/ Forside / Teknologi / Internet / Sikkerhed / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
Sikkerhed
#NavnPoint
stl_s 37026
arlet 26827
miritdk 20260
o.v.n. 12167
als 8951
refi 8694
tedd 8272
BjarneD 7338
Klaudi 7257
10  molokyle 6481
Emails fra en tom afsende
Fra : Fjollefrans


Dato : 04-01-06 18:43


Hejsa

Jeg har de sidste par uger på en TDC mail konto fået emails uden headline
eller body. Jeg er ikke specielt bekymret, men irriterende er det dog. Hvem
sender dem mon ?

OE's properties for mails'ene ser sådan her ud (jeg har fisket min email
addresse ud og erstattet med addresse@domæne.dk)



Return-Path: <>
Received: from fep24.mail.dk ([71.98.54.126]) by fep35.mail.dk
(InterMail vM.6.01.06.00 201-2131-130-20051209) with ESMTP
id <20060104033339.SMTD232.fep35.mail.dk@fep24.mail.dk>
for <addresse@domæne.dk>; Wed, 4 Jan 2006 04:33:39 +0100
Received: from pool-71-98-54-126.gdrpwi.dsl-w.verizon.net ([71.98.54.126])
by fep24.mail.dk
(InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
id
<20060104033339.BRC26888.fep24.mail.dk@pool-71-98-54-126.gdrpwi.dsl-w.verizon.net>
for <addresse@domæne.dk>; Wed, 4 Jan 2006 04:33:39 +0100
Message-Id:
<20060104033339.BRC26888.fep24.mail.dk@pool-71-98-54-126.gdrpwi.dsl-w.verizon.net>
Date: Wed, 4 Jan 2006 04:33:39 +0100






 
 
John (04-01-2006)
Kommentar
Fra : John


Dato : 04-01-06 20:05

"Fjollefrans" skrev i en meddelelse

> Jeg har de sidste par uger på en TDC mail konto fået emails uden headline
> eller body. Jeg er ikke specielt bekymret, men irriterende er det dog.

Jep, meget

> Hvem sender dem mon ?
> Received: from fep24.mail.dk ([71.98.54.126]) by fep35.mail.dk

Sikkert noget spam eller andet 'godt'. Adressen er sortlistet:
http://www.whois.sc/71.98.54.126

Slet skidtet uden at åbne noget. Jeg får ugentlig en snes af slagsen, men
bruger ePrompter mailreader til mine 6 accounts. Så tager det ingen tid at
slette spam og andet snask:
http://www.download.com/ePrompter/3000-2378_4-10354637.html?tag=lst-0-1

Mvh John



Ukendt (04-01-2006)
Kommentar
Fra : Ukendt


Dato : 04-01-06 23:18

Fjollefrans wrote:
>
> Hejsa
>
> Jeg har de sidste par uger på en TDC mail konto fået emails uden headline
> eller body. Jeg er ikke specielt bekymret, men irriterende er det dog. Hvem
> sender dem mon ?

Jeg synes det er meget mere interessant at spørge om hvorfor?

>
> OE's properties for mails'ene ser sådan her ud (jeg har fisket min email
> addresse ud og erstattet med addresse@domæne.dk)
>
> Return-Path: <>

Tom afsender bruges til fejlmeldinger. Og så vidt jeg husker
standarden må det ikke bruges til andet. Hvis en mail af den
ene eller anden grund ikke kan leveres sendes en fejlmelding
tilbage til afsenderen. Fejlmeldingen sendes med tom afsender
for at undgå at fejlmeldingen resulterer i en fejlmelding osv.

Hvis man har mulighed for at huske på Message-ID på de mails
man sender, så kan man kigge efter dem i beskeden. Hvis ikke
fejlmailen indeholder et ID på noget man har sendt, så kan
man roligt afvise fejlmailen.

> Received: from fep24.mail.dk ([71.98.54.126]) by fep35.mail.dk

Her er noget som ikke ser ud til at stemme. Mailen er
tilsyneladende sendt fra 71.98.54.126 som tilhører
Verizon i US. Men serveren udgiver sig for at hedde
fep24.mail.dk.

Såfremt EHLO er forged, så er Received headeren
nedenfor nok også forged. Men hvis den er forged,
hvorfor indeholder den så ligefrem reverse opslaget
på IP adressen 71.98.54.126?

> (InterMail vM.6.01.06.00 201-2131-130-20051209) with ESMTP
> id <20060104033339.SMTD232.fep35.mail.dk@fep24.mail.dk>
> for <addresse@domæne.dk>; Wed, 4 Jan 2006 04:33:39 +0100
> Received: from pool-71-98-54-126.gdrpwi.dsl-w.verizon.net ([71.98.54.126])
> by fep24.mail.dk
> (InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
> id
> <20060104033339.BRC26888.fep24.mail.dk@pool-71-98-54-126.gdrpwi.dsl-w.verizon.net>
> for <addresse@domæne.dk>; Wed, 4 Jan 2006 04:33:39 +0100
> Message-Id:
> <20060104033339.BRC26888.fep24.mail.dk@pool-71-98-54-126.gdrpwi.dsl-w.verizon.net>
> Date: Wed, 4 Jan 2006 04:33:39 +0100

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Jens U. K. (06-01-2006)
Kommentar
Fra : Jens U. K.


Dato : 06-01-06 12:57

"Kasper Dupont"
<46242662083475416005@expires.15.feb.2006.kasperd.net.invalid> wrote in
message news:43BC49B3.FD90D3F@expires.15.feb.2006.kasperd.net.invalid...

>> Received: from fep24.mail.dk ([71.98.54.126]) by fep35.mail.dk
>
> Her er noget som ikke ser ud til at stemme. Mailen er
> tilsyneladende sendt fra 71.98.54.126 som tilhører
> Verizon i US. Men serveren udgiver sig for at hedde
> fep24.mail.dk.
>
> Såfremt EHLO er forged, så er Received headeren
> nedenfor nok også forged. Men hvis den er forged,
> hvorfor indeholder den så ligefrem reverse opslaget
> på IP adressen 71.98.54.126?

Jeg undrede mig over det samme!

/Jens Ulrik


Klaus Ellegaard (04-01-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-01-06 23:23

"Fjollefrans" <eksisterernokikkevel@hotmail.com> writes:

>Jeg har de sidste par uger på en TDC mail konto fået emails uden headline
>eller body. Jeg er ikke specielt bekymret, men irriterende er det dog. Hvem
>sender dem mon ?

Umiddelbart har jeg to forslag:

1. En fejl skabt af en zombie, der "næsten" virker.

2. En probe der så godt som muligt alene ud fra en SMTP-dialog
forsøger at finde ud af, om en mailadresse rent faktisk vil
modtage post. For eksempel til "rengøring" af en spammers
adresseliste.

Ingen af delene er farlige. Bare irriterende.

Mvh.
   Klaus.

Fjollefrans (04-01-2006)
Kommentar
Fra : Fjollefrans


Dato : 04-01-06 23:27


>
> Umiddelbart har jeg to forslag:
>
> 1. En fejl skabt af en zombie, der "næsten" virker.
>
> 2. En probe der så godt som muligt alene ud fra en SMTP-dialog
> forsøger at finde ud af, om en mailadresse rent faktisk vil
> modtage post. For eksempel til "rengøring" af en spammers
> adresseliste.
>
> Ingen af delene er farlige. Bare irriterende.
>


Hmmmm, irriterende er det da i hvert fald helt sikker. Når du nævner en
Zombie, tænker du så på at det skulle være noget snavs på min egen maskine ?

der lå forresten lige een mere i min inbox


Return-Path: <>
Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk
(InterMail vM.6.01.06.00 201-2131-130-20051209) with ESMTP
id <20060102085819.YHJJ232.fep35.mail.dk@fep28.mail.dk>
for <addresse@domæne.dk>; Mon, 2 Jan 2006 09:58:19 +0100
Received: from pcjordi ([83.32.237.4]) by fep28.mail.dk
(InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
id <20060102085818.HJEN23447.fep28.mail.dk@pcjordi>
for <addresse@domæne.dk>; Mon, 2 Jan 2006 09:58:18 +0100
Message-Id: <20060102085818.HJEN23447.fep28.mail.dk@pcjordi>
Date: Mon, 2 Jan 2006 09:58:18 +0100



som jo i store træk er det samme som den første, bortset fra denne ikke
kommer fra Verizon



Klaus Ellegaard (04-01-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 04-01-06 23:33

"Fjollefrans" <eksisterernokikkevel@hotmail.com> writes:

>Hmmmm, irriterende er det da i hvert fald helt sikker. Når du nævner en
>Zombie, tænker du så på at det skulle være noget snavs på min egen maskine ?

Nej, på afsenderens.

Mvh.
   Klaus.

Ukendt (04-01-2006)
Kommentar
Fra : Ukendt


Dato : 04-01-06 23:38

Fjollefrans wrote:
>
> der lå forresten lige een mere i min inbox
>
> Return-Path: <>
> Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk

Igen er oplysningerne i headeren inkonsistente. Kan du ikke lige
vise os headerne fra en legitim email, så vi kan sammenligne?

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Fjollefrans (04-01-2006)
Kommentar
Fra : Fjollefrans


Dato : 04-01-06 23:54


"Kasper Dupont"
<46242662083475416005@expires.15.feb.2006.kasperd.net.invalid> wrote in
message news:43BC4E3E.5ECC5A19@expires.15.feb.2006.kasperd.net.invalid...
> Fjollefrans wrote:
>>
>> der lå forresten lige een mere i min inbox
>>
>> Return-Path: <>
>> Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk
>
> Igen er oplysningerne i headeren inkonsistente. Kan du ikke lige
> vise os headerne fra en legitim email, så vi kan sammenligne?
>

det kunne så se sådan her ud


Return-Path: <Breaking_news@listserv.ekstrabladet.dk>
Received: from fep25.mail.dk ([80.63.59.54]) by fep34.mail.dk
(InterMail vM.6.01.06.00 201-2131-130-20051209) with ESMTP
id <20060104223231.BOY1502.fep34.mail.dk@fep25.mail.dk>
for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100
Received: from listserv.politiken.dk ([80.63.59.54]) by fep25.mail.dk
(InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
id <20060104223231.TVTU8133.fep25.mail.dk@listserv.politiken.dk>
for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100
X-Mailer: UnityMail
Originator: <Breaking_news@listserv.ekstrabladet.dk>
Errors-To: <Breaking_news@listserv.ekstrabladet.dk>
X-UnityID:
<20060104232945.ADWB3BLL9AAAAOMunitymail0.24455@listserv.politiken.dk>
X-UnityUser: Unregistered User
X-Mailer-Version: 5.1.196
Reply-To: "Breaking news" <Breaking_news@listserv.ekstrabladet.dk>
From: "EkstraBladet" <Breaking_news@listserv.ekstrabladet.dk>
To: "addresse@domæne.dk" <addresse@domæne.dk>
Subject: Breaking News fra ekstrabladet.dk
Date: Wed, 4 Jan 2006 23:29:45 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
Thread-Index: AcYRfl1q7AxSMvhFQYyLCr74UZUiyg==
Content-Class: urn:content-classes:message
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1506
Message-Id: <20060104223231.TVTU8133.fep25.mail.dk@listserv.politiken.dk>




Ukendt (05-01-2006)
Kommentar
Fra : Ukendt


Dato : 05-01-06 00:02

Fjollefrans wrote:
>
> "Kasper Dupont"
> <46242662083475416005@expires.15.feb.2006.kasperd.net.invalid> wrote in
> message news:43BC4E3E.5ECC5A19@expires.15.feb.2006.kasperd.net.invalid...
> > Fjollefrans wrote:
> >>
> >> der lå forresten lige een mere i min inbox
> >>
> >> Return-Path: <>
> >> Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk
> >
> > Igen er oplysningerne i headeren inkonsistente. Kan du ikke lige
> > vise os headerne fra en legitim email, så vi kan sammenligne?
> >
>
> det kunne så se sådan her ud
>
> Return-Path: <Breaking_news@listserv.ekstrabladet.dk>
> Received: from fep25.mail.dk ([80.63.59.54]) by fep34.mail.dk
> (InterMail vM.6.01.06.00 201-2131-130-20051209) with ESMTP
> id <20060104223231.BOY1502.fep34.mail.dk@fep25.mail.dk>
> for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100
> Received: from listserv.politiken.dk ([80.63.59.54]) by fep25.mail.dk
> (InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
> id <20060104223231.TVTU8133.fep25.mail.dk@listserv.politiken.dk>
> for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100

Samme inkonsistens som i de to spam mails. Det ser da virkelig
ud som om fep34 genererer Received headers på en meget mærkelig
måde. Hvorfor dukker den IP adresse op når mailen faktisk
kommer fra 80.160.76.229?

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Kent Friis (05-01-2006)
Kommentar
Fra : Kent Friis


Dato : 05-01-06 00:25

Den Thu, 05 Jan 2006 00:02:28 +0100 skrev Kasper Dupont:
> Fjollefrans wrote:
>>
>> "Kasper Dupont"
>> <46242662083475416005@expires.15.feb.2006.kasperd.net.invalid> wrote in
>> message news:43BC4E3E.5ECC5A19@expires.15.feb.2006.kasperd.net.invalid...
>> > Fjollefrans wrote:
>> >>
>> >> der lå forresten lige een mere i min inbox
>> >>
>> >> Return-Path: <>
>> >> Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk
>> >
>> > Igen er oplysningerne i headeren inkonsistente. Kan du ikke lige
>> > vise os headerne fra en legitim email, så vi kan sammenligne?
>> >
>>
>> det kunne så se sådan her ud
>>
>> Return-Path: <Breaking_news@listserv.ekstrabladet.dk>
>> Received: from fep25.mail.dk ([80.63.59.54]) by fep34.mail.dk
>> (InterMail vM.6.01.06.00 201-2131-130-20051209) with ESMTP
>> id <20060104223231.BOY1502.fep34.mail.dk@fep25.mail.dk>
>> for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100
>> Received: from listserv.politiken.dk ([80.63.59.54]) by fep25.mail.dk
>> (InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
>> id <20060104223231.TVTU8133.fep25.mail.dk@listserv.politiken.dk>
>> for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100
>
> Samme inkonsistens som i de to spam mails. Det ser da virkelig
> ud som om fep34 genererer Received headers på en meget mærkelig
> måde. Hvorfor dukker den IP adresse op når mailen faktisk
> kommer fra 80.160.76.229?

Er det bare den detalje at mail'en forwardes fra fep25 til fep34 der
forvirrer dig, eller er det noget andet som jeg ikke kan få øje
på?

Received headers indsættes i omvendt rækkefølge, hver gang mail'en
passerer en mailserver sættes en ny received header ind *før* de
andre (OE-quoting style).

Mvh
Kent
--
Hard work may pay off in the long run, but laziness pays off right now.

Ukendt (05-01-2006)
Kommentar
Fra : Ukendt


Dato : 05-01-06 00:40

Kent Friis wrote:
>
> Den Thu, 05 Jan 2006 00:02:28 +0100 skrev Kasper Dupont:
> > Fjollefrans wrote:
> >>
> >> "Kasper Dupont"
> >> <46242662083475416005@expires.15.feb.2006.kasperd.net.invalid> wrote in
> >> message news:43BC4E3E.5ECC5A19@expires.15.feb.2006.kasperd.net.invalid...
> >> > Fjollefrans wrote:
> >> >>
> >> >> der lå forresten lige een mere i min inbox
> >> >>
> >> >> Return-Path: <>
> >> >> Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk
> >> >
> >> > Igen er oplysningerne i headeren inkonsistente. Kan du ikke lige
> >> > vise os headerne fra en legitim email, så vi kan sammenligne?
> >> >
> >>
> >> det kunne så se sådan her ud
> >>
> >> Return-Path: <Breaking_news@listserv.ekstrabladet.dk>
> >> Received: from fep25.mail.dk ([80.63.59.54]) by fep34.mail.dk
> >> (InterMail vM.6.01.06.00 201-2131-130-20051209) with ESMTP
> >> id <20060104223231.BOY1502.fep34.mail.dk@fep25.mail.dk>
> >> for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100
> >> Received: from listserv.politiken.dk ([80.63.59.54]) by fep25.mail.dk
> >> (InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
> >> id <20060104223231.TVTU8133.fep25.mail.dk@listserv.politiken.dk>
> >> for <addresse@domæne.dk>; Wed, 4 Jan 2006 23:32:31 +0100
> >
> > Samme inkonsistens som i de to spam mails. Det ser da virkelig
> > ud som om fep34 genererer Received headers på en meget mærkelig
> > måde. Hvorfor dukker den IP adresse op når mailen faktisk
> > kommer fra 80.160.76.229?
>
> Er det bare den detalje at mail'en forwardes fra fep25 til fep34 der
> forvirrer dig, eller er det noget andet som jeg ikke kan få øje
> på?

Nej, det kan jeg godt se. Men hvorfor skriver fep34 en
forkert IP adresse på? fep34 modtager mailen fra fep25,
men det er ikke fep25, der skrives på som afsender.

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Klaus Ellegaard (05-01-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 05-01-06 08:08

Kasper Dupont <46242662083475416005@expires.15.feb.2006.kasperd.net.invalid> writes:

>Nej, det kan jeg godt se. Men hvorfor skriver fep34 en
>forkert IP adresse på? fep34 modtager mailen fra fep25,
>men det er ikke fep25, der skrives på som afsender.

Jeg gætter på, at man bibeholder IP-adressen fra den oprindelige
injektion i TDCs netværk af hensyn til diverse spamprogrammer, der
har brug for den i filtersammenhænge.

Det er ikke heeeelt i tråd med RFC2821 section 4.4, men det er tæt
nok på til, at intet går i stykker af det.

Mvh.
   Klaus.

Ukendt (05-01-2006)
Kommentar
Fra : Ukendt


Dato : 05-01-06 08:24

Klaus Ellegaard wrote:
>
> Kasper Dupont <46242662083475416005@expires.15.feb.2006.kasperd.net.invalid> writes:
>
> >Nej, det kan jeg godt se. Men hvorfor skriver fep34 en
> >forkert IP adresse på? fep34 modtager mailen fra fep25,
> >men det er ikke fep25, der skrives på som afsender.
>
> Jeg gætter på, at man bibeholder IP-adressen fra den oprindelige
> injektion i TDCs netværk af hensyn til diverse spamprogrammer, der
> har brug for den i filtersammenhænge.

Ingen forbyder den slags programmer at kigge på mere end en
received header.

>
> Det er ikke heeeelt i tråd med RFC2821 section 4.4, men det er tæt
> nok på til, at intet går i stykker af det.

Det betyder da, at spamfiltre, der analyserer headerne korrekt,
vil tro, at afsenderen har spoofet de fleste oplysninger.

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Klaus Ellegaard (05-01-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 05-01-06 08:31

Kasper Dupont <64905909730188640546@expires.16.feb.2006.kasperd.net.invalid> writes:

>Ingen forbyder den slags programmer at kigge på mere end en
>received header.

Du kan ikke stole på andet end den første (dvs. sidst tilføjede)
Received-linje. Forudsat at du i øvrigt stoler på din nærmeste
SMTP-server.

>> Det er ikke heeeelt i tråd med RFC2821 section 4.4, men det er tæt
>> nok på til, at intet går i stykker af det.

>Det betyder da, at spamfiltre, der analyserer headerne korrekt,
>vil tro, at afsenderen har spoofet de fleste oplysninger.

Oplysningerne kommer fra to forskellige sources. Der er intet i
vejen med en linje à la

Received from: offentlig.isp.mailserver.fqdn ([10.20.30.40]) ...

Mvh.
   Klaus.

Ukendt (06-01-2006)
Kommentar
Fra : Ukendt


Dato : 06-01-06 17:20

Klaus Ellegaard wrote:
>
> Du kan ikke stole på andet end den første (dvs. sidst tilføjede)
> Received-linje.

Jo, du kan stole på alle received headers indtil den første
server du ikke stoler på. Under antagelse af, at du kan stole
på din mailserver kan du også stole på den første received
header, dermed ved du også, hvem der er ansvarlig for den
næste. Hvis det er en server du stoler på kan du stole på den
næste received header osv.

> Forudsat at du i øvrigt stoler på din nærmeste SMTP-server.

Hvilket man så ikke kan i det her tilfælde.

>
> >> Det er ikke heeeelt i tråd med RFC2821 section 4.4, men det er tæt
> >> nok på til, at intet går i stykker af det.
>
> >Det betyder da, at spamfiltre, der analyserer headerne korrekt,
> >vil tro, at afsenderen har spoofet de fleste oplysninger.
>
> Oplysningerne kommer fra to forskellige sources.

De fortælle hhv. hvem der har afsendt beskeden og hvad denne
giver sig ud for at hedde. Hvis disse to ikke stemmer overens
er der grund til at være mistænksom.

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Klaus Ellegaard (06-01-2006)
Kommentar
Fra : Klaus Ellegaard


Dato : 06-01-06 17:44

Kasper Dupont <36237715889427396252@expires.17.feb.2006.kasperd.net.invalid> writes:

>Jo, du kan stole på alle received headers indtil den første
>server du ikke stoler på.

Hvor mange mails modtager du, hvor du har indgående kendskab
til server nummer to? For mit vedkommende er det nok omtrent
én mail om dagen, jeg kan sige det om.

>De fortælle hhv. hvem der har afsendt beskeden og hvad denne
>giver sig ud for at hedde. Hvis disse to ikke stemmer overens
>er der grund til at være mistænksom.

Ja, man kan f.eks. "mistænke", at afsenderen bruger NAT. Det
er jo som bekendt meget farligt.

Mvh.
   Klaus.

Ukendt (07-01-2006)
Kommentar
Fra : Ukendt


Dato : 07-01-06 01:54

Klaus Ellegaard wrote:
>
> Hvor mange mails modtager du, hvor du har indgående kendskab
> til server nummer to?

40 ud af de 58 jeg har modtaget i år.

>
> >De fortælle hhv. hvem der har afsendt beskeden og hvad denne
> >giver sig ud for at hedde. Hvis disse to ikke stemmer overens
> >er der grund til at være mistænksom.
>
> Ja, man kan f.eks. "mistænke", at afsenderen bruger NAT. Det
> er jo som bekendt meget farligt.

Man filtrerer selvfølgeligt kun mails med åbenlyst forkerte
oplysninger fra. Selvfølgelig kan man ikke bruge reverse DNS
til at finde *det rigtige* svar. Men når en server i udlandet
udgiver sig for at være din egen udbyders mailserver, så er
der for alvor grund til mistanke.

Jeg ville have prøvet at sende en mail til mig selv gennem
fep35.mail.dk for at se, hvordan headerne kom til at se ud.
Men jeg får "No route to host", "Connection refused" eller
"Connection timed out" lidt afhængig af hvor jeg kommer fra.

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Niels Callesøe (07-01-2006)
Kommentar
Fra : Niels Callesøe


Dato : 07-01-06 07:52

Kasper Dupont wrote:

> Jeg ville have prøvet at sende en mail til mig selv gennem
> fep35.mail.dk for at se, hvordan headerne kom til at se ud.
> Men jeg får "No route to host", "Connection refused" eller
> "Connection timed out" lidt afhængig af hvor jeg kommer fra.

Du kan ikke snakke direkte med fepperne. Send helt som normalt ind
gennem fpo og se hvad du får ud.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

Ukendt (07-01-2006)
Kommentar
Fra : Ukendt


Dato : 07-01-06 12:40

"Niels Callesøe" wrote:
>
> Kasper Dupont wrote:
>
> > Jeg ville have prøvet at sende en mail til mig selv gennem
> > fep35.mail.dk for at se, hvordan headerne kom til at se ud.
> > Men jeg får "No route to host", "Connection refused" eller
> > "Connection timed out" lidt afhængig af hvor jeg kommer fra.
>
> Du kan ikke snakke direkte med fepperne. Send helt som normalt ind
> gennem fpo og se hvad du får ud.

Jeg får 550 Invalid recipient. Tilsyneladende har TDC nedlagt
den mailadresse jeg havde derpå. Eller også er det mig, der
ikke kan huske den. (Behøver jeg sige, at det er længe siden
jeg sidst har brugt den).

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Ukendt (07-01-2006)
Kommentar
Fra : Ukendt


Dato : 07-01-06 14:31

Kasper Dupont wrote:
>
> "Niels Callesøe" wrote:
> >
> > Kasper Dupont wrote:
> >
> > > Jeg ville have prøvet at sende en mail til mig selv gennem
> > > fep35.mail.dk for at se, hvordan headerne kom til at se ud.
> > > Men jeg får "No route to host", "Connection refused" eller
> > > "Connection timed out" lidt afhængig af hvor jeg kommer fra.
> >
> > Du kan ikke snakke direkte med fepperne. Send helt som normalt ind
> > gennem fpo og se hvad du får ud.
>
> Jeg får 550 Invalid recipient. Tilsyneladende har TDC nedlagt
> den mailadresse jeg havde derpå. Eller også er det mig, der
> ikke kan huske den.

Efter lidt tids søgning i mine gamle mails fandt jeg
den rigtige mail adresse. Men de her received headers
bliver man jo ikke meget klogere af. Jeg ville godt
have set, hvorden det ser ud hvis en mail bliver sendt
direkte til den rigtige mailserver.

From ttzmcjttqmcxumlutpvtotxk@skrammel.yaboo.dk Sat Jan 7 14:16:48
2006
Return-Path: <ttzmcjttqmcxumlutpvtotxk@skrammel.yaboo.dk>
Received: from fep32.mail.dk (fep32.mail.dk [80.160.76.196])
   by daimi.au.dk (8.12.11/8.12.11) with ESMTP id k07DGi6a028376
   for <kasperd@daimi.au.dk>; Sat, 7 Jan 2006 14:16:47 +0100
Received: from fep23.mail.dk ([80.167.222.169]) by fep32.mail.dk
(InterMail vM.6.01.05.04 201-2131-123-105-20051025) with ESMTP
id <20060107131644.JDF11121.fep32.mail.dk@fep23.mail.dk>
for <bruger@noget.dk>; Sat, 7 Jan 2006 14:16:44 +0100
Received: from skrammel.yaboo.dk ([80.167.222.169]) by fep23.mail.dk
(InterMail vG.2.02.00.00 201-2161-120-101-20051020) with SMTP
id <20060107131638.EOBX16072.fep23.mail.dk@skrammel.yaboo.dk>
for <bruger@noget.dk>; Sat, 7 Jan 2006 14:16:38 +0100

Det ser lidt ud som om mails først bliver sendt til en
tilfældig server og derefter videre til en som afhænger
af mail adressen.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Niels Callesøe (07-01-2006)
Kommentar
Fra : Niels Callesøe


Dato : 07-01-06 16:10

Kasper Dupont wrote:

> Efter lidt tids søgning i mine gamle mails fandt jeg
> den rigtige mail adresse. Men de her received headers
> bliver man jo ikke meget klogere af. Jeg ville godt
> have set, hvorden det ser ud hvis en mail bliver sendt
> direkte til den rigtige mailserver.

Erh, okay, men hvorfor?

[klip klip]

> Det ser lidt ud som om mails først bliver sendt til en
> tilfældig server og derefter videre til en som afhænger
> af mail adressen.

Ja, sådan virker load balancing jo gerne. Hvad er det præcis det er du
gerne vil se?

Btw: du har "rettet" den mailaddresse du aldrig bruger, men du har ikke
"rettet" din daimi-addresse... er det med vilje?

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

Tre svar, der faktisk er spørgsmål, på spørgsmål, der faktisk er svar.

Ukendt (07-01-2006)
Kommentar
Fra : Ukendt


Dato : 07-01-06 16:22

"Niels Callesøe" wrote:
>
> Kasper Dupont wrote:
>
> > Efter lidt tids søgning i mine gamle mails fandt jeg
> > den rigtige mail adresse. Men de her received headers
> > bliver man jo ikke meget klogere af. Jeg ville godt
> > have set, hvorden det ser ud hvis en mail bliver sendt
> > direkte til den rigtige mailserver.
>
> Erh, okay, men hvorfor?

Egentlig mest fordi jeg spekulerede på om den i så fald
ville skrive en korrekt eller en forkert IP adresse.
Men når ikke det kan lade sig gøre er spørgsmålet nok
egentlig irrelevant.

>
> [klip klip]
>
> > Det ser lidt ud som om mails først bliver sendt til en
> > tilfældig server og derefter videre til en som afhænger
> > af mail adressen.
>
> Ja, sådan virker load balancing jo gerne. Hvad er det præcis det er du
> gerne vil se?

Om man har nogen inflydelse på korrektheden af oplysningerne
i received headerne.

>
> Btw: du har "rettet" den mailaddresse du aldrig bruger, men du har ikke
> "rettet" din daimi-addresse... er det med vilje?

Ja. Min daimi adresse står alligevel så mange steder, at det
ikke kan betale sig at prøve at skjule den. Og eftersom jeg
blev færdig med min uddannelse i sidste måned vil jeg
alligevel så småt holde op med at bruge min daimi adresse.

--
Kasper Dupont -- Rigtige mænd skriver deres egne backupprogrammer
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

Niels Callesøe (07-01-2006)
Kommentar
Fra : Niels Callesøe


Dato : 07-01-06 16:43

Kasper Dupont wrote:

>> > Det ser lidt ud som om mails først bliver sendt til en
>> > tilfældig server og derefter videre til en som afhænger
>> > af mail adressen.
>>
>> Ja, sådan virker load balancing jo gerne. Hvad er det præcis det
>> er du gerne vil se?
>
> Om man har nogen inflydelse på korrektheden af oplysningerne
> i received headerne.

Fair nok. Det kan jeg ikke forestille mig nogen situation hvor du kan
have, udover det oplagte. IP'en bliver stemplet med over internt,
hostnavnet bruges ikke til noget som helst.

>> Btw: du har "rettet" den mailaddresse du aldrig bruger, men du
>> har ikke "rettet" din daimi-addresse... er det med vilje?
>
> Ja. Min daimi adresse står alligevel så mange steder, at det
> ikke kan betale sig at prøve at skjule den. Og eftersom jeg
> blev færdig med min uddannelse i sidste måned vil jeg
> alligevel så småt holde op med at bruge min daimi adresse.

Jamen tillykke med det. Så har du jo masser af tid til Usenet.

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

Niels Callesøe (05-01-2006)
Kommentar
Fra : Niels Callesøe


Dato : 05-01-06 08:23

Kasper Dupont wrote:

>> >> Received: from fep25.mail.dk ([80.63.59.54]) by fep34.mail.dk

>> >> Received: from listserv.politiken.dk ([80.63.59.54]) by
>> >> fep25.mail.dk

> Nej, det kan jeg godt se. Men hvorfor skriver fep34 en
> forkert IP adresse på? fep34 modtager mailen fra fep25,
> men det er ikke fep25, der skrives på som afsender.

Det har været oppe at vende i grupperne før, se for eksempel:
Message-ID: <Xns96ABE183FA851k5j6h4jk3@62.243.74.163>

--
Niels Callesøe - dk pfy
pfy[at]nntp.dk - http://www.t29.dk/~nica/disclaimer.php

This space for rant.

John (04-01-2006)
Kommentar
Fra : John


Dato : 04-01-06 23:48

"Fjollefrans" skrev i en meddelelse

> der lå forresten lige een mere i min inbox
> Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk

- også sortlistet:
http://www.whois.sc/83.32.237.4

Mvh John



Ukendt (04-01-2006)
Kommentar
Fra : Ukendt


Dato : 04-01-06 23:57

John wrote:
>
> "Fjollefrans" skrev i en meddelelse
>
> > der lå forresten lige een mere i min inbox
> > Received: from fep28.mail.dk ([83.32.237.4]) by fep35.mail.dk
>
> - også sortlistet:
> http://www.whois.sc/83.32.237.4

http://www.whois.sc/80.196.3.15

--
Kasper Dupont
#define _(_)"d.%.4s%."_"2s" /* This is my new email address */
char*_="@2kaspner"_()"%03"_("4s%.")"t\n";printf(_+11,_+6,_,6,_+2,_+7,_+6);

John (05-01-2006)
Kommentar
Fra : John


Dato : 05-01-06 00:08

"Kasper Dupont" skrev i en meddelelse

> http://www.whois.sc/80.196.3.15

oops! :))



Søg
Reklame
Statistik
Spørgsmål : 177558
Tips : 31968
Nyheder : 719565
Indlæg : 6408924
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste