Glippen teveel berichten door je uitgekiende filtersysteem en laten die spamgeesten bovendien geen duidelijk traceerbaar spoor na, dan zit er weinig anders op dan je speurderskwaliteiten aan te spreken. 
Wil je het kwaad aan de bron aanpakken, dan moet je eerst weten van welke technieken spammers zich zoal bedienen. In de meeste gevallen maken zij immers geen gebruik van een standaard e-mailpakket, maar loggen zij rechtstreeks aan op een mailserver. Wij deden hetzelfde bij onze provider, via het programma Telnet (hostnaam: mail-out.pandora.be, poort: 25), en tikten enkele standaard SMTP-commando’s in. Het resulterende mailtje dat we in deze telnet-sessie verstuurden, zie je in de eerste afbeelding hiernaast: hieruit blijkt dat het vervalsen van bepaalde velden – waaronder die van de afzender! – heel makkelijk kan.
Echte afzender opsporen
Is er dan geen manier om de echte afzender op te sporen? Toch wel, maar daarvoor moet je het gínse e-mailbericht bekijken, inclusief alle header-informatie. In Outlook en Messenger kun je daarvoor in het Beeld-menu terecht, in Eudora volstaat een dubbelklik op de onderwerpsregel, en Outlook Express geeft de headers prijs na CTRL-F3 bij een geselecteerd bericht. Wij die dachten dat we de bestemmeling er konden inluizen, komen er echter bekaaid af als we de headers van het verstuurde mailtje analyseren. In het onderste veld Received: kunnen we namelijk tussen de haakjes (achter de valse HELO-melding) perfect het IP-adres aflezen van waaruit het mailtje werd verstuurd. Een vlugge check met het commando WINIPCFG bracht inderdaad aan het licht dat dit het IP-adres van onze computer was. Dit adres, gecombineerd met datum en de message-idstring (die je ook in het headergedeelte aantreft) is voor de bewuste provider (Telenet in ons voorbeeld) voldoende om de spammer bij z’n lurven te stekken.
Abuse
Word je inderdaad frequent door spamberichten belaagd, dan kun je de header-informatie van zo’n spambericht in een mailtje plakken en dat vervolgens doorsturen naar het abuse-adres van de bewuste provider (in principe is dat die uit de onderste received:-header). Gewoonlijk neemt dat adres de vorm aan van abuse@provider.land (b.v. abuse@planetinternet.be), maar op de website van die provider moet je normaal gezien wel het exacte adres kunnen aflezen in hun AUP (acceptable use policy).
Niet altijd even eenvoudig
Jammer genoeg verloopt het opsporen van een spammer niet altijd zo eenvoudig. Zo kregen we bijvoorbeeld een spambericht waarin de onderste received-header er als volgt uitzag: from ozone8.snu.ac.kr ([147.46.64.71]). Met behulp van een Noorse dienst spoorden we al snel een WHOIS-service voor Koreaanse (.kr) servers op. Daar visten we uit dat de bewuste spamserver eigendom was van een Koreaanse universiteit! Het leek ons echter weinig waarschijnlijk dat die ernstige profs zich met spampraktijken zouden inlaten. Het zat er dus dik in dat een externe spammer die server als doorzendstation (relay) heeft misbruikt. In dit geval is het haast onbegonnen werk de ware identiteit van de dader te achterhalen. Het kan natuurlijk nooit kwaad een mailtje naar de beheerders ervan te sturen om hen op hun onveilig geconfigureerde mailserver te wijzen. Voor alle zekerheid sturen we meteen ook zo’n mailtje naar hun upstream provider, de instantie met wie zij verbonden zijn om het Net op te gaan. Die vinden we via het programma TRACEROUTE met als parameter het bewuste IP-adres: tracert 147.46.64.71 . Dit programma laat ons namelijk in chronologische volgorde de gevolgde route zien tussen onze eigen computer en de server met het opgegeven IP-adres, vanwaar het spambericht afkomstig was. Dezelfde WHOIS-service als hierboven wist ons mee te delen dat het IP-adres net vóór de 147.46.x.x-adresreeks in handen was van KORNET.NET, een Koreaanse provider.
Spam Spade
Voel je jezelf prima in zo’n Spamlock Holmes-vel, dan moet je zeker ook eens het gratis Sam Spade uitproberen. Dit Zwitsers zakmes voor netwerk-queries bevat immers een hele rist aan dergelijke speurtools. Sommige ervan kun je zelfs rechtstreeks op de Sam Spade-site online uitproberen. Veel succes alvast!
Als je de header en de rest van de spammail naar abuse@telenet.be stuurt, krijg je een automatisch antwoord dat mij sterk op een preek lijkt… Anderen (o.a. Skynet) antwoorden dan helemaal niet.
Goed artikel. Mijn nederlands is niet goed maar ik kan lezen [?].
I’d like to reccomend spamcop.net in addition to sam spade for tracking down spam mail and where they come from. spamcop also allows you to send the abuse dept a munged report [meaning, your email adress is hidden from view]. This way you can safely direct abuse complaints to the correct ISP and keep your adress a secret. they also have a good blacklist you can use.
Reacties zijn gesloten.