PDA

Ver la versión completa : Spoofing en Gmail



Darth_Ayax
27-08-2009, 23:50
Buenas... Muy seguido me llega a Gmail spam que supuestamente me envio desde mi propia cuenta (creo q no los mando... ja). Se que eso es spoofing, pero quisiera saber si alguien me podria decir como rastrear de donde viene por medio de la cabecera del mensaje... Para poder hacer esto, el q me envia spam no deberia tener algun tipo de cuenta en Gmail? o estara usando algun servidor Open Relay? Yo lo intente enviar correo a traves del smtp de Gmail y me pide autenticarme... Obvio q no es q quiera tomar medidas contra la gente q me envia el spam, sino tratar de entender como rastrear de donde viene y por ahi poder hacer uso de su mismo server SMTP (si es open relay).

Les dejo una cabecera a ver si me puede orientar un poco.
Gracias!



Delivered-To: [email protected]
Received: by 10.220.72.81 with SMTP id l17cs200405vcj;
Thu, 27 Aug 2009 04:20:48 -0700 (PDT)
Received: by 10.115.113.7 with SMTP id q7mr12776471wam.145.1251372047776;
Thu, 27 Aug 2009 04:20:47 -0700 (PDT)
Return-Path: <[email protected]>
Received: from ?213.8.90.42? ([213.8.90.42])
by mx.google.com with ESMTP id 8si18895857pzk.124.2009.08.27.04.20.43;
Thu, 27 Aug 2009 04:20:47 -0700 (PDT)
Received-SPF: softfail (google.com: best guess record for domain of transitioning [email protected] does not designate 213.8.90.42 as permitted sender) client-ip=213.8.90.42;
Authentication-Results: mx.google.com; spf=softfail (google.com: best guess record for domain of transitioning [email protected] does not designate 213.8.90.42 as permitted sender) [email protected]
Date: Thu, 27 Aug 2009 04:20:47 -0700 (PDT)
From: "Rheba Amjt" <[email protected]>
To: [email protected]
Subject: Willing to help you
Message-ID: <3742WCE.474055B8.76507144314KBANKUKSKYWQXLM054@[213.8.90.42]>
Content-type: text/html; charset="UTF-8"
MIME-Version: 1.0

<!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml"><head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
<title>ArtReview</title>
</head><body style="margin: 0pt; line-height: 18px; font-size: 11px; font-family: verdana; color: rgb(111, 111, 113);">
<table align="center" bgcolor="#a0a0a0" border="0" cellpadding="0" cellspacing="0" width="100%">
<tbody><tr>

j8k6f4v9j
28-08-2009, 02:01
Fíjate en que las primeras direcciones IP son direcciones de redes privadas de clase A. La primera de ellas probablemente sea la de la máquina que remitió el email. La tercera corresponde a una red de Israel, que seguramente sea la dirección IP pública de salida de la segunda dirección IP local que aparece.

Viendo esta configuración, más que un open relay (que ya hay pocos y casi siempre se trata de servicios mal protegidos que no están en producción comercial real) yo diría que se trata de máquinas infectadas que se instalan su propia aplicación para el envío de emails.

Otro detalle que me hace pensar que es así, es la cabecera

Received-SPF: softfail (google.com: best guess record for domain of transitioning [email protected] does not designate 213.8.90.42 as permitted sender) client-ip=213.8.90.42;

que no reconoce al remitente como uno permitido. Si fuese un servidor legal, probablemente no sería ése el contenido de la cabecera SPF.

Seguramente sea incluso la misma máquina (infectada) la que haya escaneado webs en busca de emails y haya dado con la tuya. Poniéndola en el campo From: y en el campo To: dinámicamente (junto con todas las de su base de datos de emails, claro).


Salu2

Darth_Ayax
28-08-2009, 08:52
Ajam.... Creo que entiendo... O sea que se instalan sus propios servidores SMTP? No utilizan los de GMail, en este caso por lo menos...?
Me falta leer un poco mas acerca de todo esto....
Muchas gracias j8!!!

Saludos

j8k6f4v9j
28-08-2009, 15:25
Así es, aunque no desde todas las redes se puede enviar a gmail, que es el recipiente final en este caso.

Salu2