[linux] Re: Is deze Delivery failure (spam) verontrustend?

Kees Theunissen theuniss op rijnh.nl
Vr Jan 12 01:57:17 CET 2007


On Wed, 10 Jan 2007, Julien Michielsen wrote:

>Ik krijg nogal eens delivery-failures binnen waarbij het zo zou kunnen
>zijn dat spammers mijn machine zijn binnengekomen om vanhier de wereld
>van ongewenste berichten te voorzien.

Nee, deze keer in ieder geval niet.
Gewoon een spammer je jouw adres als afzender gebruikt.


>Hieronder een deel van het bericht.
>--------  00000  --------
>Subject: Delivery failure (spamtrap op stapleshighschool.org)
>Date: Tue, 2 Jan 2007 22:45:07 -0500
>From: postmaster op stapleshighschool.org
>To: tqe op michkloo.xs4all.nl

[ knip ]

>-- Attached file included as plaintext by Ecartis --
>-- File: DSN00000000.txt
>
>Reporting-MTA: dns; locke.echalk.net
>
>Final-Recipient: rfc822; spamtrap op stapleshighschool.org
>Action: failed
>Status: 4.2.2 (Persistent transient failure - mailbox: mailbox full)
>
>
>
>-- Attached file included as plaintext by Ecartis --
>-- File: (null).eml
>
>Resent-Message-Id: <B0028317557 op locke.echalk.net>
>Resent-Date: Tue, 2 Jan 2007 22:45:07 -0500
>Resent-To: spamtrap op stapleshighschool.org
>Resent-From: postmaster op stapleshighschool.org
>X-UserType: :P:Y::A:N::T:N::S:N:
>eChalkIncomingEmail: 12/26/2006 . 3149713739900564
>X-Spam-Score: 7
>Received: from CPE000f3d50fe47-CM000a73a15b9a.cpe.net.cable.rogers.com
>  (unverified [74.97.3.93])
>  by locke.echalk.net
>  (Rockliffe SMTPRA 7.0.3) with SMTP id <B0028317554 op locke.echalk.net>
>  for <ukaestli op stapleshighschool.org>;
>  Tue, 2 Jan 2007 22:45:06 -0500
>Received: from smv ([38.112.216.128])
>  by CPE000f3d50fe47-CM000a73a15b9a.cpe.net.cable.rogers.com
>  with Microsoft SMTPSVC(6.0.3790.0); Tue, 2 Jan 2007 22:44:58 -0500
>  Message-ID: <001801c72ee9$8a99c760$80d87026 op smv>
>From: "Morrison C. Oswald" <tqe op michkloo.xs4all.nl>
>To: <ukaestli op stapleshighschool.org>


Dit is een deel van de headers uit de bewuste spam message.

Het bericht was gestuurd naar "stapleshighschool.org".
De bounce kwam ook van "stapleshighschool.org", maar de meest
recente received header is van "locke.echalk.net".

De eerste stap is dan om te controleren of "locke.echalk.net"
toevallig een mail exchanger (MX host) is voor "stapleshighschool.org".
Met nslookup is na te gaan dat "stapleshighschool.org" de enige
MX host is voor "stapleshighschool.org". Maar het IP nummer van
"stapleshighschool.org" is wel identiek aan dat van "locke.echalk.net".

"locke.echalk.net" was dus de eindbestemming van het mailtje. Dan
mogen we in ieder geval de Received: header vertrouwen die
"locke.echalk.net" heeft toegevoegd. In die header staat dat de
mail van CPE000f3d50fe47-CM000a73a15b9a.cpe.net.cable.rogers.com
[74.97.3.93] afkomstig was. Hostname en IP nummer komen netjes overeen
zowel bij forward als reverse lookups. Dat zal dus wel kloppen.

En in de andere Received header zegt de bovengenoemde
CPE000f3d50fe47-CM000a73a15b9a.cpe.net.cable.rogers.com
dat die de mail binnen heeft gekregen van een computer die
zichzelf "smv" noemde en IP nummer [38.112.216.128] had.

Meer received headers zijn er niet. Dus nergens blijkt uit dat jij
de mail doorgestuurd zou hebben.



Groeten,

Kees.

-- 
Kees Theunissen
F.O.M.-Instituut voor Plasmafysica Rijnhuizen, Nieuwegein
E-mail: theuniss op rijnh.nl,     Tel: 030-6096724,     Fax: 030-6031204



More information about the Linux mailing list