Wie gefährlich ist Deine IP-Adresse?

19. Juni 2003 Keine Kommentare

Google betreibt schon seit längeren Geo-Location um IP-Adressen bestimmten Ländern zuzuordnen und nun gab es auch das entsprechende Echo, das von aufgeregt bis egal reichte. Man kann dazu stehen wie man will, aber die Firma iDefense hat sich seine eigenen Gedanken im Lichte des 11. September dazu gemacht und Listen (Vorsicht MS-Excel) unter dem Motto IP addresses mapped to countries that the US Department of State identified as harboring terrorists herausgeben. Intressanterweise rudern sie schon ein paar Sätze weiter mit Inclusion on this list does not in any way suggest there’s terrorist or hacker activities in these countries zurück. Intressant sind die aufgeführten Netzblöcke allemal, auch wenn die Liste schon etwas angestaubt ist. Vielleicht findet sich ja der eine oder andere wieder.

Tags:

Resistance is futile

19. Juni 2003 Keine Kommentare

Für alle Leute im lebenslangen Widerstand.

Tags:

Wer zu spät kommt…

19. Juni 2003 Keine Kommentare

Wie ich gerade festgestellt habe, hat sich Urban Netizen schon vor geraumer Zeit mit Fakemail-Scripten auseinandergesetzt und kommt so ziemlich auf das gleiche Fazit wie ich in Reality Check Fakemail-Scripte. Es lebe der Placebo-Effekt.

Ein Teil dieser Ideen in Fakemail-Scripten ist übrigens schon recht alt (zumindest in Internet-Zeit gerechnet) und stammen aus den Jahren 1998-99 als Sugarplum das Licht des Internets erblickte, dessen Output doch recht Psychedelisch auf mich wirkt. Einzig Intressant an Sugarplum finde ich das Konzept der Teergrube, welches den Faktor Zeit mit ins Spiel bringt. Sowas ist aber leider sehr, sehr selten in der freien Wildbahn anzutreffen.

Ansonsten wünsche ich den Herrn Netizen etwas mehr Gelassenheit.

Tags:

60GB plastisch erklärt

18. Juni 2003 Keine Kommentare

Wer schon immer Probleme damit hatte sich vorszustellen wieviel eigentlich auf eine Festplatte passt, wird hier eine sehr schöne Erklärung finden. Besser könnte ich es auch nicht ;-)

Tags:

Postkasten umziehen

17. Juni 2003 Keine Kommentare

Da hat man nun seine Mail im Postkasten liegen und will sie an eine neue Adresse umziehen. Klar kann man sich alle Mails neu zuschicken, das ist aber etwas mühsam und aufwendig. Einfacher geht es mit formail:

formail -s /usr/sbin/sendmail foo@bar.baz  < /var/spool/foobar

Damit leitet man alles an foo@bar.baz weiter. Das funktioniert nicht nur bei der normalen Inbox, sondern auch mit bereits einsortierten Mails.

formail -s /usr/sbin/sendmail foo@bar.baz  < ~/Mail/inbox/Kram/8
Tags:

pMachine Sicherheitslücke

17. Juni 2003 Keine Kommentare

Gut, ich setze pMachine (hab genug mit wordpress zu kämpfen ;-) ) nicht ein, aber vielleicht intressiert es ja jemanden das in pMachine Free 2.2.1 eine Sicherheitslücke gefunden wurde.

Tags:

Reality Check Fakemail-Scripte

16. Juni 2003 1 Kommentar

Anscheinend sind diese Fakemail-Scripte, wie sie z.B. Der Schockwellenreiter auf seiner Seite hat schwer in Mode. Sie sollen auf Dauer die Datenbanken von Spammern mit unbrauchbaren Email-Adressen füllen und ihnen so die Arbeit verleiden. Ich halte das für ein denkbar honoriges Anliegen, aber ändern werden sie nichts. Der Spammer wird auch weiterhin das Web nach Email-Adressen abgrasen und vielleicht auf jede Menge Fakemail-Scripte treffen. Wenn er nun seinen Massmailer anwirft und aufgrund der vielen ungültigen Email-Adressen mehr Rückläufer als üblich erhält, wird er sich seine Datenbank anschauen und sehen was los ist.

Was folgt ist recht einfach: Man nimmt sich einen Rechner mit Internet-Verbindung und das allseits bekannte Sendmail. Dies hat schon seit langem die Funktion check_mail, die eigentlich dazu gedacht ist zu klären ob es die Absender-Domäne einer Email überhaupt gibt. Ironischerweise wurde diese Funktion als Anti-Spam Feature implementiert, aber wie alles Gute gibt es auch hier eine dunkle Seite. Er füttert nun sein Sendmail mit den Email-Adressen seiner Datenbank und folgendes passiert:

foobar:~# echo "check_mail kgmb@sprjqzivdm.at" | sendmail -bt | grep 553
Basic_check_mail returns: $# error $@ 5 . 1 . 8 $: "553 Domain of sender address " " does not exist"
check_mail       returns: $# error $@ 5 . 1 . 8 $: "553 Domain of sender address " " does not exist"

Es gibt eine Fehlmeldung anhand der man sehen kann das es die Domain sprjqzivdm.at im Internet nicht gibt, man kann die Adresse also löschen.

Zum Vergleich eine Adresse mit gültiger Domain:

foobar:~# echo "check_mail kgmb@aol.com" | sendmail -bt | grep 553
foobar:~#

Dies packt man in ein kleines Script und jagt es über die Datenbank und schon ist man das Problem los. Man kann auch alle neuen Adressen durch ein solches Script schicken und so dafür sorgen, das diese nie die DB erreichen.

Eine anderen Idee Spammer zu ärgern beruht auf der Annahme das der Absender einer Email auch gleichzeitig der Spammer ist. Man sammelt nun alle Adressen im From: einer erkannten Spam-Mail und stellt sie ins Internet, in der Hoffnung das der Spammer nun selbst Opfer seiner Kollegen wird. Ich habe darüber schon eine Diskussion geführt und auf die Sinnlosigkeit hingewiesen. Hier ein wenig Hintergrund:

Ich benutze Zuhause Spammassassin, das Spam anhand von bestimmten Eigenschaften erkennt und in eine Datei schreibt, wo ich hinundwieder reinschaue um false Positives zu vermeiden. Suche ich nun nach Spam-Absender in meinen Spam-Mails

foobar:~$ grep „From:“ mail/caughtspam
From: „Murray Brandon“ < *@spinfinder.com>
From: „“ <adent @africaonline.co.sz>
From: „“ <aden97 @hotmail.com>
From: „Damian Chen“ <lbb6dzu33f @earthlink.net>
From: „Noah Murdock“ <kslw386wqmom @prestigiousresponse.com>
SPAM: Hit! (1.8 points) No MX records for the From: domain
From: „Divito Klinich“ <divitoklinich @catchamail.com>
SPAM: Hit! (1.8 points) No MX records for the From: domain
From: „Rob“ <stljohnson @earthlink.net>
From: „Rolland Busby“ <utgku4954 @earthlink.net>
From: „Tara Simmons“ <u7c8nib7eexi @yahoo.ca>
From: „Jimmy Sewell“ <ne72275a4f @earthlink.net>
From: „Sharon Ervin“ <782nycnayi35@aol.com>
From: clairefowler@doramail.com
foobar:~$

und nehme mir eine Adresse (z.B. kslw386wqmom@prestigiousresponse.com) zum Testen heraus. Zuerst muss ich die Mail-Server finden, die Mails für prestigiousresponse.com annehmen.

foobar:~$ host -v -t mx prestigiousresponse.com
Query about prestigiousresponse.com for record types MX
Trying prestigiousresponse.com ...
Query done, 1 answer, status: no error
The following answer is not authoritative:
prestigiousresponse.com 3600    IN      MX      10 mx1.prestigiousresponse.com
Authority information:
prestigiousresponse.com 3600    IN      NS      localhost
Additional information:
mx1.prestigiousresponse.com     3600    IN      A       66.118.180.245
stadler:~$

Es soll also mx1.prestigiousresponse.com Mails annehmen.

foobar:~$ telnet mx1.prestigiousresponse.com 25
Trying 66.118.180.245...
telnet: Unable to connect to remote host: Connection refused

Hmm, es gibt dort also keinen Server der Mails annimmt. Also der nächste:

foobar:~$ host -t mx -v catchamail.com
Query about catchamail.com for record types MX
Trying catchamail.com ...
Query failed, 0 answers, status: no error
Authority information:
catchamail.com          2560    IN      SOA     ns1.blackcab.com hostmaster.catchamail.com (
                        1055779215      ;serial (version)
                        86400   ;refresh period (1 day)
                        7200    ;retry interval (2 hours)
                        86400   ;expire time (1 day)
                        7200    ;default ttl (2 hours)
                        )
catchamail.com MX record currently not present

Hier wurde kein Server definiert, der Mail annehmen soll. Weiter.

foobar:~$ telnet mx04.earthlink.net 25
Trying 207.217.120.249…
Connected to mx04.earthlink.net.
Escape character is ‚^]‘.
220 robin EL_3_8_5 /EL_3_8_5 ESMTP EarthLink SMTP Server Mon, 16 Jun 2003 11:03:00 -0700 (PDT)
helo dd.de
250 robin Hello dd.de [62.206.130.21], please to meet you
mail from:<paul @t-online.de>
250 <paul @t-online.de>… Sender ok
rcpt to:<stljohnson @earthlink.net>
554 Quota violation for stljohnson@earthlink.net
rcpt to:<utgku4954 @earthlink.net>
550 utgku4954@earthlink.net…User unknown
quit
221 robin closing connection
Connection closed by foreign host.

Hier habe ich gleich 2 Adressen getestet da ich schonmal da war. Bei der ersten Adresse ist das Postfach voll wohl mit Beschwerden über den Spam. Das zweite Postfach gibt es nicht.

Fazit: 4 Adressen getestet, 3 davon nicht vorhanden und 1 Adresse zwar erreichbar, aber wie soll man nun Beweisen das der Inhaber auch wirklic den Spam verschickt hat? Ich könnte es nicht.

Ich könnte noch weiter ausholen, aber ich denke das Obiges fürs Erste reichen sollte. Sicher wird es jetzt Leute geben die mich Kreuzigen wollen, weil ich Spammern verrate wie sie Probleme mit Fakemail-Scripte umgehen können, aber damit kann ich Leben :)

p.s: Musste das eben nochmal überarbeiten, weil durch meine rudimentären HTML-Kenntnisse ein Teil des Textes verschluckt wurde.

Tags: