Jak zdemaskować
nadawcę listu
Tomasz Nidecki
Wielu użytkowników
poczty elektronicznej jest
przekonanych, że zapewnia ona
pełną anonimowość. Zakładając
darmowe konto pocztowe
można przecież podać fałszywe
dane, a adresat wiadomości ma
niewielkie szanse na domyślenie
się, kim jest na przykład
misio@chatkapuchatka.com.
Poczucie anonimowości jest
jednak złudne  wprawne oko
może wyłuskać z nagłówków
otrzymanej wiadomości
sporo informacji o nadawcy,
a następnie wykorzystać je
przeciw jemu.
ałóżmy, że otrzymaliśmy list z adre- nające się od X-  niektóre z nich mogą okazać
su misio@chatkapuchatka.com. Jego się, wbrew pozorom, użyteczne.
Znadawca grozi nam, że jeśli nie odda- Podział zawęził nasze poszukiwania prak-
my mu całego zgromadzonego zapasu mio- tycznie do dwóch grup. Pierwszą są nagłów-
du, naśle na nas Tygryska, który zabryka nas ki Received, które będą stanowiły podstawę
na śmierć. Oczywiście adres nadawcy może naszych poszukiwań. Drugą są wszelkie na-
być bardzo łatwo sfałszowany (patrz Artykuł główki zaczynające się od X, oczywiście je-
Jak wysyłany jest spam, Hakin9 2/2004), a Pu- żeli występują w wiadomości i jeśli dane wy-
chatek jest naszym dobrym znajomym i nie są- łuskane z nagłówków Received okażą się nie-
dzimy, by wysyłał nam takie groz
by. Spróbujmy wystarczające (patrz Ramka Informacje w na-
więc zdemaskować prawdziwego autora gróz
b, główkach X).
a następnie zgłosić jego przewinienie, by wy-
ciągnięte zostały wobec niego stosowne kon-
Z artykułu nauczysz się...
sekwencje.
Analizę nagłówków poczty elektronicz-
" jak zareagować w przypadku otrzymania pocz-
nej rozpocznijmy od podzielenia ich na istot-
tą elektroniczną np. gróz
b  jak wychwycić in-
ne i nieistotne. Od razu możemy pomi-
formacje o prawdziwym nadawcy z nagłówków
nąć te, w których podany jest adres nadaw-
poczty, jak dowiedzieć się nieco więcej o nim na
cy: From i Return-Path, bowiem SMTP umoż-
podstawie wychwyconych informacji oraz gdzie
liwia wstawienie w to miejsce dowolnego ad- i w jaki sposób zgłosić przewinienie.
resu (patrz Artykuł Jak wysyłany jest spam,
Powinieneś wiedzieć...
Hakin9 2/2004).
" znać podstawy funkcjonowania poczty elektro-
Równie mało istotne z punktu widzenia ana-
nicznej,
lizy będą takie nagłówki, jak Subject, Date, To,
" wiedzieć, jak odczytać pełne nagłówki listu
Delivered-To i inne, odpowiedzialne na przy-
w swoim programie pocztowym.
kład za kodowanie znaków. Zwróćmy jednak
uwagę na nagłówki niestandardowe, rozpoczy-
14 www.hakin9.org Hakin9 Nr 5/2004
Podstawy
Analiza nagłówków poczty elektronicznej
Nagłówki Received
Listing 1. Pogróżki od Misia
Nagłówki Received są dodawane
automatycznie przez każdy serwer
Return-Path:
Delivered-To: krzysio@domek.com pocztowy, przez który przechodzi
Received: (qmail 29414 invoked by uid 511); 29 Jul 2004 09:21:57 -0000
wiadomość. Ich zadaniem jest do-
Received: from misio@chatkapuchatka.com by poczta.domek.com
kładne zobrazowanie drogi, jaką po-
by uid 502 with qmail-scanner-1.22
dążała wiadomość.
(clamdscan: 0.71. spamassassin: 2.63.
Każdy nowy nagłówek Received
Clear:RC:0(212.77.101.160):SA:0(0.9/4.0):.
Processed in 0.175587 secs); 29 Jul 2004 09:21:57 -0000 dokładany jest nad istniejącymi. Tak
Received: from smtp.wp.pl (212.77.101.160)
więc, aby prześledzić trasę wiado-
by poczta.domek.com with SMTP; 29 Jul 2004 09:21:56 -0000
mości, należy je odczytywać z do-
Received: (wp-smtpd smtp.wp.pl 10498 invoked from network);
łu do góry. Pierwszy (górny) nagłó-
29 Jul 2004 11:14:08 +0200
wek Received będzie więc pocho-
Received: from stumilowylas.com (HELO chatka) (prosiaczek@[62.111.243.82])
(envelope-sender ) dził od naszego serwera, zaś ostatni
by smtp.wp.pl (WP-SMTPD) with SMTP
(dolny)  od serwera nadawcy. Przy-
for ; 29 Jul 2004 11:14:08 +0200
najmniej teoretycznie, bowiem ser-
Message-ID: <000b01c4754c$6c73a8e0$198063d9@wp.pl>
wery nie usuwają żadnych nagłów-
Received: from chatkapuchatka.com (192.187.190.14); 29 Jul 2004 09:10:23 -0800
ków  nic więc nie stoi na przeszko-
Date: Tue, 28 Jul 2004 08:52:48 +0100 (BST)
From: Kubus Puchatek dzie, by nadawca dodał własne, ma-
Subject: Oddawaj miodek bo nasle na ciebie Tygryska i zabryka cie na smierc!
jące na celu zmylenie odbiorcy. Pro-
To: krzysio@domek.com
ces dodawania nagłówków Received
MIME-Version: 1.0
przedstawiamy na Rysunku 1.
Content-Type: multipart/mixed; boundary="0-183171874-1090572768=:27263"
Na Listingu 1 przedstawiono na-
Content-Transfer-Encoding: 8bit
(...) główki listu z pogróżkami, które wy-
dają się pochodzić od Kubusia Pu-





Serwer odbiorcy dokłada

własne nagłówki .








Serwer smtp.wp.pl odbiera

pocztę od nadawcy, następnie

dokłada nagłówek

i własne nagłówki .



Nadawca dokłada fałszywy

nagłówek w celu

zmylenia odbiorcy.

Nadawca przygotowuje list

ze standardowymi nagłówkami

w programie pocztowym.

Rysunek 1. Proces dokładania nagłówków do listu
2004 Hakin9 Nr 5/2004 www.hakin9.org
15