Analizziamo l'header di una mail: spam o furto di account?

18 Giugno 2010

Prendo spunto dal fattaccio che ha avuto come protagonista il mio account email di yahoo, per spiegare a grandi linee, come analizzare l'header di una email. L' header contiene moltissime informazioni sul mandante della mail; ci permette di sapere se ha spedito tramite un client di posta (es. Thunderbird, Outlook, ecc...) o via web, che sistema operativo ha utilizzato per l'invio e anche il suo indirizzo IP. In questo articolo analizzerò l'header della mail che l'hacker entrato nella mia casella di posta, ha inviato a tutti i miei contatti, confrontandola con una mail qualsiasi che ho inviato in passato dal mio pc. Il mio account era ospitato da yahoo, ma tutti i ragionamenti che affronteremo nell'articolo valgono per tutti i provider di posta, free e non, poichè le regole di scambio di messaggi elettronici, sono sempre quelle. Le mail si possono leggere e inviare in due modi sul pc: tramite un client di posta (io uso thunderbird) oppure direttamente dal server che ospita la nostra casella, utilizzando un' interfaccia (tipo squirrelmail) chiamata in generale webmail. Io non uso la webmail, consulto ed invio mail dal mio client di posta, direttamente dal mio pc, raramente invio mail da web e di fatto ci accedo pochissimo. Un virus quindi potrebbe spedire direttamente dal nostro programma di posta, email indesiderate ai nostri contatti, oppure via web, qualcuno potrebbe scovare la password, accedere alla casella ed inviare le mail di spam direttamente da web. Analizzando gli header, si può capire da dove è partita una mail e capire se si tratta di un virus sul vostro pc, oppure se qualcuno è entrato nella webmail. Questo è una parte dell'header di una mail che ho inviato dal mio pc:
Received: from dynamic-adsl-78-12-xxx-39.clienti.tiscali.it (luca.scalvi@78.12.xxx.39 with plain) by smtp133.mail.ukl.yahoo.com
Agente-Utente: Mozilla/5.0 (X11; U; Linux x86_64; en-US; rv:1.9.1.9) Gecko/20100423 Thunderbird/3.0.4
Nella prima riga, si può vedere in chiaro l'ip e il nome dell'host del mittente. La seconda riga invece ci dice che software è stato usato per l'invio (thunderbird) ed anche il sistema operativo usato dall'utente (Linux x86_64) e addirittura il tipo di architettura del sistema! Consideriamo per un momento che non esista nessuna tecnica per falsificare gli header, in questo caso, queste due righe di header mi danno la certezza al 100% che il mittente sono stato io. Se una mail di spam, inviata con il vostro account, contiene il vostro IP e il vostro client, vuol dire che siete infetti da un virus che invia mail indesiderate direttamente dal vostro PC. La mail di spam ricevuta dai miei contatti, non conteneva queste informazioni, percui ho escluso che il mio pc fosse infetto; vediamo perchè. Questa è la parte della mail di spam mandata dal mio account:
Received: from [123.52.40.128] by web24506.mail.ird.yahoo.com via HTTP; Fri, 04 Jun 2010 17:57:02 GMT
X-Mailer: YahooMailClassic/11.0.8 YahooMailWebService/0.8.103.269680
La riga Agente-utente (user-agent) non c'è più, ma appare X-Mailer, il cui valore è YahooMailClassic MailWebService, chiaramente riporta che per l'invio è stato utilizzata l'interfaccia webmail. L'ip che si vede nella prima riga non è il mio, ma è un IP cinese....dai? che strano eh? Questa è una analisi che nella maggior parte dei casi, vi aiuta a capire cosa c'è che non va, ed in che modo è stato sfruttato il vostro account. Un caso che potrebbe insospettirvi è che potrebbe arrivarvi una mail da voi stessi! ovviamente è un falso e basta verificarlo guardando qui:
Mittente: Luca Scalvi 
Il nome del mittente è il vostro o il vostro indirizzo email, ma tra < e > l'indirizzo sarà diverso. Se è il vostro indirizzo invece, fareste meglio a verificare anche le righe che ho descritto sopra. L'header completo di una mail è molto più complesso, comprende anche informazioni sui server interessati all'invio della mail, all'ID della mail e ad altre informazioni proprie del client utilizzato per l'invio. Ecco l'header completo della mail di spam inviata dal mio account:
Oggetto: Re:We Share
Mittente: Luca Scalvi 
Data: Fri, 4 Jun 2010 17:57:02 +0000 (GMT)
A: dem@heyos.com
X-Account-Key: account2
X-UIDL: AOZy+FcAAXGaTAk+bgoVN0NdCXw
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Apparently-To: luca.scalvi@yahoo.it via 87.248.114.230; Fri, 04 Jun 2010 17:57:02 +0000
X-YMailISG: YXitx7UWLDv0a7zJMr9hK.XlxamPCR8eFa5MDdVgj5huS_jAoDvgt7z5Yz8OmDFHc9eT7k8oMhKE.VbkLzJBfxRjRVOwsEgwX2l
X-Originating-IP: [87.248.114.233]
Authentication-Results: mta1056.mail.ird.yahoo.com from=yahoo.it; domainkeys=pass (ok); from=yahoo.it; dkim=pass (ok)
Received: from 127.0.0.1 (HELO web24506.mail.ird.yahoo.com) (87.248.114.233) by mta1056.mail.ird.yahoo.com with SMTP; Fri, 04 Jun
Received: (qmail 77892 invoked by uid 60001); 4 Jun 2010 17:57:02 -0000
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=yahoo.it; s=s1024; t=1275674222; bh=c1an8hrsFUk1v6X6Rebz5CxPpqbsS
DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=s1024; d=yahoo.it; h=Message-ID:X-YMail-OSG:Received:X-Mailer:Date:From:Su
ID-Messaggio: <208966.77023.qm@web24506.mail.ird.yahoo.com>
X-YMail-OSG: xcjHiM4VM1kV6RfGxJKuGLxXyBd368C9VJL_7llLPryYmUz L1PxH31eayNCtO3RWTVzkbXBVMyuN9CDtr4xBqoxomcmbZzg
Received: from [123.52.40.128] by web24506.mail.ird.yahoo.com via HTTP; Fri, 04 Jun 2010 17:57:02 GMT
X-Mailer: YahooMailClassic/11.0.8 YahooMailWebService/0.8.103.269680
Versione-MIME: 1.0
Content-Type: multipart/alternative; boundary="0-1358581524-1275674222=:77023"



X
THE END