logowanie | rejestracja
capri.pl » forum » www.capri.pl » Dziwne maile rzekomo z capri.pl

Dziwne maile rzekomo z capri.pl

Dostałem różne sygnały, że dostajecie czasem dziwne maile, rzekomo pochodzące z capri.pl. Przykładowo coś takiego:



From: admin@capri.pl [mailto:admin@capri.pl]
To: xxx@capri.pl
Subject: IMPORTANT NOTIFICATION

Dear Capri Member,

Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.

If you choose to ignore our request, you leave us no choice but to cancel your membership.

Virtually yours,
The Capri Support Team



albo



From: info@capri.pl [mailto:info@capri.pl]
To: xxx@capri.pl
Subject: You have successfully updated your password

Dear user xxx,

You have successfully updated the password of your Capri account.

If you did not authorize this change or if you need assistance with your account, please contact Capri customer service at: info@capri.pl

Thank you for using Capri!
The Capri Support Team



To w żadnym wypadku nie pochodzi z capri.pl ! Dodam trochę wyjaśnień, jeśli ktoś jest zainteresowany: aktualnie używany w internecie do przesyłania poczty protokół SMTP nie przewiduje żadnej autoryzacji dla pola From: w przesyłanej poczcie. Można tam wpisać cokolwiek, tak też robią w większości różne zarazy, które zwykle dołączają jakiś plik do uruchomienia dla bardziej beztroskich użytkowników. Sformułowanie treści jak powyżej, włączając dopisek jak np. "Capri Support Team" i tym podobne odniesienia do "Capri" to ciekawa próba nadania odrobiny autentyczności temu mailowi.
Rzeczywiste pochodzenie maila można zazwyczaj sprawdzić podglądając treść źródła wiadomości, na samym początku znadują się nagłówki, z których należy przyjrzeć się ciągowi nagłówków Received: (może być ich różna ilość), typowo wygląda to tak:

Received: from mail.capri.pl (localhost [127.0.0.1])
by cml.mfk.net.pl (8.13.3/8.13.1) with ESMTP id j8HEI0lD092656
for <mk@localhost>; Sat, 17 Sep 2005 16:18:00 +0200 (CEST)
(envelope-from info@capri.pl)
Received: from capri.pl (avp162.internetdsl.tpnet.pl [83.18.41.162])
by callahan.capri.pl (8.13.3/8.13.3) with ESMTP id j8HEGuCj083444
for <mk@capri.pl>; Sat, 17 Sep 2005 16:17:02 +0200 (CEST)
(envelope-from info@capri.pl)

Każdy jeden wpis typu Received: oznacza jeden transfer maila pomiędzy węzłami które uczestniczą w wymianie poczty. Nowe dopisywane są od góry. W ten sposób można prześledzić skąd dany mail wyszedł. W naszym wypadku widać tutaj że nadawca to:

from capri.pl (avp162.internetdsl.tpnet.pl [83.18.41.162])

Początek - from capri.pl jest oszukany przez nadawcę (protokół SMTP tego nie sprawdza, przyjmuje na wiarę), ale potem mamy rzeczywisty adres IP nadawcy - 83.18.41.162, czyli DNS avp162.internetdsl.tpnet.pl - ktoś pod tym adresem, jako abonent DSL w TPSA działa jako sabotażysta, prawdopodobnie nawet nieświadomie, jak większość użytkowników znakomitego systemu Windows hodując na swoim komputerze różne twory o których nie mają bladego nawet pojęcia.

Jednym słowem - takie dziwne maile należy ignorować.

Michał Konieczny Dokładna lokalizacja na mapie Członek Stowarzyszenia capri.pl / 2005-11-06 20:37:50 /


eee juz dawno ich nie dostaje :)

spawn Dokładna lokalizacja na mapie / 2005-11-06 20:55:35 /