Ett exempel på hur man spårar rätt adress

Tillbaka

Nedanstående brev får vara ett exempel på hur vi kan spåra en avsändare, det innehåller inte särskilt mycket korrekt information, vi ska titta på hur vi kan skilja på det som är äkta och inte.

Brevet finns inlagt flera gånger på sidan för att det skall vara synligt i stort sett hela sidan så att man lätt kan se hur det ser ut.

Received: from home.se (smtp1.home.se [195.66.45.70])
        by tor.abc.se (8.9.1b+Sun/8.9.1) with ESMTP id VAA28242
        for <m8130@abc.se>; Sat, 29 Apr 2000 21:36:11 +0200 (MET DST)
Received: from tor.abc.se (root@ns.abc.se [195.17.72.11])
        by home.se (8.8.8/8.8.7) with ESMTP id VAA48539
        for <min.adress@home.se>; Sat, 29 Apr 2000 21:36:10 +0200 (CEST)
Received: from mailserver.com (dialup-8 [195.17.73.8])
        by tor.abc.se (8.9.1b+Sun/8.9.1) with SMTP id VAA28125
        for min.adress@home.se; Sat, 29 Apr 2000 21:31:57 +0200 (MET DST)
Received: from mailsender.com (212.14.67.93) 
        by smtp.mailserver.com (8.9.1b+Sun/8.9.1) 
        for spamreceiver@anyplace.com; Sat, 29 Apr 2000 19:20:46 +0000 (GMT)
Message-Id: <758362846382@mailserver.com>
From: spammer@secret.address
To: spamreceiver@anyplace.com

Received: from home.se (smtp1.home.se [195.66.45.70]) by tor.abc.se (8.9.1b+Sun/8.9.1) with ESMTP id VAA28242 for <m8130@abc.se>; Sat, 29 Apr 2000 21:36:11 +0200 (MET DST)

Den översta (=senaste) Received-raden vet vi att den alltid är rätt, det är ju den senaste servern som satt dit den, i det här fallet ABC-klubbens server. Vi ser att ABC-klubbens server fick brevet från en maskin som kallade sig home.se och hade ip-adressen 195.66.45.70 och som slogs upp baklänges till smtp1.home.se. Detta kan vi i princip lita på om vi litar på ABC-klubbens server och DNS, och det kan vi nog göra i detta fall eftersom all information ser ut att passa ihop.

ABC-klubbens server tog emot brevet eftersom det var adresserat till m8130@abc.se, så klubbens server hade inget val.

För säkerhets skull kan vi gå in på Network Tools och kolla. Klicka i DNS Records och skriv home.se i rutan. Vi ser att home.se har två smtp-servrar, smtp1 och smtp2. smtp1.home.se verkar alltså korrekt. Vi ser också att den har ip-adressen 195.66.45.70 och det innebär ju att allt verkar riktigt.

Received: from tor.abc.se (root@ns.abc.se [195.17.72.11]) by home.se (8.8.8/8.8.7) with ESMTP id VAA48539 for <min.adress@home.se>; Sat, 29 Apr 2000 21:36:10 +0200 (CEST)

På nästa (=näst senaste) Received-rad ser vi att home.se har fått brevet från tor.abc.se! (Om vi kollar ip-adressen ser vi att det är korrekt) Vad är nu detta? Ja, i princip inget konstigt, det är helt enkelt så att jag har en adress hos home.se som vidarebefodras till min adress hos ABC-klubben. Det är det den första raden visar, den här andra raden visar hur brevet kom till home.se. Detta är inget man kan se direkt på dessa rader, det måste man veta. Man kan eventuellt ana det eftersom adressen efter "for" ändras, men beroende på hur brevet skickas behöver det inte synas alls.

Home.se tog emot brevet eftersom det var adresserat till min adress på home.se, så deras server hade inget val.

Vi kollar upp även den denna rad på Network Tools. Klicka i DNS Records och skriv tor.abc.se i rutan. Vi ser att ip-adressen är rätt och vi ser att tor även heter ns1.abc.se (det är samma ip-adress) och det förklarar varför det står som det gör i parantesen).

Received: from home.se (smtp1.home.se [195.66.45.70])
        by tor.abc.se (8.9.1b+Sun/8.9.1) with ESMTP id VAA28242
        for <m8130@abc.se>; Sat, 29 Apr 2000 21:36:11 +0200 (MET DST)
Received: from tor.abc.se (root@ns.abc.se [195.17.72.11])
        by home.se (8.8.8/8.8.7) with ESMTP id VAA48539
        for <min.adress@home.se>; Sat, 29 Apr 2000 21:36:10 +0200 (CEST)
Received: from mailserver.com (dialup-8 [195.17.73.8])
        by tor.abc.se (8.9.1b+Sun/8.9.1) with SMTP id VAA28125
        for min.adress@home.se; Sat, 29 Apr 2000 21:31:57 +0200 (MET DST)
Received: from mailsender.com (212.14.67.93) 
        by smtp.mailserver.com (8.9.1b+Sun/8.9.1) 
        for spamreceiver@anyplace.com; Sat, 29 Apr 2000 19:20:46 +0000 (GMT)
Message-Id: <758362846382@mailserver.com>
From: spammer@secret.address
To: spamreceiver@anyplace.com

Received: from mailserver.com (dialup-8 [195.17.73.8]) by tor.abc.se (8.9.1b+Sun/8.9.1) with SMTP id VAA28125 for min.adress@home.se; Sat, 29 Apr 2000 21:31:57 +0200 (MET DST)

På den tredje Received-raden ser vi att tor.abc.se har fått brevet från mailserver.com, men ip-adressen gav ett annat namn. Gå till Network Tools. Klicka i DNS Records och skriv mailserver.com i rutan. Vi ser att domänen mailserver.com finns, men ip-adresserna stämmer inte. Vi kollar ip-adressen från Received-raden, gå till Network Tools. Klicka i DNS Records och skriv 195.17.73.8 i rutan. Vi ser att ip-adressen ger namnet dialup-8.abc.se, alltså en av ABC-klubbens ip-adresser för modempoolen! Här har någon som varit uppkopplad via klubbens modempool påstått sig vara mailserver.com, men mailserver.com har ju egna adresser så det verkar lite konstigt...

ABC-klubbens server har tagit emot brevet eftersom det skickades av en av klubbens medlemmar. Servern hade i princip inget val, på grund av hur SMTP fungerar så måste klubben låta sina medlemmar skicka e-post via servern, men klubben kan spåra medlemmen om det visar sig att det är därifrån brevet kommer. Se här för ett loggutdrag som visar detta.

Vi har kommit över halvvägs och går vidare med den sista Received-raden (som är den första som lades in i brevet).

Received: from mailsender.com (212.14.67.93) by smtp.mailserver.com (8.9.1b+Sun/8.9.1) for spamreceiver@anyplace.com; Sat, 29 Apr 2000 19:20:46 +0000 (GMT)

Vi ser att smtp.mailserver.com fick brevet från mailsender.com med ip-adressen 212.14.67.93. Gå till Network Tools. Klicka i DNS Records och skriv mailsender.com i rutan. Domänen finns, men de ip-adresserna verkar inte stämma med den vi har här? Vi kollar upp ip-adressen då, gå till Network Tools. Klicka i DNS Records och skriv 212.14.67.93 i rutan. Vi hittar ett tyskt konsultföretag?! Här luktar det begraven hund....

Varför tog smtp.mailserver.com emot brevet fast det inte var adresserat till någon hos dem eller kom från någon i deras nät? Är de mailserver åt det tyska företaget? Om nu det tyska företaget har dem som Internetleverantör så varför sitter de uppkopplade mot ABC-klubbens modempool?

Received: from home.se (smtp1.home.se [195.66.45.70])
        by tor.abc.se (8.9.1b+Sun/8.9.1) with ESMTP id VAA28242
        for <m8130@abc.se>; Sat, 29 Apr 2000 21:36:11 +0200 (MET DST)
Received: from tor.abc.se (root@ns.abc.se [195.17.72.11])
        by home.se (8.8.8/8.8.7) with ESMTP id VAA48539
        for <min.adress@home.se>; Sat, 29 Apr 2000 21:36:10 +0200 (CEST)
Received: from mailserver.com (dialup-8 [195.17.73.8])
        by tor.abc.se (8.9.1b+Sun/8.9.1) with SMTP id VAA28125
        for min.adress@home.se; Sat, 29 Apr 2000 21:31:57 +0200 (MET DST)
Received: from mailsender.com (212.14.67.93) 
        by smtp.mailserver.com (8.9.1b+Sun/8.9.1) 
        for spamreceiver@anyplace.com; Sat, 29 Apr 2000 19:20:46 +0000 (GMT)
Message-Id: <758362846382@mailserver.com>
From: spammer@secret.address
To: spamreceiver@anyplace.com

Vart ska vi nu klaga? Ett tyskt konsultföretag har skickat e-post till en server som tillhör mailserver.com och som sitter på en uppringt förbindelse via ABC-klubbens modempool? Nej, nåt stämmer inte här.... Men vad? Jo, det är den sista (egentligen första) Received-raden som är falsk, den är inlagd av den sändande spammaren för att försvåra spårningen! Och visst har han lyckats? Det är mycket svårt att direkt se detta, man kan faktiskt bara misstänka det eftersom adresserna inte stämmer! Det hade varit lätt att luras att vi skall klaga hos mailserver.com (för att de tog emot och skickade vidare ett brev som inte skulle till dem).

Det vi skall göra är att klaga till abuse@abc.se och postmaster@abc.se och tala om att vi fått ett mystiskt brev som har de headerraderna (och de raderna måste vi såklart bifoga). Denna slutsats kan vi dra eftersom det var en uppringd förbindelse inblandad, det är inte sannolikt att mailsever.com har använt en uppringd adress hos ABC-klubben. Vi kan dock inte vara helt säkra på detta, men klubben kan ju spåra vem som hade den uppringda förbindelsen. Om det nu skulle råka vara så att mailserver.com faktiskt har en uppringd förbindelse hos ABC-klubben så skulle ju klubben föra klagomålet vidare.

I det här fallet ska vi dock inte göra något alls eftersom det här bara är ett exempel, det är jag själv som skickat spammet till mig själv.

Tillbaka