Date: 17/02/97 20:13 Subject: Come individuare uno spammer e segnalare l'abuso al suo ISP From: Marco Coletti Allora, usero' un caso reale. Recentemente mi e' pervenuta una e-mail pubblicitaria non richiesta ne' autorizzata in alcun modo. La prima cosa che devo fare e' visualizzare gli headers; ogni programma ha un metodo un po' diverso per farlo, ma tutti dovrebbero permetterlo. Questi sono gli headers relativi alla e-mail: ..................................................................... Return-Path: Received: from silver.hkabc.net ([202.73.252.65]) by dns.bearnet.it (post.office MTA v1.9.1 **** trial license expired ****) with SMTP id AAA153 for ; Tue, 14 Jan 1997 23:54:40 +0100 Received: from My Computer (ppp253109.hkabc.net [202.73.253.109]) by silver.hkabc.net (8.6.12/8.6.9) with SMTP id GAA14703; Wed, 15 Jan 1997 06:13:52 +0800 Date: Wed, 15 Jan 1997 06:13:52 +0800 Message-Id: <199701142213.GAA14703@silver.hkabc.net> From: gbh@hkabc.net Subject: M-Net Express ..................................................................... >From e Return-Path possono essere facilmente falsificati, per cui non li prenderemo in considerazione. Anche Date credo sia falsificabile alterando la data del computer. Quello su cui si puo' fare affidamento e' la serie di headers Received. Questi descrivono la catena di passaggi (hops) fra un server STMP (1) e l'al-tro seguita dal nostro messaggio per arrivare fino a noi. Di solito i passaggi sono solo due e raramente superano i tre. Bisogna tenere presente che Received: from x by y significa che x ha trasmesso il messaggio a y. La catena va letta in senso inverso, per cui il primo header Received descrive l'ultimo passaggio effettuato (in questo caso da silver.hkabc.net a dns.bearnet.it, che e' il mio server di posta); il secondo header Received descrive il penultimo passaggio e cosi' via, fino all'ultimo header Received che descrive il primo passaggio, che e' quello che conta per cercare di individuare lo spammer. Analizziamo dunque l'ultimo header Received: Received: from My Computer (ppp253109.hkabc.net [202.73.253.109]) by silver.hkabc.net (8.6.12/8.6.9) with SMTP id GAA14703; Wed, 15 Jan 1997 06:13:52 +0800 Esso ci dice che la macchina che ha originato il messaggio e' ppp253109.hkabc.net, con indirizzo IP 202.73.253.109, e che alle ore 06:13:52 +0800 (+8 rispetto all'ora GMT di Greenwich) del 15 gennaio 1997, quando si e' connessa al server SMTP di nome silver.hkabc.net, essa si e' annunciata col nome "My Computer" (2) Il nome di host ppp253109.hkabc.net ci suggerisce che si tratta di una mac- chi- na collegata temporaneamente a Internet con collegamento PPP (quindi probabil- men- te via modem o adattatore ISDN); comunque questo importa poco. In questo caso abbiamo un header completo, ma in altri casi possono mancare alcuni dati; comunque quello che c'e' *sempre* e' l'indirizzo IP, in questo caso: 202.73.253.109 Se abbiamo solo l'indirizzo IP, possiamo provare a ricavare anche il corrispondente nome di host, ammesso che esista, con un'utilita' di interrogazione del DNS come NSLOOKUP, DIG o cose del genere. Un metodo piu' alla portata di tutti quelli che usano Windows 95 e' aprire un Prompt di MS-DOS e fare cosi': ..................................................................... E:\WINDOWS\Desktop>ping -a 202.73.253.109 Pinging ppp253109.hkabc.net [202.73.253.109] with 32 bytes of data: [eccetera] ..................................................................... ed ecco che il comando "PING -a" ci restituisce anche il nome di host ppp253109.hkabc.net A questo punto ci sono diversi metodi per ricavarsi un plausibile indirizzo di e-mail presso cui protestare. Possiamo provare a interrogare il DNS con un utility tipo NSLookup; inserendo hkabc.net, a volte il DNS server ci restituisce anche un record che contiene l'indirizzo di e-mail dell'amministratore del dominio hkabc.net (di solito hostmaster@hkabc.net). Oppure possiamo assumere a priori che esistano gli indirizzi hostmaster@hkabc.net, postmaster@hkabc.net o, meglio ancora, abuse@hkabc.net. Cerchero' di illustrare un metodo che dovrebbe funzionare sempre. Partendo dal nome di dominio hkabc.net oppure, se questo manca, dal numero di IP, dobbiamo risalire all'organizzazione, ditta o ente che "possiede" il dominio relativo o la classe di IP a cui appartiene quell'IP. L'unico modo rapido che conosco per ottenere questa informazione e' il ser- vi- zio WHOIS. I due database WHOIS piu' importanti sono su rs.internic.net e su whois.ripe.net. Il primo registra i dati di tutti gli enti che possiedono una rete collegata ad Internet nel Nord America, mentre il secondo raccoglie i da- ti per l'Europa. Per gli altri continenti ci sono altri server, ma la situazione e' ancora poco chiara (oppure sono io a essere pigro o ignorante). Esistono dei tool (piccoli programmi) per interrogare i servers WHOIS, oppure ci si puo' collegare a loro direttamente tramite un telnet, ma credo che la maniera piu' comoda e utilizzabile da tutti sia l'interfaccia WWW. Per il WHOIS del RIPE: http://www.ripe.net/db/whois.html Per il WHOIS di InterNIC: http://rs.internic.net/cgi-bin/whois Il primo problema e': il dominio hkabc.net o l'indirizzo 202.73.253.109 sa- ran- no in Europa o in America? Inutile stare a spiegare qui come ricavare questa informazione (traceroute etc.), semplicemente ne facciamo a meno e non facciamo altro che provare a interrogare il database RIPE prima e poi, se la risposta e' negativa, il database InterNIC (o viceversa). Inserendo hkabc.net nella pagina del RIPE otteniamo: % No entries found for the selected source(s). Proviamo qundi con la pagina di InterNIC e otteniamo: ..................................................................... ABC Communications Ltd HKABC-DOM 1/F Jade Mansion, Waterloo Road Yaumatei, Kowloon hk Domain Name: HKABC.NET Administrative Contact: Lee, Andy AL334 andylee@HKABC.NET +852 2710 0310 Technical Contact, Zone Contact: Cheng, Wilson WC187 Wilsoncheng@HKABC.NET +852 2710 0370 Record last updated on 22-Oct-96. Record created on 05-Oct-95. Domain servers in listed order: SILVER.HKABC.NET 202.73.252.65 PLATINUM.HKAC.NET 202.73.252.66 ..................................................................... andylee@HKABC.NET e Wilsoncheng@HKABC.NET sono due indirizzi di e-mail a cui possiamo segnalare l'abuso del nostro spammer. Tutt'al piu' essi faranno un forward della nostra mail ad un indirizzo piu' adatto (se esiste) come abuse@HKABC.NET o postmaster@HKABC.NET E se non siamo in possesso del nome di dominio hkabc.net? Allora ripieghiamo sull'IP address 202.73.253.109 Proviamo a inserirlo nella pagina RIPE e otteniamo: % No entries found for the selected source(s). allora proviamo con la pagina dell'InterNIC, ma attenzione, il WHOIS di InterNIC non riesce a interpretare gli IP address singoli, quindi bisogna dargli l'indirizzo del network che e' 202.73.253.0 (cioe' basta sostituire l'ultimo numero con 0); in tal caso otteniamo: ..................................................................... Asia Pacific Network Information Center APNIC2 c/o The United Nations University 53-70, Jingumae 5-Chome Shibuya-ku, Tokyo, 150 JAPAN Netname: APNIC-CIDR-BLK Netblock: 202.0.0.0 - 203.255.255.0 Maintainer: AP Coordinator: Conrad, David Randolph DC396 davidc@APNIC.NET +81-3-5467-7014 (FAX) +81-3-5467-7015 Domain System inverse mapping provided by: JATZ.AARNET.EDU.AU 139.130.204.4 TECKLA.APNIC.NET 202.12.28.129 NS.KRNIC.NET 202.30.64.21 NS.RIPE.NET 193.0.0.193 MOZART.TECHNET.SG 192.169.33.107 RS0.INTERNIC.NET 198.41.0.5 *** please refer to whois.apnic.net for more information *** *** before contacting APNIC *** *** use whois -h whois.apnic.net *** Record last updated on 28-Nov-95. ..................................................................... e infine abbiamo in mano un'indirizzo cui inviare la nostra segnalazione: davidc@APNIC.NET Notare pero' che presumibilmente questo "Asia Pacific Network Information Center" e' un entita' di livello superiore rispetto al "ABC Communication- s Ltd" che avevamo trovato per mezzo del nome di dominio HKABC.NET, in quanto chi possiede la rete (cioe' i numeri IP) e' colui che fornisce la connettivita' a chi possiede un dominio che rientra in quella rete (a meno che non siano la stessa entita'). In poche parole, in questro caso ABC dipende da APNIC per la connettivita' (e forse pure per le macchine). La segnalazione piu' diretta e' quella che si fa all'entita' minore, e quindi e' consigliabile provare prima a inserire in WHOIS il nome di dominio (se questo e' disponibile). Per stare sul sicuro, si puo' spedire la segnalazione a tutti e tre gli indirizzi e-mail trovati. Pero', pero'... con "Asia Pacific Network Information Center" siamo incappati in un caso particolare. Infatti in fondo al record whois abbiamo visto: *** please refer to whois.apnic.net for more information *** *** before contacting APNIC *** *** use whois -h whois.apnic.net *** Qundi APNIC e' in realta' l'ente asiatico equivalente a InterNIC e RIPE !! Non e' il caso di disturbarlo per cose che non lo riguardano direttamente. Quindi, come suggerito, vediamo se su whois.apnic.net si possono trovare informazioni piu' precise su HKABC.NET o sulla rete 202.73.253.0 Come accedere a whois.apnic.net? Chi usa uno dei vari Unix non dovrebbe avere problemi: whois -h whois.apnic.net Un'altro metodo e' fare un telnet sulla porta 43 (corrispondente al servizio WHOIS) dell'host whois.apnic.net, ma questo crea problemi di settaggio terminale ai meno esperti (per esempio il telnet nativo di win95 e' normal- men- te impostato senza echo locale, non interpreta correttamente il carattere di newline etc.) Per noi esseri umani ;-) invece potrebbe esistere un interfaccia WWW analoga a quella di InterNIC e RIPE... vediamo un po', proviamo a scrivere "whois.apnic.net" dentro il nostro browser.... eureka! Esce una pagina che riporta varie opzioni, fra cui "Tools"; scegliendo Tools viene proposta un'altra pagina con un link che dice "WWWhois Service". Clicchiamo il link e... abbiamo trovato quello che fa per noi. La URL per arrivarci direttamente e': http://whois.apnic.net/whois.html Non solo da questa pagina possiamo interrogare il database di APNIC, ma anche quelli di RIPE, InterNIC e GARR-NIS (il GARR e' l'ente italiano di coordinamento) a seconda dell'opzione scelta. Abbiamo quandi trovato una u- ni- ca pagina da cui fare tutte le nostre interrogazioni WHOIS: http://whois.apnic.net/whois.html (prima di scrivere questo articolo non lo sapevo neanche io, e' un caso che ci siamo ricondotti ad APNIC, giuro :-) Bene, da questa pagina dovremmo poter facilmente accedere alle informazioni di registrazione di quasi tutto il mondo Internet. Proviamo a inserire 202.73.253.109 nella pagina suddetta e otteniamo: ..................................................................... inetnum: 202.73.252.0 - 202.73.255.0 netname: HKABC-HK descr: ABC Communications Ltd. descr: Internet Service Provider country: HK admin-c: AL1-HK tech-c: WC2-HK remarks: service provider notify: dbmon@apnic.net changed: alex.chan@unitech.com.hk 950723 source: APNIC person: Wilson Cheng address: ABC Communications Ltd. address: 1/F Jade Mansion, Waterloo Road, address: Yaumatei, Kowloon address: Hong Kong phone: +852 2710 0370 fax-no: +852 2780 7267 nic-hdl: AL1-HK notify: dbmon@apnic.net changed: alex.chan@unitech.com.hk 950723 source: APNIC person: Andy Lee address: ABC Communications Ltd. address: 1/F Jade Mansion, Waterloo Road, address: Yaumatei, Kowloon address: Hong Kong phone: +852 2710 0310 fax-no: +852 2780 7267 nic-hdl: WC2-HK notify: dbmon@apnic.net changed: alex.chan@unitech.com.hk 950723 source: APNIC inetnum: 202.73.252.0 - 202.73.255.0 netname: HKABC-HK descr: ABC Communications Ltd. descr: Internet Service Provider country: HK admin-c: AL1-HK tech-c: WC2-HK remarks: service provider notify: dbmon@apnic.net changed: alex.chan@unitech.com.hk 950723 source: APNIC ..................................................................... e ritroviamo ancora la "ABC Communications Ltd.". Possiamo notare che le due persone ("person:") responsabili delle reti IP da 202.73.252.0 fino a 202.73.255.0 sono Wilson Cheng e Andy Lee i cui nomi e indirizzi di e-mail avevamo gia' trovato nel database InterNIC. Questa volta pero' siamo piuttosto sfortunati perche' qui non compaiono gli indirizzi e-mail ("e-mail:") di questi due signori. Il perche' non lo so. Forse la questa e' la politica del database APNIC. In conclusione comunque, ora siamo certi che la nostra segnalazione e' cor- ret- to farla a andylee@HKABC.NET e Wilsoncheng@HKABC.NET Come ultimo suggerimento, ricordate di includere tutto il messaggio incrimi- na- to nella vostra segnalazione, *headers compresi* (fate un copia/incolla). Premettete un vostro breve commento, all'incirca con questo tono: ....................................................... This is Unsolicited Commercial E-mail. This is wasting my time and my bandwidth and I think your customers cannot decide on their own I should take 30 seconds for asking to be removed from their mailings or whatever. ....................................................... Evitate assolutamente la maleducazione e gli eccessi. Nel subject si puo' mettere per esempio "Unsolicited Commercial E-mail". Molto spesso la segnalazione dell'abuso all'ISP che concede l'accesso allo spammer funziona e si ottengono dei risultati. In questo specifico caso, per me ha funzionato. Ecco la risposta che mi e' giunta: ....................................................... Return-Path: From: "Andy Lee" To: "Marco Coletti" Subject: Re: UCE Date: Fri, 31 Jan 1997 09:22:18 +0800 X-MSMail-Priority: Normal Hi Marco Coletti, Please be informed that we have terminated the subscriber service after he generate such mail spam. Andy Lee ....................................................... Probabilmente non sono stato il solo a lamentarmi, ma, come si dice, l'unione fa la forza... Dimenticavo di dire: agli articoli news inappropriati (spam, provocazioni gratuite, pubblicita' in gruppi sbagliati etc.) si puo' applicare lo stesso sistema, con l'avvertenza che il nome di host (o l'indirizzo IP) della mac- chi- na che ha originato il messaggio si ricava direttamente dallo header "NNTP-Posting-Host:". Anche lo header "Path:" puo' dare buone indicazioni, ma, siccome esso e' abbastanza facilmente falsificabile, in caso di incongruenza e' meglio fidarsi di "NNTP-Posting-Host:". (1) SMTP: Simple Mail Transfer Protocol. In sostanza e' l'insieme di quelle poche regolette che seguono i server di posta (server STMP, appunto) per scambiarsi i messaggi da inoltrare. (2) Il comando HELO del protocollo SMTP consente alla macchina che trasmet- te di annunciarsi al server SMTP con un certo nome; l'utilita' di questo comando mi risulta dubbia, in quanto la macchina in questione e' libera di annunciar- si col nome che crede. Nel caso di cui sopra, possiamo desumere che il programma di posta del nostro spammer si e' annunciato col nome assegnato alla sua macchina da Windows 95 ("My Computer" e' il nome di default del computer sotto Win95). Marco Coletti