27 Octubre 2005

Parece que el correo electrónico no deseado (spam) ya no es lo que era. Hemos pasado de recibir correos publicitarios a mansalva a recibir uno de vez en cuando. En mi caso que lo que tengo es mi propio servidor de correo (losInvisibles.net) y no tengo ningún filtro antispam y además mi dirección la dejo con mucha alegría por la red lo he notado mucho. He pasado de más de 20 correos de spam diarios a 2 como mucho.

Para celebrarlo he decidido echar un vistazo a la cabecera de uno de esos correos-spam que más recibo (The Ultimate Online Pharmaceutical). Es de esos en los que nos venden viagra, entre otros medicamentos, como si fuesen naranjas.

Estudiemos la cabecera del correo:

Return-Path: cider@aguascalientes.com
X-Original-To: simon@losinvisibles.net
Delivered-To: simon@losinvisibles.net
Received: from -1208938856 (ALyon-251-1-43-20.w83-197.abo.wanadoo.fr
+[83.197.13.20])
by losInvisibles.net (Postfix) with SMTP id 131FBD6F9A
for ; Sat, 22 Oct 2005 22:44:13 +0200 (CEST)
Received: from aguascalientes.com (-1211960432 [-1209006920])
by ALyon-251-1-43-20.w83-197.abo.wanadoo.fr (Qmailv1) with ESMTP id
+CCC218B348
for ; Sat, 22 Oct 2005 16:42:31 -0400
Date: Sat, 22 Oct 2005 16:42:31 -0400
From: Doctor
X-Mailer: The Bat! (v2.00.2) Personal
X-Priority: 3
Message-ID: <2370042949.20051022164231@aguascalientes.com>
To: Simon
Subject: The Ultimate Online Pharmaceutical
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=”———-33F457865B219B5″
X-AntiVirus: checked by AntiVir MailGate (version: 2.0.1.10; AVE: 6.20.0.1; VDF:
+6.20.0.46; host: ALyon-251-1-43-20.w83-197.abo.wanadoo.fr)

En principio parece que el correo nos llega de un tal Doctor con dirección cider@aguascalientes.com. La dirección del remitente en principio no es significativa, ya que a la hora de componer el correo podemos poner el remitente que nos de la gana, en el caso de mi servidor el único filtro que aplico es comprobar que el servidor del remitente, en este caso Aguascalientes.com, existe.

De abajo hacia arriba en la cabecera tenemos:

En la parte inferior de la cabecera en este caso nos indica que ha sido escaneado por un antivirus, el tipo de contenido y la versión del MIME.

Posteriormente tenemos a quien va dirigido (To:) y el título del mensaje (Subject:).
Luego tenemos el ID del mensaje (Message-ID), y por encima tenemos la etiqueta Received que va siendo añadida por cada servidor que va pasando el correo.

En esta etiqueta tenemos un from que nos indica de donde viene y by que nos indica a donde llega y a veces un for que nos indica a donde va.

Hay spammers más evolucionados que escriben en la parte superior un Received falso para intentar engañar sobre el origen del mensaje. La etiqueta que nos marca el origen de real de los Received es Message-ID de esta etiqueta hacia abajo es modificable por el autor del correo, y de está etiqueta hacia arriba se va escribiendo por los servidores que se va encontrando en la trayectoria nuestro querido mensaje.

En nuestro caso ha pasado por dos servidores hasta llegar al nuestro:
1- aguascalientes.com. Incorrecto, como explica el comentario 2. Con la cabecera que tenemos no podemos tener la seguridad de que haya salido de aguascalientes.com.
2- ALyon-251-1-43-20.w83-197.abo.wanadoo.fr

El orden de ruta de la cabecera es de abajo arriba, también nos podríamos fijar en la fecha pero esta podría no estar correcta en los distintos servidores por los que va pasando.

Así que la trayectoria ha sido del servidor de aguascalientes.com (no lo podemos asegurar) al de wanadoo en Francia donde lo ha recogido un servidor de correo Qmail (que por cierto aquí también tuvimos uno) y este me lo ha reenviado a mi.

Si se hubiese enviado desde un servidor de correo en la máquina Aguascalientes.com aparecería un Received con el nombre del servidor, la IP, el nombre del programa que hace las funciones de servidor de correo y normalmente el usuario que lo ha hecho.
Pero no aparece nada de eso, así que tiene pinta que han montado el correo y la cabecera desde un programa (que no es servidor de correo) y que está corriendo en el servidor de aguascalientes, que es donde está el foco del spam.
Existe también la posibilidad (comentario 2) de que se haya enviado desde otro sitio, haciendo parecer que viene de aguascalientes.com.

Comprobamos si efectivamente no tienen un servidor de correo electrónico ejecutándose en aguascalientes:

nmap �??P0 aguascalientes.com

PORT STATE SERVICE
22/tcp open ssh
80/tcp open http
858/tcp filtered unknown

Efectivamente no tienen el puerto 25 abierto.

Tienen el 22 y el 80 lo que indica que seguro que tienen un ssh y un servidor web.
El puerto 22 se estará utilizando para administrar y controlar el sitio desde remoto.
Y el puerto 80 es porque tienen una página web.

En la página se ve que es un portal de información diversa de Aguascalientes en Mexico. Y como se puede ver el contenido del portal no tiene ninguna relación con nada farmacéutico así que huele a que se les ha colado algún cracker y está aprovechando la máquina para enviar spam.
Si miramos el nombre de quien está registrado el dominio nos remite a Latin America Telecom Inc.

Registrant:
Latin America Telecom Inc.
Rami Schwartz
4 Gateway Center 9th. Floor
Pittsburgh, Pa 15222
US
Email: rami@mexico.com

Registrar Name….: REGISTER.COM, INC.
Registrar Whois…: whois.register.com
Registrar Homepage: http://www.register.com

Domain Name: aguascalientes.com

Created on…………..: Wed, Dec 24, 1997
Expires on…………..: Sat, Dec 16, 2006
Record last updated on..: Mon, Aug 08, 2005

Administrative Contact:
Latin American Telecom Inc.
Rami Schwartz
4 Gateway Center 9th. Floor
Pittsburgh, Pa 15222
US
Phone: 052-552-1671617
Email: rami@mexico.com

Technical Contact:
Latin American Telecom Inc.
Rami Schwartz
4 Gateway Center 9th. Floor
Pittsburgh, Pa 15222
US
Phone: 052-552-1671617
Email: rami@mexico.com

Anuncios