Имя: Пароль:
IT
 
Помогите разобрать теги письма.
0 KiborG
 
17.08.12
15:44
Издавно настроен антивирусник на  отчёт мне по почте в случае нашествия вирусов. Сейчас пришло письмо мол по почте лез вирь, благополучно убитый. Обратил внимание с какого ящика шло письмо: [email protected] - у нас такого ящика нет. Письмо пришло на один из наших ящиков [email protected]
Раскрыл его:

From - Thu Aug 16 13:41:39 2012
X-Account-Key: account1
X-UIDL: 00000bdc4faa3748
X-Mozilla-Status: 0001
X-Mozilla-Status2: 10000000
X-Mozilla-Keys:                                                                                
Return-path: <[email protected]>
Envelope-to: [email protected]
Delivery-date: Thu, 16 Aug 2012 22:33:25 +0300
Received: from [178.90.191.30] (helo=microsof-24d78e)
   by s4.thehost.com.ua with esmtp (Exim 4.76)
   (envelope-from <[email protected]>)
   id 1T25op-0000i1-QX
   for [email protected]; Thu, 16 Aug 2012 22:33:25 +0300
Received: from mailout-us.gmx.com ([74.208.5.67]) by aln-mailrelay.att.net;
    Thu, 16 Aug 2012 02:33:22 +0300
Received: (qmail 9741 invoked by uid 0); Thu, 16 Aug 2012 02:33:22 +0300
Received: from 110.203.234.182 by rms-us063.v300.gmx.net with HTTP
Content-Type: multipart/mixed;
   boundary="========GMXBoundary816158626177210101200"
Date: Thu, 16 Aug 2012 02:33:22 +0300
From: <[email protected]>
Message-ID: <[email protected]>
MIME-Version: 1.0
Subject: [virus JS/Kryptik.UK ????????? ?????????] Your intuit.com order.
To: [email protected]
X-Authenticated: #233426516
X-Flags: 0001
X-Mailer: GMX.com Web Mailer
x-registered: 0
X-GMX-UID: YUT/TKKY269AG9AEF0E70U7+O041EJCQ
X-OriginalArrivalTime: Thu, 16 Aug 2012 02:33:22 +0300 FILETIME=[6B57DC03:72849237]
X-EsetResult: clean (cleaned), contained JS/Kryptik.UK trojan
X-EsetId: 13F033267F32703D09B86C3A2D2D763D51B2367772
X-EsetScannerBuild: 11886

Поправте меня если я не правильно понял: письмо на самом деле слал пользователь <[email protected]> из Казастаа (from [178.90.191.30]) только у них в настройках выставлено подставлять домен жертвы рассылки... домен att.net заменен на example.com.
1 KiborG
 
17.08.12
15:49
Вопрос собственно говоря всплывает ещё со времён борьбы со спамом...
Вообщем, длинная история. Думаю как бороться.. но это уже другая история.
2 Йохохо
 
17.08.12
15:59
Received: when an SMTP server accepts a message it inserts this trace record at the top of the header (last to first).
3 KiborG
 
17.08.12
16:09
(2) - это что такое волшебное ты написал?
4 Йохохо
 
17.08.12
16:12
не ИЗ, а В Казахстан. С легким паром (с)
5 KiborG
 
17.08.12
16:21
да? о_о..
Received: from [178.90.191.30] (helo=microsof-24d78e)
я так понял, что с АйПи 178.90.191.30 и компьютер называется microsof-24d78e (кто-то не замарачивался с именим компьютера)
а строки
Received: when an SMTP server accepts a message it inserts this trace record at the top of the header (last to first).
я не наблюдаю...
6 Йохохо
 
17.08.12
16:29
а ты переведи ее
7 KiborG
 
17.08.12
16:41
когда сервер SMTP принимает сообщение, он вставляет эту запись трассировки наверху заголовка..
И что бы это значило?
8 Йохохо
 
17.08.12
16:43
что Received: from [178.90.191.30] (helo=microsof-24d78e) это последняя запись, прямо перед тобой