Resultados 1 al 4 de 4

Tema: Spoofing en Gmail

  1. #1 Spoofing en Gmail 
    Iniciado
    Fecha de ingreso
    Aug 2009
    Mensajes
    12
    Descargas
    7
    Uploads
    0
    Buenas... Muy seguido me llega a Gmail spam que supuestamente me envio desde mi propia cuenta (creo q no los mando... ja). Se que eso es spoofing, pero quisiera saber si alguien me podria decir como rastrear de donde viene por medio de la cabecera del mensaje... Para poder hacer esto, el q me envia spam no deberia tener algun tipo de cuenta en Gmail? o estara usando algun servidor Open Relay? Yo lo intente enviar correo a traves del smtp de Gmail y me pide autenticarme... Obvio q no es q quiera tomar medidas contra la gente q me envia el spam, sino tratar de entender como rastrear de donde viene y por ahi poder hacer uso de su mismo server SMTP (si es open relay).

    Les dejo una cabecera a ver si me puede orientar un poco.
    Gracias!

    Código:
    Delivered-To: mi_mail@gmail.com
    Received: by 10.220.72.81 with SMTP id l17cs200405vcj;
            Thu, 27 Aug 2009 04:20:48 -0700 (PDT)
    Received: by 10.115.113.7 with SMTP id q7mr12776471wam.145.1251372047776;
            Thu, 27 Aug 2009 04:20:47 -0700 (PDT)
    Return-Path: <mi_mail@gmail.com>
    Received: from ?213.8.90.42? ([213.8.90.42])
            by mx.google.com with ESMTP id 8si18895857pzk.124.2009.08.27.04.20.43;
            Thu, 27 Aug 2009 04:20:47 -0700 (PDT)
    Received-SPF: softfail (google.com: best guess record for domain of transitioning mi_mail@gmail.com does not designate 213.8.90.42 as permitted sender) client-ip=213.8.90.42;
    Authentication-Results: mx.google.com; spf=softfail (google.com: best guess record for domain of transitioning mi_mail@gmail.com does not designate 213.8.90.42 as permitted sender) smtp.mail=mi_mail@gmail.com
    Date: Thu, 27 Aug 2009 04:20:47 -0700 (PDT)
    From: "Rheba Amjt" <mi_mail@gmail.com>
    To: mi_mail@gmail.com
    Subject: Willing to help you
    Message-ID: <3742WCE.474055B8.76507144314KBANKUKSKYWQXLM054@[213.8.90.42]>
    Content-type: text/html; charset="UTF-8"
    MIME-Version: 1.0
    
    <!DOCTYPE HTML PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml"><head>
    <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
    <title>ArtReview</title>
    </head><body style="margin: 0pt; line-height: 18px; font-size: 11px; font-family: verdana; color: rgb(111, 111, 113);">
    <table align="center" bgcolor="#a0a0a0" border="0" cellpadding="0" cellspacing="0" width="100%">
      <tbody><tr>
    Citar  
     

  2. #2  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Fíjate en que las primeras direcciones IP son direcciones de redes privadas de clase A. La primera de ellas probablemente sea la de la máquina que remitió el email. La tercera corresponde a una red de Israel, que seguramente sea la dirección IP pública de salida de la segunda dirección IP local que aparece.

    Viendo esta configuración, más que un open relay (que ya hay pocos y casi siempre se trata de servicios mal protegidos que no están en producción comercial real) yo diría que se trata de máquinas infectadas que se instalan su propia aplicación para el envío de emails.

    Otro detalle que me hace pensar que es así, es la cabecera
    Código:
    Received-SPF: softfail (google.com: best guess record for domain of transitioning mi_mail@gmail.com does not designate 213.8.90.42 as permitted sender) client-ip=213.8.90.42;
    que no reconoce al remitente como uno permitido. Si fuese un servidor legal, probablemente no sería ése el contenido de la cabecera SPF.

    Seguramente sea incluso la misma máquina (infectada) la que haya escaneado webs en busca de emails y haya dado con la tuya. Poniéndola en el campo From: y en el campo To: dinámicamente (junto con todas las de su base de datos de emails, claro).


    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

  3. #3  
    Iniciado
    Fecha de ingreso
    Aug 2009
    Mensajes
    12
    Descargas
    7
    Uploads
    0
    Ajam.... Creo que entiendo... O sea que se instalan sus propios servidores SMTP? No utilizan los de GMail, en este caso por lo menos...?
    Me falta leer un poco mas acerca de todo esto....
    Muchas gracias j8!!!

    Saludos
    Citar  
     

  4. #4  
    Moderador Global
    Fecha de ingreso
    Aug 2005
    Mensajes
    6.279
    Descargas
    7
    Uploads
    0
    Así es, aunque no desde todas las redes se puede enviar a gmail, que es el recipiente final en este caso.

    Salu2

    . . . . . . . . . . . . . . . . . . . .
    [[ NORMAS DEL FORO ]]
    . . . . . . . . . . . . . . . . . . . .
    __________
    Citar  
     

Temas similares

  1. IP Spoofing??
    Por gord0cabr0n en el foro INTRUSION
    Respuestas: 1
    Último mensaje: 25-04-2013, 22:32
  2. ¿Qué es DNS Spoofing?
    Por LUK en el foro REDES Y TECNOLOGIAS WIRELESS
    Respuestas: 1
    Último mensaje: 06-01-2011, 21:03
  3. ip spoofing
    Por kmilos en el foro GENERAL
    Respuestas: 0
    Último mensaje: 19-09-2005, 00:34
  4. ip-spoofing
    Por jocanor en el foro GENERAL
    Respuestas: 3
    Último mensaje: 21-07-2003, 05:48
  5. IP Spoofing
    Por Clase en el foro GENERAL
    Respuestas: 0
    Último mensaje: 16-01-2002, 01:27

Marcadores

Marcadores

Permisos de publicación

  • No puedes crear nuevos temas
  • No puedes responder temas
  • No puedes subir archivos adjuntos
  • No puedes editar tus mensajes
  •