Мне часто приходят письма от спамеров, "доброжелателей" и прочих юзеров, которые думают что они анонимны... Развеем же их надежды. Вот, к примеру, пришло мне письмо от одного спамера, рассылающего мне бюллетень "$#*зит", который мне не нужен. Берем его письмо, жмем (в Аутлуке) Файл, потом Свойства, закладка Подробности. Вот что мы видим (помеченные "#" строки - мой комментарий):

Return-Path: test@moscow.portal.ru

# все идеально... вот только этот Return-Path можно подделать, так как мы его ставим в настройках сами

Received: from users.portal.ru (root@users.portal.ru [195.16.96.19])

# ага, вот через этот SMTP сервер и было получено письмо

by net.sochi.ru (8.9.1/8.9.1) with ESMTP id OAA07534;

Thu, 25 Feb 1999 14:15:39 +0300 (MSK)

# дата получения сообщения моим сервером

(envelope-from elf@moscow.portal.ru)

Received: from default (ppp-1-56-en.portal.ru [195.16.98.57])

# А вот он, попался; кстати, в настройках Виндов у него стоит имя хоста - default, а его IP - 195.16.98.57. :) Вот мы и узнали его IP, его провайдер - www.portal.ru, login - ppp-1-56-en. Такой логин, скорее всего, говорит о том, что провайдер выделяет IP адреса динамически (то есть он в Инет заходит с обычного дайл-апа). Да, это усложняет нашу задачу:

by users.portal.ru (portal/portal) with SMTP id OAA16807;

Thu, 25 Feb 1999 14:03:05 +0300

From: "Test"

To: "=?koi8-r?B?987JzcHOycAg0s/T08nK08vJyCDU1dLGydLNIQ==?="

Subject: Bulletin "Visit"

Date: Thu, 25 Feb 1999 14:03:40 +0300

Message-ID: 01be60ae$806c26a0$396210c3@default

# если очень уж хочется настучать провайдеру о нем или, если повезет, узнать о нем побольше, номер письма может пригодиться.

MIME-Version: 1.0

Content-Type: multipart/mixed;

boundary="----=_NextPart_000_00A5_01BE60C7.E81E2280"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 4.71.1712.3

# пользователь Аутлука :)

X-Mimeole: Produced By Microsoft MimeOLE V4.71.1712.3

X-UIDL: 0c1adfa61e9031e7565b0535b7d58a52

Это я рассмотрел "легкий случай" с одним сервером - посредником... Вот посложней. Ты, конечно, получал письма с предложением получить денег (совет - стирай их сразу). Вот то же самое пришло и мне. А если я тебе скажу, что через 10 минут я узнал Имя, Фамилию, Телефон, место работы, должность, а также всю биографию директора фирмы из локальной сетки, откуда писал спамер... А также, имея его локальный адрес - вышел на него самого... Обо всем читай ниже:

Return-Path: SUCCESS.REPORT-99@mail.bb-online.dk

# Здесь все ясно :)

Received: from mail.bb-online.dk ([194.239.250.70])

# подставной e-mail

by net.sochi.ru (8.9.1/8.9.1) with ESMTP id UAA10138

for ; Wed, 24 Feb 1999 20:54:36 +0300 (MSK)

(envelope-from SUCCESS.REPORT-99@mail.bb-online.dk)

# это мой мэйл-сервер

From: SUCCESS.REPORT-99@mail.bb-online.dk

# Неправда :)

Received: from mail.bb-online.dk (170-244-26.ipt.aol.com [152.170.244.26])

by mail.bb-online.dk (8.8.8/8.8.5) with SMTP id TAA10595;

Wed, 24 Feb 1999 19:28:57 +0100

Received: from tengu.host2u.net (tengu.host2u.net [208.150.156.42] by tengu.host2u.net (8.8.5/8.6.5) with

# Имя локального хоста можно подделать без усилий, но IP в квадратных скобках и локальный адрес в круглых - выдал его с головой.

SMTP id GAA06279 for ; Wed, 24 Feb 1999 08:00:58 -0600 (EST)

# Тоже интересный адрес, но это не то, о чем ты подумал

To: sucsess@FWP.NET

Message-ID: <001010be5bde$d05ee5a0$e948a1d1@oemcompute>

Date: Wed, 24 Feb 99 08:00:58 EST

Subject: $$$

Reply-To: sucsess@FWP.NET

X-PMFLAGS: 128 0

Comments: Authenticated sender is

X-UIDL: 33239456098756743245607948572636

Узнай как можно больше подробностей

Начнем наше разбирательство по этому случаю: первый е-мэйл, указанный в Return-path'е - подставной (100%). Зачем спамеру давать свой реальный ящик? А mail.bb-online.dk - подставной сервер посылки почты. Этим я занялся первым делом. Зашел на www.bb-online.dk и узнал, что это немецкий провайдер, предоставляющий размещение виртуальных серверов, и главное, что у него открыт 25 порт для всех - то есть через него можно слать почту без проблем. Вот этой фишкой и воспользовался спамер, точнее не он сам, а тот, кто продал ему e-mail адреса жертв (мой тоже, правда я ума приложить не могу, откуда он там взялся - скорее всего, перепродажа адресов). Очень интересным показался мне адрес sucsess@fwp.net, поэтому я зашел на www.fpw.net, который оказался сайтом Yelow Pages (то есть сайтом с кучей ссылок, или рубрикатором, по-русски). Мне там предложили оставить свой e-mail, на что я ответил вежливым отказом. Все ясно, fpw - это и есть тот сервер, который продал мой e-mail и послал мне спам. Вся эта информация, конечно, нужна, но хотелось узнать, кто же настоящий заказчик.

Это можно сделать так:

Посмотреть на последний заголовок Received From - tengu.host2u.net. Оказался лажой - я это тоже проверил через Интернет Маньяка и просто написав этот адрес в броузере.

Проверить IP. А вот IP в квадратных скобках - интересный... Я сделал Host LookUp (это делается любой прогой, типа CyberKit) и увидел www.eric.com. Ну а дальше все ясно. Бегом на сайт, смотрим about, читаем Contacts и все. Вот там-то я и узнал о боссе спамера.

Автор: Black Warrior (root@behacker.hypermart.net)