How to Fight Spam

Raskers-list

Nuttige tools

• Whois:
  • abuse.net heeft adressen waarnaartoe je moet klagen
  • apnic/apnic-bin/whois.pl, Azië Pacific
  • arin, N Amerika
  • Krnic Korea
  • Lacnic Z Amerika
  • ripe, Europa
• Voor obfuscated URLs:
  • Net Demon
  • Web Sniffer
• Ros Instrument
• Blacklist Check
• MX Toolbox;
• Robtex
• Blacklist Alert;
• Lumber Cartel;
• Geek Tools;
• Onthesamehost;
• Reverse lookup: Web sites on web server; Domaintools;

Mainsleazes:

• Giro 555, in 2001
• AMEV, zie Webwereld en Secure Internet Foundation

Mijn Protocol

1. Zet alle headers aan. Ja, dat is die letter en cijferbrij
2. Als de spam een week oud is, vergeet deze dan maar: spammer's provider heeft de log niet meer
3. Als To: niet je e-mail adres is en niet van een subscribed mailinglist is dan heb je te maken met UBE: Unsolicited Bulk Email
4. Sla Return-Path:, From: en Reply-To: over: die zijn toch maar vervalst
5. Een Received: regel ziet er ongeveer zo uit:

   Received: from host1 (host2 [ww.xx.yy.zz]) by host3
          (8.7.5/8.7.3) with SMTP id MAA04298; Thu, 18 Jul 1996 12:18:06 +0200
   

   Als een regel vals is zijn regels daaronder ook vals. Valse regels zijn:

   • Een van de getallen in ww.xx.yy.zz >255 of met 0 (nul) begint
   • Als host3 ongelijk is aan host1 vorige regel. Ik heb wel meegemaakt dat de namen ongelijk zijn, maar met dnslookup bleken ze zelfde ip-adres te hebben.
   • Als datum en tijd later dan vorige regel(s) (12:18:06 +0200 is 10:18:06 GMT).
   • Achter tijdzone moet juiste afkorting staan: -0600 (EST) is bv. onzin: EST is -0500
   • Er bestaan spamware die knappe vervalsingen maken. Hieronder is de onderste regel vals:

     Received: from _[141.87.68.36]_by (ip249.los-angeles17.ca.pub-ip.psi.net [38.29.86.249])
             by www.protz.ch (8.8.8/8.8.8) with SMTP id CAA24807;
             Fri, 8 Sep 2000 02:36:29 +0200
     Message-Id: <200009080036.CAA24807@www.protz.ch>
     Received: from  [2.133.101.38] by _[141.87.68.36]_by with SMTP id A40C19E4 Thu, 7 Sep 2000 17:49:06 PDT
     

6. De onderste niet valse [ww.xx.yy.zz] is de spammer of een door spammer gehackte machine. Naam host1 kan vals zijn, dus hun postmaster niet mailen. Hier is een mooie:

     Received: from inetserver.com-by[pi69.inetserver.com[199.200.333.555]]for
   	[202.67.249.69] by mail.2001.es (SMTPD32-4.04) id AE8A3700298; Tue, 
   	03 Nov 1998 07:11:22 +03d00
     

   Hier is "inetserver.com-by[pi69.inetserver.com[199.200.333.555]]for" ingevuld als host1

7. Niet naar postmaster@ww.xx.yy.zz mailen: dat is vaak de spammer zelf. Als domeinnaam niet met dnslookup is te vinden, dan traceroute proberen
8. Beleefde mail naar het postmaster van domein sturen, niet flamen. Wel alle headers bijsluiten.
9. Als postmaster niet bestaat (mail als onbezorgbaar teruggestuurd) upstream provider met traceroute opzoeken en die mailen, inclusief klacht dat er geen postmaster is.

Soms wil je ook gaan klagen over een geadverteerde website. Spammers doen moeite om te verbergen waar ze zijn gehost:

1. Alleen ip-nummer. Eigenaar is makkelijk te vinden met nslookup, whois en/of traceroute.
2. I.p.v. vier 8-bits cijfers, één 32-bits cijfer, bv. http://3434462727 Makkelijkst te ontcijferen met ping
3. Coderen als ASCII, bv. http://%3349%31%33%38272%38%2f%6de%6db%65r%738%2fa%61a4/ Elke %xx kan je opzoeken in een ASCII-tabel.
4. Een variatie is: http://gatewa y.pupsik.ru Dit is niets anders dan http://gateway.pupsik.ru
5. Octale notatie: Een of meer nullen voor een getal betekent dat het getal erachter in octale notatie is: 0328 = 3 * 64 + 2 * 8 + 8 = 216 decimaal. 0000031313152703 is ook octaal, maar hier heb je een rekenmachine voor nodig.
6. Heel grote getallen in dotted quad notatie:

   696898287454081973172991196020261297062096.
   365375409332725729550921208179070754913983135888.
   2854495385411919762116571938898990272765493258.
   21778071482940061661655974875633165533377
   

   ping geeft 208.144.10.163
7. Apenstaartje @ in url, bv. http://203486852@3434462727. Links van @ horen username en password te staan, maar zijn meestal nep. Rechts van @ staat de werkelijke host.
8. Soms zit @ in bovengenoemde usernaam. Wat achter eerste @ staat hieronder kan geen hostnaam of ip-nummer zijn. Wat achter 2e @ staat wel.

   http://www.dns^P^E^E^E^P^P^E^P^P^P^E^E^P^P^P^P^Pmagicsite.net&108
   5287724@1085287723&1063256813@3493727992/

9. Soms is die @ echt zoals de 2e @ in http://pi.love.uu@2148225744/@37487835528/. Die is gewoon onderdeel van de directorynaam.
10. Soms stoppen spammers allerlei misleidende code achter ? of #

    http://000000000000000000000000000000000365.0000000000000000000
    00000000000000000000000000000000000000000365.00000000000000000000000000000
    000000000000364.00000000000000000000000000000000325&redirect=3Dgo.visi
    t-site.com@000000328.00000039.00000024.0000004/80s/340234566/?redirect=3Dh
    ttp://326841526/index.html@00000000216.00000000000114.0000000000069.000000
    0000002/~cyber101/pages/

    Hierboven staat de spammer gewoon tussen @ en ? en hieronder is alles achter # een anchortag of nep:

    http://www.cybergateway.net/bigones/joe/index.html#@freeyellow.com/members/b

11. Misleidende hostname:

    http://www.abc085.com|dormelo.fr^D^E^F^G^O^T^T^T^T^O^D^E^F^G^O^T^T^T
    ^T^T.jira.com/ca6/somewhereoverthere/eblnkwin.htm

    Een van de ergste spammers, zie www.spamhaus.org/rokso/ of op www.angelfire.com/rant/et/
    Domeinnaam hierboven is jira.com. Hostnaam is www.abc085.com|dormelo.fr^D^E^F^G etc, alleen bedoeld om te spammen. nslookup doen met querytype=ns op jira.com. Alleen [a-k].root-servers.net geven betrouwbaar antwoord. Klagen bij wie de nameserver wordt gehost.
12. Redirector:

    http://r.hotbot.com/r/hb_also_www.angelfire.com/
    http://00033010212004@0000031313152703/www.angelfire.com/
    biz6/bizopp/remove.html?http://business.bizopp.ca@00000033010

    http://r.hotbot.com/r/hb_also_www.angelfire.com/ stuurt automatisch door naar url erachter. Test maar met een willekeurige url. Toch maar klagen. De spammer is http://00033010212004@0000031313152703/www....

    http://ad.doubleclick.net/clk;555195;3452810;i?http://rd.ya
    hoo.com/geohome/g/*http://00032100360014.com/@www.geocities.com/C
    olosseum/Field/9245/auto5253.html/?http://rd.yahoo.com/M=77122.82
    6220.2557699.389576/S=2716149:NP/A=359579/?http://www.geocities.c
    om/Colosseum/Field/9245/auto5253.html

    Spammer is 00032100360014.com

Links

• news.admin.net-abuse.email
  • Andrew Stephens: ROKSO Archief
  • Your First Message Post To Nanae Newsgroup
  • Forgery Tracking Faq
  • How do spammers get people's email addresses ?
  • Pointer: All These Net-Abuse Groups! Which One Should I Use?
  • APEWS FAQ
  • seige-perilous
  • Jamie Baillie (spamtard)
• nl.internet.misbruik

Correcties and suggesties naar tjoen@dds.nl. Vragen? Stel ze in de nieuwsgroepen