.:GURI:.:COMO IDENTIFICAR MENSAGEM SPAM:.

GURI SoftHouse
Desenvolvimento de Sistemas e
Consultoria em Informática

COMO IDENTIFICAR SPAM - PART 5

DETALHES TÉCNICOS - ANÁLISE DE UMA MENSAGEM SPAM

Vimos na parte 4 como interpretar o cabeçalho completo de uma mensagem tida como "saudável".

Nesta parte, pretende-se verificar se há alguma inconsistência para uma mensagem que foi considerada spam pelo destinatário.

Os nomes das empresas e endereços IPs envolvidas foram modificados para preservar a integridade das mesmas. A sequencia a ser adotada pode serguir a aquela da sessão SMTP, ou seja, HELO, MAIL FROM e os sistemas envolvidos, através do dos registros 'Received' da mensagem.

Linhas 3 a 5 do Cabeçalho completo de uma mensagem spam

Linhas 3 a 5 do Cabeçalho completo de uma mensagem spam

Verificando o HELO


		$ nslookup -q=a mail.emtrust.com.br

		Server:         127.0.0.1

		Address:        127.0.0.1#53

		

		Non-authoritative answer:

		Name:   mail.emtrust.com.br

		Address: 10.109.29.242

Verificando o Pseudo-Reverso do HELO


		$ nslookup 10.109.29.242

		Server:         127.0.0.1

		Address:        127.0.0.1#53

		

		Non-authoritative answer:

		242.29.109.10.in-addr.arpa      name = serv.emtrust.com.br.

		

		Authoritative answers can be found from:

		29.109.10.in-addr.arpa  nameserver = ns2.galaxyinvisions.com.

		29.109.10.in-addr.arpa  nameserver = ns1.galaxyinvisions.com.

		ns1.galaxyinvisions.com   internet address = 10.109.16.3

		ns2.galaxyinvisions.com   internet address = 10.109.16.4

Há um provável indício de fraude, pois o nome anunciado não é, ou consta, na tradução pseudo-reversa do IP 10.109.29.242.

Teste do MAIL FROM

O MAIL FROM aponta para um remetente ecr@velhatemporal.com.br. Então, temos a parte de domínio:


		$nslookup -q=mx velhatemporal.com.br

		Server:         127.0.0.1

		Address:        127.0.0.1#53

		

		Non-authoritative answer:

		velhatemporal.com.br    mail exchanger = 5 mx-vip-01.uni5.net.

		velhatemporal.com.br    mail exchanger = 5 mx-vip-02.uni5.net.

		

		Authoritative answers can be found from:

		velhatemporal.com.br    nameserver = dns3.madeirassobrando.com.br.

		velhatemporal.com.br    nameserver = dns1.madeirassobrando.com.br.

		velhatemporal.com.br    nameserver = dns4.madeirassobrando.com.br.

		velhatemporal.com.br    nameserver = dns2.madeirassobrando.com.br.

		dns1.madeirassobrando.com.br       internet address = 192.168.95.2

		dns2.madeirassobrando.com.br       internet address = 192.168.95.3

		dns3.madeirassobrando.com.br       internet address = 172.16.162.2

		dns4.madeirassobrando.com.br       internet address = 172.16.162.3

Epa!!Epa!!Epa!! Não se está vendo qualquer correspondencia ou associação entre as partes velhatemporal.com.br e a emtrust.com.br! Este é um indício de fraude. Por que será que uma usaria os sistemas da outra? A curiosidade não mata! Ela esclarece. A caridade aí tem algum interesse não informado!

O PRÒXIMO 'Received'

O próximo cabeçalho de 'Received:' temos o nome de HELO WEBMAIL8.2, mas não se obedece ao padrão original SMTP! Onde está a tradução Pseudo-reversa? $ nslookup 192.168.64.153 Server: 127.0.0.1 Address: 127.0.0.1#53 Non-authoritative answer: 153.64.168.192.in-addr.arpa name = 192-168-64-153.dsl.telesp.net.br. dsl.telesp? Isso era uma linha de serviço ADSL. Não era 'velhatemporal'? Isso está muito confuso, não? Também não há qualquer relação!! Mas é claro que não há! E também nãoé para ter. Ficou confuso é forte indício de fraude. Estão querendo enganar? Perigo! Perigo! Perigo! Perigo, Will Robinson!!

Linha 16

O que é este Cabeçalho? Ele não consta em qualquer RFC. Há uma sintaxe a ser obedecida para a inclusão de cabeçalhos! "Qualquer extensão de cabeçalho DEVE (OBRIGATORIAMENTE) iniciar com os caracteres 'X-'" Fiquei paranóico ou estão querendo me enganar? Perigo! Perigo! Perigo! Perigo, Will Robinson!!

Chega!!! Atingiu o limite. Vamos aos fatos! Acontece que a emtrust.com.br é uma empresa que vende 'serviços de Email-marketing'. Traduzindo, vendem serviços de envio de mensagens para listas e-mails passadas por terceiros sem a devida autorização. Então é mesmo SPAM!

CONCLUSÃO

O confronto de informações pode e deve ser usado para avaliar se uma mensagem PODE ou NÃO ser spam. O mais interessante é que temos empresas, profissionais qualificados, investimentos em sistemas de grande porte 'motivando' o envio de mensagens spam. O que aconteceu? Acontece que a permissionária do domínio velhatemporal.com.br, por desconhecer a política de boas-práticas, contratou 'alguém' (um spammer) para fazer propaganda de seus produtos. Aquela pessoa deve ser funcionário ou ter alguma relação de serviço com a EmTrust pois em seu portal Web ela anuncia o serviço de Email-marketing. O resultado disso é usuário irritado e perda de clientes. Na próxima parte mostra-se uma mensagem maliciosa.