Спамеры умрите
Я думаю, что Вам, как и мне, часто приходит спам. Особенно выводят из себя всякие приглашения в клубы извращенцев-зоофилов. Тут и ежу понятно, что, чтобы отомстить этому мерзкому извращуге, первым делом придётся выяснить его IP-адрес. Этим мы сегодня и займёмся.
Необходимо посмотреть на письмо в MS Outlook. Посмотрел? Прекрасно. Теперь тыкай на кнопку «Файл»->свойства->подробности. Если ты осилил эту часть, то увидишь:
Return-Path: test@moscow.portal.ru
Вроде всё понятно. Вот только Return-Path ты и сам можешь поставить в настройках проги.
Received: from users.portal.ru (root@users.portal.ru [195.16.96.19])
Так, уже теплее. Именно через этот SMTP сервер было получено письмо.
by net.sochi.ru (8.9.1/8.9.1) with ESMTP id OAA07534;
Thu, 25 Feb 1999 14:15:39 +0300 (MSK)
Это дата получения сообщения твоим серваком.
(envelope-from elf@moscow.portal.ru) Received: from default (ppp-1-56-en.portal.ru [195.16.98.57])
Вот мы и схватили спаммера за задницу! Мы видим, что в настройках форточек у него имя хоста – default, его IP – 195.16.98.57. Мы узнали его IP, его провайдер – www.portal.ru, login – ppp-1-56-en. По логину мы с вероятностью 99% можем сказать, что провайдер выделяет IP адреса динамически (то бишь он в Интернет заходит с обычного dial-up). Для нас это не есть хорошо.
Смотрим далее:
by users.portal.ru (portal/portal) with SMTP id OAA16807;
Thu, 25 Feb 1999 14:03:05 +0300
From: «Test»
To: «=?koi8-r?B?987JzcHOycAg0s/T08nK08vJyCDU1dLGydLNIQ==?=»
Subject: Bulletin «Visit»
Date: Thu, 25 Feb 1999 14:03:40 +0300
Message-ID: 01be60ae$806c26a0$396210c3@default
Номер письма пригодится тебе в случае, если ты решишь сдать спаммера прову. Но это не по-нашему! Мы сами будем вершить суд Линча:)
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=»—-=_NextPart_000_00A5_01BE60C7.E81E2280″
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 4.71.1712.3
Как мы видим, он пользователь Outlook’а.
X-Mimeole: Produced By Microsoft MimeOLE V4.71.1712.3
X-UIDL: 0c1adfa61e9031e7565b0535b7d58a52
Но это ещё очень простая ситуация, с одним сервером – посредником… Рассмотрим ситуэйшн погеморройнее. Наверняка ты получал письма с предложением получить нехилые баблосы. Обычно так делают «раскрученные» спаммеры.
И ты можешь узнать всю подноготную этого идиота:
Return-Path: SUCCESS.REPORT-99@mail.bb-online.dk
Опять подстава:)
Received: from mail.bb-online.dk ([194.239.250.70])
Гонит, сволочь!
by net.sochi.ru (8.9.1/8.9.1) with ESMTP id UAA10138
for ; Wed, 24 Feb 1999 20:54:36 +0300 (MSK)
(envelope-from SUCCESS.REPORT-99@mail.bb-online.dk)
Это твой mail-сервак
From: SUCCESS.REPORT-99@mail.bb-online.dk
И снова гон!
Received: from mail.bb-online.dk (170-244-26.ipt.aol.com [152.170.244.26])
by mail.bb-online.dk (8.8.8/8.8.5) with SMTP id TAA10595;
Wed, 24 Feb 1999 19:28:57 +0100
Received: from tengu.host2u.net (tengu.host2u.net [208.150.156.42] by tengu.host2u.net (8.8.5/8.6.5) with
Скорее всего, правда тут – только IPадрес в квадратных скобках и локальный адрес в круглых. И это оказалось роковым обстоятельством:)
SMTP id GAA06279 for ; Wed, 24 Feb 1999 08:00:58 -0600 (EST)
Полная хрень!
To: sucsess@FWP.NET
Message-ID: <001010be5bde$d05ee5a0$e948a1d1@oemcompute>
Date: Wed, 24 Feb 99 08:00:58 EST
Subject: $$$
Reply-To: sucsess@FWP.NET
X-PMFLAGS: 128 0
Comments: Authenticated sender is
X-UIDL: 33239456098756743245607948572636
Итак, смотрим внимательнее: первое мыло, указанное в Return-path – подставное (на все 713%). И правильно – нафига спаммеру давать свой настоящий ящик? А mail.bb-online.dk – подставной сервант посылки почты. Этим нужно заняться первым делом. Заходим на www.bb-online.dk и узнаём, что это немецкий пров, предоставляющий размещение виртуальных серваков, и что у него открыт 25 порт для всех(!) – то есть через него можно слать почту без проблем. Вот этим воспользовался коварный спаммер. Далее – адрес sucsess@fwp.net, заходим на www.fpw.net, который оказался сайтом Yelow Pages (то есть сайтом с кучей ссылок, т.е. рубрикатором). Там тебе предложат оставить свой e-mail, на что ты должен ответить отказом. Как ты понял, fpw – это и есть тот сервак, который и послал мне спам. Эта инфа, естественно, нужная, но мы ведь с тобой не лапухи, и хотим узнать имя заказчика (слово какое страшное:)).
Это делаем так:
Смотришь на последний заголовок «Received From – tengu.host2u.net». Оказажется очевидным надувательством – если проверишь через Интернет Маньяка и просто написав этот адрес в броузере.
Проверфем IP. А вот IP в квадратных скобках – интересный… Я сделал Host LookUp (это делается любой прогой, например CyberKit) и увидел www.eric.com. Ну а дальше проще простого. Идёшь на сайт, смотришь раздел «About», читаем «Contacts». Вот там-то я и узнаём о «шефе» спаммера.