)
Olivier Zolli
"F. Senault" écrivait :
Même question avec le X-OriginalArrivalTime, tiens...
112 sur 138
-- Olivier Zolli http://www.hamster-fr.org/
"F. Senault" <fred@lacave.net> écrivait :
Même question avec le X-OriginalArrivalTime, tiens...
Même question avec le X-OriginalArrivalTime, tiens...
112 sur 138
-- Olivier Zolli http://www.hamster-fr.org/
Jacques Belin
Le mardi 20 avril 2004 17:03:55, "F. Senault" a écrit:
Même question avec le X-OriginalArrivalTime, tiens...
Très courant dans les légitimes. Principalement Hotmail, mais aussi d'autres serveurs utilisant du Microsoft..
On va finir par trouver un truc... :>
Le fil à couper le spam ? %-)
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
Le mardi 20 avril 2004 17:03:55,
"F. Senault" <fred@lacave.net> a écrit:
Même question avec le X-OriginalArrivalTime, tiens...
Très courant dans les légitimes. Principalement Hotmail, mais aussi
d'autres serveurs utilisant du Microsoft..
On va finir par trouver un truc... :>
Le fil à couper le spam ? %-)
A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown
Le mardi 20 avril 2004 17:03:55, "F. Senault" a écrit:
Même question avec le X-OriginalArrivalTime, tiens...
Très courant dans les légitimes. Principalement Hotmail, mais aussi d'autres serveurs utilisant du Microsoft..
On va finir par trouver un truc... :>
Le fil à couper le spam ? %-)
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
Jacques Belin
Le mardi 20 avril 2004 15:43:51, "F. Senault" a écrit:
Autrement dit, cet entête a été inséré pendant le transfert Wanadoo->Hotmail...
C'est marrant. Je suis à peu près certain que c'est une spécificité des serveurs Microsoft... (Des zombies trojanisés, peut-être ?)
Non, je dirais pour les légitimes ce n'est que les abonnés Hotmail qui les recoivent, pour tous les autres c'est du Spam (sauf preuve du contraire, il que les abonnés de chaque fournisseur vérifie qu'ils ne recoivent pas cet entête.
Sinon, en ce qui concerne les zombies trojanisés, la première fois que j'ai remarqué X-Message-Info, c'est justement pour des spams dont le maquillage des entêtes afin de cacher la machine trojanisée était flagrant.
Exemple :
------------ Return-Path: Received: from host217-43-199-193.range217-43.btcentralplus.com (host217-43-199-193.range217-43.btcentralplus.com [217.43.199.193]) by colossus.oryva.net (8.12.3/8.12.3/Debian-6.4) with SMTP id i36JL63R022933 for ; Tue, 6 Apr 2004 21:21:10 +0200 X-Message-Info: IQA0rQkbIJWes92by5+OIFvlu23zK Received: from mail01846.sw.yahoo.com ([51.32.44.250]) by hy747-o87.yahoo.com with Microsoft SMTPSVC(5.0.2195.6824); %CURRENT_DATE_TIME Received: from TE6 (fbo236.28.60.24.zgr5.yes.yahoo.com [164.65.72.80]) by mail901.d.yahoo.com (1.604.904vq7/30.790.940) with SMTP id bxy216LS091BNBhxk28; %CURRENT_DATE_TIME Message-ID: <03y767xe047lob135qki$py83hs867bld7$ From: "Gino Farrell" To: Gino References: Subject: Re: Issue Date: %CURRENT_DATE_TIME MIME-Version: 1.0 Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit X-UIDL: 3,_!!RnW"!jin!!Pmb!! ------------
On voit bien les faux entêtes Received avec les "%CURRENT_DATE_TIME", juste en dessous du X-message-info...
Je ne l'ai pas retrouvé, mais j'en ai même vu un où d'autres parties des Received laissaient apparaitre les variables du script....
J'ai fait une poignée de tests (en installant le serveur SMTP IIS sur ma machine - eew ! - et un bout de code VB + objets CDO ou telnet), et, si je n'ai pas réussi à avoir de X-Message-Info, j'ai par contre :
| Received: from 213-193-172-93.adsl.easynet.be (HELO laphroaig) (213.193.172.93) | by lagavulin.lacave.net with SMTP; 20 Apr 2004 11:38:32 -0000 | Received: from laphroaig ([127.0.0.1]) by laphroaig with Microsoft SMTPSVC(5.0.2195.6713); | Tue, 20 Apr 2004 13:39:22 +0200 | X-OriginalArrivalTime: 20 Apr 2004 11:39:39.0704 (UTC) FILETIME=[2A3CFB80:01C426CC]
Par contre :
| 14:57 lacave=# select count(*) from maillog where headers~'X-Message-Info' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 18 | (1 ligne)
(Qui sont tous les 18 des gros spams baveux, mais bon.)
J'ai ça aussi.
Plus loin :
| 15:14 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 1175 | (1 ligne)
Qui sont, après analyse, à 90% légitimes ; les mails qui ne contiennent pas le X-OriginalArrivalTime sont du spam détecté à 85%. Après revue, je suis certain à 99% que les 15% restants sont du spam aussi (rien qu'à voir le from, la plupart du temps - vous avez beaucoup de potes qui ont un from "Pat Washington" ?)
Ben moi, en charchant rapidement (j'ai pas mis mes spams dans une BDD, moi ! ;-) ), j'ai trouvé au moins un correspondant légitime qui avait le SMTPSVC mais pas le X-OriginalArrivalTime...
Au passage, je viens de faire une poignée de tests avec un copain qui a une adresse hotmail : - depuis hotmail vers l'extérieur, pas de X-Message-Info, - depuis l'extérieur vers hotmail, il retrouve un X-Message-Info, - qui disparaît lors d'une réponse (on ne sait jamais).
C'est bien ce que je pensais.
Conclusion : - X-Message-Info présent mais pas d'X-OriginalArrival-Time => spam
Ca me parrait correct.
- Recieved contient Microsoft SMTPSVC mais pas d'X-OriginalArrival-Time => spam
Cette rêgle m'aurait fait perdre au moins un correspondant.
(Remarques, c'est pas trop grave, il était dans le genre chiant, et en plus si c'est pas avec cette rêgle, il se serait probablement fait quand même blacklister avec une autre, vu que ces messages passaient par rr.com, bien connu pour être un bon transitaire de spams... ;-) )
(Ah, et hotmail met une ligne Bcc: vide dans ses mails, ce qui va m'obliger de revoir une autre règle de courrier...)
Tiens, au passage faudra que je remette la main sur un spam qui laissait apparaitre une centaine d'adresses dans un champ "Bcc"...
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
Le mardi 20 avril 2004 15:43:51,
"F. Senault" <fred@lacave.net> a écrit:
Autrement dit, cet entête a été inséré pendant le transfert
Wanadoo->Hotmail...
C'est marrant. Je suis à peu près certain que c'est une spécificité des
serveurs Microsoft... (Des zombies trojanisés, peut-être ?)
Non, je dirais pour les légitimes ce n'est que les abonnés Hotmail qui
les recoivent, pour tous les autres c'est du Spam (sauf preuve du
contraire, il que les abonnés de chaque fournisseur vérifie qu'ils ne
recoivent pas cet entête.
Sinon, en ce qui concerne les zombies trojanisés, la première fois que
j'ai remarqué X-Message-Info, c'est justement pour des spams dont le
maquillage des entêtes afin de cacher la machine trojanisée était
flagrant.
Exemple :
------------
Return-Path: <marina@yahoo.com>
Received: from host217-43-199-193.range217-43.btcentralplus.com (host217-43-199-193.range217-43.btcentralplus.com [217.43.199.193])
by colossus.oryva.net (8.12.3/8.12.3/Debian-6.4)
with SMTP id i36JL63R022933 for <ggposts@oryva.net>;
Tue, 6 Apr 2004 21:21:10 +0200
X-Message-Info: IQA0rQkbIJWes92by5+OIFvlu23zK
Received: from mail01846.sw.yahoo.com ([51.32.44.250])
by hy747-o87.yahoo.com
with Microsoft SMTPSVC(5.0.2195.6824);
%CURRENT_DATE_TIME
Received: from TE6 (fbo236.28.60.24.zgr5.yes.yahoo.com [164.65.72.80])
by mail901.d.yahoo.com (1.604.904vq7/30.790.940)
with SMTP id bxy216LS091BNBhxk28;
%CURRENT_DATE_TIME
Message-ID: <03y767xe047lob135qki$py83hs867bld7$woy4377x84@EP720>
From: "Gino Farrell" <hannibal@yahoo.com>
To: Gino <xxxx@xxxxx.net>
References: <claim071-F1IfwYOdoJME4JNU1f49@yahoo.com>
Subject: Re: Issue
Date: %CURRENT_DATE_TIME
MIME-Version: 1.0
Content-Type: text/html; charset=us-ascii
Content-Transfer-Encoding: 7bit
X-UIDL: 3,_!!RnW"!jin!!Pmb!!
------------
On voit bien les faux entêtes Received avec les "%CURRENT_DATE_TIME",
juste en dessous du X-message-info...
Je ne l'ai pas retrouvé, mais j'en ai même vu un où d'autres parties des
Received laissaient apparaitre les variables du script....
J'ai fait une poignée de tests (en installant le serveur SMTP IIS sur ma
machine - eew ! - et un bout de code VB + objets CDO ou telnet), et, si
je n'ai pas réussi à avoir de X-Message-Info, j'ai par contre :
| Received: from 213-193-172-93.adsl.easynet.be (HELO laphroaig) (213.193.172.93)
| by lagavulin.lacave.net with SMTP; 20 Apr 2004 11:38:32 -0000
| Received: from laphroaig ([127.0.0.1]) by laphroaig with Microsoft SMTPSVC(5.0.2195.6713);
| Tue, 20 Apr 2004 13:39:22 +0200
| X-OriginalArrivalTime: 20 Apr 2004 11:39:39.0704 (UTC) FILETIME=[2A3CFB80:01C426CC]
Par contre :
| 14:57 lacave=# select count(*) from maillog where headers~'X-Message-Info'
| lacave-# and headers~'X-OriginalArrivalTime';
| count
| -------
| 18
| (1 ligne)
(Qui sont tous les 18 des gros spams baveux, mais bon.)
J'ai ça aussi.
Plus loin :
| 15:14 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC'
| lacave-# and headers~'X-OriginalArrivalTime';
| count
| -------
| 1175
| (1 ligne)
Qui sont, après analyse, à 90% légitimes ; les mails qui ne contiennent
pas le X-OriginalArrivalTime sont du spam détecté à 85%. Après revue,
je suis certain à 99% que les 15% restants sont du spam aussi (rien qu'à
voir le from, la plupart du temps - vous avez beaucoup de potes qui ont
un from "Pat Washington" <kpffdachf@eml.cc> ?)
Ben moi, en charchant rapidement (j'ai pas mis mes spams dans une BDD,
moi ! ;-) ), j'ai trouvé au moins un correspondant légitime qui avait
le SMTPSVC mais pas le X-OriginalArrivalTime...
Au passage, je viens de faire une poignée de tests avec un copain qui a
une adresse hotmail :
- depuis hotmail vers l'extérieur, pas de X-Message-Info,
- depuis l'extérieur vers hotmail, il retrouve un X-Message-Info,
- qui disparaît lors d'une réponse (on ne sait jamais).
C'est bien ce que je pensais.
Conclusion :
- X-Message-Info présent mais pas d'X-OriginalArrival-Time
=> spam
Ca me parrait correct.
- Recieved contient Microsoft SMTPSVC mais pas d'X-OriginalArrival-Time
=> spam
Cette rêgle m'aurait fait perdre au moins un correspondant.
(Remarques, c'est pas trop grave, il était dans le genre chiant, et en
plus si c'est pas avec cette rêgle, il se serait probablement fait quand
même blacklister avec une autre, vu que ces messages passaient par
rr.com, bien connu pour être un bon transitaire de spams... ;-) )
(Ah, et hotmail met une ligne Bcc: vide dans ses mails, ce qui va
m'obliger de revoir une autre règle de courrier...)
Tiens, au passage faudra que je remette la main sur un spam qui laissait
apparaitre une centaine d'adresses dans un champ "Bcc"...
A+ Jacques.
--
Le dernier Homme connecté sur le Net regardait d'anciens sites Webs.
"Vous avez du courrier" apparut sur l'écran...
--------------------------- adapté d'une courte histoire de Fredric Brown
Le mardi 20 avril 2004 15:43:51, "F. Senault" a écrit:
Autrement dit, cet entête a été inséré pendant le transfert Wanadoo->Hotmail...
C'est marrant. Je suis à peu près certain que c'est une spécificité des serveurs Microsoft... (Des zombies trojanisés, peut-être ?)
Non, je dirais pour les légitimes ce n'est que les abonnés Hotmail qui les recoivent, pour tous les autres c'est du Spam (sauf preuve du contraire, il que les abonnés de chaque fournisseur vérifie qu'ils ne recoivent pas cet entête.
Sinon, en ce qui concerne les zombies trojanisés, la première fois que j'ai remarqué X-Message-Info, c'est justement pour des spams dont le maquillage des entêtes afin de cacher la machine trojanisée était flagrant.
Exemple :
------------ Return-Path: Received: from host217-43-199-193.range217-43.btcentralplus.com (host217-43-199-193.range217-43.btcentralplus.com [217.43.199.193]) by colossus.oryva.net (8.12.3/8.12.3/Debian-6.4) with SMTP id i36JL63R022933 for ; Tue, 6 Apr 2004 21:21:10 +0200 X-Message-Info: IQA0rQkbIJWes92by5+OIFvlu23zK Received: from mail01846.sw.yahoo.com ([51.32.44.250]) by hy747-o87.yahoo.com with Microsoft SMTPSVC(5.0.2195.6824); %CURRENT_DATE_TIME Received: from TE6 (fbo236.28.60.24.zgr5.yes.yahoo.com [164.65.72.80]) by mail901.d.yahoo.com (1.604.904vq7/30.790.940) with SMTP id bxy216LS091BNBhxk28; %CURRENT_DATE_TIME Message-ID: <03y767xe047lob135qki$py83hs867bld7$ From: "Gino Farrell" To: Gino References: Subject: Re: Issue Date: %CURRENT_DATE_TIME MIME-Version: 1.0 Content-Type: text/html; charset=us-ascii Content-Transfer-Encoding: 7bit X-UIDL: 3,_!!RnW"!jin!!Pmb!! ------------
On voit bien les faux entêtes Received avec les "%CURRENT_DATE_TIME", juste en dessous du X-message-info...
Je ne l'ai pas retrouvé, mais j'en ai même vu un où d'autres parties des Received laissaient apparaitre les variables du script....
J'ai fait une poignée de tests (en installant le serveur SMTP IIS sur ma machine - eew ! - et un bout de code VB + objets CDO ou telnet), et, si je n'ai pas réussi à avoir de X-Message-Info, j'ai par contre :
| Received: from 213-193-172-93.adsl.easynet.be (HELO laphroaig) (213.193.172.93) | by lagavulin.lacave.net with SMTP; 20 Apr 2004 11:38:32 -0000 | Received: from laphroaig ([127.0.0.1]) by laphroaig with Microsoft SMTPSVC(5.0.2195.6713); | Tue, 20 Apr 2004 13:39:22 +0200 | X-OriginalArrivalTime: 20 Apr 2004 11:39:39.0704 (UTC) FILETIME=[2A3CFB80:01C426CC]
Par contre :
| 14:57 lacave=# select count(*) from maillog where headers~'X-Message-Info' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 18 | (1 ligne)
(Qui sont tous les 18 des gros spams baveux, mais bon.)
J'ai ça aussi.
Plus loin :
| 15:14 lacave=# select count(*) from maillog where headers~'Microsoft SMTPSVC' | lacave-# and headers~'X-OriginalArrivalTime'; | count | ------- | 1175 | (1 ligne)
Qui sont, après analyse, à 90% légitimes ; les mails qui ne contiennent pas le X-OriginalArrivalTime sont du spam détecté à 85%. Après revue, je suis certain à 99% que les 15% restants sont du spam aussi (rien qu'à voir le from, la plupart du temps - vous avez beaucoup de potes qui ont un from "Pat Washington" ?)
Ben moi, en charchant rapidement (j'ai pas mis mes spams dans une BDD, moi ! ;-) ), j'ai trouvé au moins un correspondant légitime qui avait le SMTPSVC mais pas le X-OriginalArrivalTime...
Au passage, je viens de faire une poignée de tests avec un copain qui a une adresse hotmail : - depuis hotmail vers l'extérieur, pas de X-Message-Info, - depuis l'extérieur vers hotmail, il retrouve un X-Message-Info, - qui disparaît lors d'une réponse (on ne sait jamais).
C'est bien ce que je pensais.
Conclusion : - X-Message-Info présent mais pas d'X-OriginalArrival-Time => spam
Ca me parrait correct.
- Recieved contient Microsoft SMTPSVC mais pas d'X-OriginalArrival-Time => spam
Cette rêgle m'aurait fait perdre au moins un correspondant.
(Remarques, c'est pas trop grave, il était dans le genre chiant, et en plus si c'est pas avec cette rêgle, il se serait probablement fait quand même blacklister avec une autre, vu que ces messages passaient par rr.com, bien connu pour être un bon transitaire de spams... ;-) )
(Ah, et hotmail met une ligne Bcc: vide dans ses mails, ce qui va m'obliger de revoir une autre règle de courrier...)
Tiens, au passage faudra que je remette la main sur un spam qui laissait apparaitre une centaine d'adresses dans un champ "Bcc"...
A+ Jacques. -- Le dernier Homme connecté sur le Net regardait d'anciens sites Webs. "Vous avez du courrier" apparut sur l'écran... --------------------------- adapté d'une courte histoire de Fredric Brown
