Miten tulkitsen headereita?

Usein sähköpostispämmin otsikkotietoja (headereita) on yritetty väärentää, jotta viestin lähettäjän selvittäminen olisi vaikeampaa. Tässä dokumentissa annetaan pakostakin hiukan tekninen ohje headereiden tulkitsemiseen.

Headerien tulkinta onnistuu nopeasti ja vaivattomasti esimerkiksi SpamCopin automaattipalveluilla. Joskus on kuitenkin hyvä tietää itsekin, mistä on kyse. Tässä dokumentissa käsitellyssä tapauksessa SpamCop olisi lähettänyt valituksen oikeaan osoitteeseen.

Unix-käyttöjärjestelmän mukana tulevista työkaluista (nslookup, dig, traceroute, ...) on usein hyötyä spämmin alkuperän selvittämisessä. Jos näiden työkalujen käyttöön tai opetteluun ei ole mahdollisuutta, niin SamSpade.org ja UXN tarjoavat nämä palvelut webbipohjaisina.

SPAM-L-listan FAQ ja Stopspam.org:n ohje (englanniksi) sisältävät tätä dokumenttia kattavamman kuvauksen headerien tulkitsemisesta. MAPS RBL -projekti on tehnyt hyvän yleisesityksen spämmivalitusten tekemisestä.

Aluksi yhteenveto siitä, mihin spämmistä ei kannata valittaa:

Spämmerille itselleen (tämä johtaa yleensä vain lisääntyneeseen roskapostin määrään);
spämmissä annettuihin puhelinnumeroihin (usein nämä ovat kaiken lisäksi lisämaksullisia numeroita); ja
spämmissä mainostetun webbisivun tekijälle (sen sijaan webbisivujen palveluntarjoajalle voi ja usein kannattaa valittaa).

Tällä sivulla: esimerkki: spämmerin näkökulma - esimerkki: vastaanottajan näkökulma (received-kentät, muut otsikkokentät, spämmin sisältö, mihin tässä tapauksessa pitäisi valittaa)

Esimerkki: spämmerin näkökulma

Sähköpostispämmit lähetetään usein seuraavalla tavalla:

Tyypillisesti spämmeri ottaa yhteyttä johonkin avoimena releenä (open relay) toimivaan SMTP-palveluun väliaikaisesta osoitteesta, kuten dial-up-palvelusta. Avoin rele on SMTP-palveluja tarjoava kone, johon kuka tahansa voi ottaa yhteyttä ja lähettää sillä esimerkiksi spämmiviestin. Tällä tavalla spämmerit yleensä peittävät jälkensä. Spämmeri voi pyytää avointa relettä lähettämään saman viestin usealle vastaanottajalle: näin spämmeri säästää aikaa ja avoimen releen omistaja maksaa tietoliikennekulut. Oikein konfiguroitu postikone ei ole avoin rele: siitä voi lähettää postia vain oman organisaation sisältä.

Spämmeri voi kertoa avoimena releenä toimivalle SMTP-palvelulle valheellisesti ottavansa yhteyttä esimerkiksi koneesta whitehouse.gov ja olevansa esimerkiksi president@whitehouse.gov. Seuraavaksi spämmeri kertoo SMTP-palvelulle vastaanottajien sähköpostiosoitteet ja antaa viestin headereineen. Huomaa, että headereilla ei ole vaikutusta viestin kulkuun: spämmeri voi tässä vaiheessa antaa mitä tahansa headerikenttiä. Siksi esimerkiksi from-kentän sisältöön ei voi luottaa.

Jokainen viestiä välittänyt SMTP-palvelin lisää viestin alkuun uuden received-kentän. Ainoa asia, mikä voi varmasti viitata spämmeriin, on avoimena releenä toimivat SMTP-palvelimen lisäämä received-kenttä ja sen yläpuolella olevat received-kentät (Katso kommenttia Why Headers Don't Matter Procmail-FAQista). Mahdollisesti myös avoimen releen lokitiedostoihin on jäänyt hyödyllistä tietoa. Jos kyseessä on mainos, niin itse tekstissä on yleensä joitakin yhteystietoja, jotka voivat johtaa spämmerin jäljille.

Esimerkkinä lähetin itselleni osoitteeseen Kai.Puolamaki@iki.fi meilin ottamalla soul.helsinki.fi:stä telnet-yhteyden post.it.helsinki.fi:n SMTP-porttiin. Esittelin käyttämäni koneen whitehouse.gov:ksi ja annoin palautusosoitteeksi president@whitehouse.gov:n. Annoin kaksi headerikenttää: From-kentän, johon laitoin Bill Clintonin yhteystiedot, ja Subject-kentän. Olisin hyvin voinut antaa To-kentänkin, mutta en viitsinyt. Sillä kun ei ole mitään vaikutusta viestin kulkuun. Olisin voinut antaa myös Message-Id-kentän (esimerkiksi Message-Id: <1234567890.abcd@whitehouse.gov>). Nyt post.it.helsinki.fi lisäsi sen automaattisesti. Meili kulki post.it.helsinki.fi:stä Iki ry:n postikoneen (jatko.iki.fi) kautta rock.helsinki.fi:hin, jossa minulla on sähköpostilaatikko.

Tutkimalla viestin headereita seuraavassa kappaleessa kerrotulla tavalla esimerkkiviesti paljastuu helposti väärennökseksi. (Viestissä näkyvä X-Sorted-headeri on oman spämmisuodattimeni lisäämä.)

Esimerkki: vastaanottajan näkökulma

Sain seuraavanlaisen spämmin syyskuussa 1999. Spämmi on lähetetty osoitteeseen Kai.Puolamaki@iki.fi, joka on luultavasti saatu webbisivuillani käyneen automaattisesti sähköpostiosoitteita etsivän ohjelman avulla.

From bizlandt@excte.com  Sun Sep 12 04:13:00 1999
Received: from jatko.iki.fi (root@jatko.iki.fi [194.100.45.83])
        by rock.helsinki.fi (8.8.8/8.8.5) with ESMTP id EAA27963
        for <puolamak@pcu.helsinki.fi> Sun, 12 Sep 1999 04:12:58 +0300 (EET DST)
From: bizlandt@excte.com
Received: from lohi.clinet.fi (root@lohi.clinet.fi [194.100.0.7])
        by jatko.iki.fi (8.8.8/8.8.8) with ESMTP id EAA18974;
        Sun, 12 Sep 1999 04:12:21 +0300 (EET DST)
Received: from mail01.homewknow.com (XXXXXXXX.ipt.aol.com [152.207.128.XXX])
        by lohi.clinet.fi (8.9.1/8.9.0) with SMTP id EAA14525;
        Sun, 12 Sep 1999 04:13:26 +0300 (EEST)
Subject: LOSE 30 POUNDS IN 30 DAYS NOW!
Date: Sat, 11 Sep 1999 05:36:40
Message-Id: <623.484125.433456@mail01.homewknow.com>

*****AMAZING MELT AWAY FAT ABSORBER CAPSULES*****

... ja niin edelleen. Olen ylikirjoittanut joitakin osia headereista X-kirjaimilla.

Täydelliset otsikkotiedot saa esimerkiksi Mutt-postinlukuohjelmassa esille h-näppäimellä. Kaikissa postinlukuohjelmistoissa pitäisi olla vastaava toiminto (how can I view the headers with mail client X?).

Received-kentät

Spämmerin jäljille pääsee lukemalla received-kenttiä. Aina, kun viesti siirtyy verkossa SMTP-protokollaa käyttävältä koneelta koneelta toiselle, lisätään viestin alkuun uusi received-rivi. Ainoat luotettavat otsikkotiedot ovat received-rivit, aina siihen asti kunnes vastaan tulee tuntematon postikone.

Rock.helsinki.fi (käyttämäni postikone) on saanut viestin jatko.iki.fi:ltä (käyttämäni forwardointipalvelu).

Received: from jatko.iki.fi (root@jatko.iki.fi [194.100.45.83])
        by rock.helsinki.fi (8.8.8/8.8.5) with ESMTP id EAA27963
        for <puolamak@pcu.helsinki.fi>; Sun, 12 Sep 1999 04:12:58 +0300 (EET DST)

Jatko.iki.fi on saanut viestin lohi.clinet.fi:ltä.

Received: from lohi.clinet.fi (root@lohi.clinet.fi [194.100.0.7])
        by jatko.iki.fi (8.8.8/8.8.8) with ESMTP id EAA18974;
        Sun, 12 Sep 1999 04:12:21 +0300 (EET DST)

Tässä tapauksessa satun tietämään, että Iki ry käyttää Clinetin palveluja. Jos en tätä olisi tiennyt, olisi se selvinnyt komennolla

nslookup -query=MX
iki.fi

Non-authoritative answer:
iki.fi  preference = 10, mail exchanger = mail.iki.fi
iki.fi  preference = 11, mail exchanger = mail2.iki.fi
iki.fi  preference = 20, mail exchanger = mail.clinet.fi

Authoritative answers can be found from:
iki.fi  nameserver = ns.iki.fi
iki.fi  nameserver = ns2.iki.fi
mail.iki.fi     internet address = 194.100.45.84
mail2.iki.fi    internet address = 194.100.45.83
mail.clinet.fi  internet address = 194.100.0.7
ns.iki.fi       internet address = 194.100.45.83
ns2.iki.fi      internet address = 194.100.45.84

Tämä tarkoittaa, että jos joku lähettää minulle mailia osoitteeseen Kai.Puolamaki@iki.fi, niin meili lähetetään johonkin seuraavista koneista: mail.iki.fi, mail2.iki.fi tai mail.clinet.fi. IP-numeroista näkee (esimerkiksi komennolla

nslookup
194.100.0.7

), että lohi.clinet.fi (194.100.0.7) on sama kone kuin mail.clinet.fi.

Tarkistan vielä esimerkin vuoksi ORBSista, että lohi.clinet.fi ei ole avoin rele. Lohi.clinet.fi (194.100.0.7) ei ole avoin rele, mutta koska se välittää (ainakin nyt, 1999-09-21) postia kahdelta avoimelta releeltä, on se ORBSin boikottilistassa. Toinen kyseisistä avoimista releistä kuuluu suurelle suomalaiselle viikkolehdelle ja toinen elektroniikkakauppiaalle, jotka kumpikin ilmeisesti ostavat verkkopalvelunsa Clinetiltä. (Tämän vuoksi useat postipalvelut eivät hyväksy postia avoimilta releiltä. ORBSia käyttävät postipalvelut eivät hyväksyisi postia edes lohi.clinet.fi:ltä.) [Lisäys 1999-12-01: Asia on korjattu, lohi.clinet.fi ei enää ole ORBSin listassa. ORBS on sittemmin lopettanut toimintansa.]

Mail Abuse Prevention System (MAPS) tarjoaa myös tietokantoja, joka sisältävät spämmiä lähettäneiden koneiden IP-numeroita. Ero ORBSin ja sitä vastaavan MAPS RSSn välillä on, että MAPS listaa vain osoitteita, joita on jo käytetty spämmin lähettämiseen. MAPS RSS ei myöskään listaa niin sanottuja 3rd party -releitä.

Lohi.clinet.fi:lle mailin lähettänyt kone on esitellyt itsensä valheellisesti mail01.homewknow.com:ksi:

Received: from mail01.homewknow.com (XXXXXXXX.ipt.aol.com [152.207.128.XXX])
        by lohi.clinet.fi (8.9.1/8.9.0) with SMTP id EAA14525;
        Sun, 12 Sep 1999 04:13:26 +0300 (EEST)

Kyseistä osoitetta ei kuitenkaan ole olemassa. Komento


nslookup mail01.homewknow.com

antaa tuloksen

*** blues.helsinki.fi can't find mail01.homewknow.com: Non-existent
host/domain

Oikeasti meili tuli IP-osoitteesta 152.207.128.XXX (loppuosa peitetty), mikä viittaa osoitteeseen XXXXXXXX.ipt.aol.com. Katsotaan valitusosoite Abuse.netin tietokannasta. Vastaukseksi saadaan abuse@aol.com. Myös SpamCopin Host Tracker kertoo valitusosoitteen.

Joskus received-rivillä annetaan vain IP-osoite (tässä 152.207.128.XXX), joka tässä tapauksessa on ainoa luotettava viite valitusosoitteelle. Tässä tapauksessa se selvisi helposti AOL-osoitteeksi. Joskus tieto on kuitenkin kiven alla. Jos käytössä on unix-järjestelmä, olisi oikea osoite selvinnyt esimerkiksi komennolla dig -x 152.207.128.XXX. Jos unixin käyttöön ei ole mahdollisuutta, niin hyvä apukeino on käyttää SpamCopin Host Trackeria tai muita webbipohjaisia palveluja.

AOLin osoite 152.207.128.XXX ei ole ORBSin listassa, mutta kylläkin MAPS DUL -listassa (nettiblokki 152.200/13 sisältää dial-up-osoitteita tai vastaavia (tekninen yksityiskohta: /13 tarkoittaa, että kyseiseen blokkiin kuuluvat kaikki IP-osoitteet, joiden 13 ensimmäistä bittiä ovat samat kuin IP-osoitteessa 152.200.0.0)).

Muut otsikkokentät

Viestissä on kaksi from-riviä. Ensimmäinen from-rivi kertoo minkä nimen viestin lähettäjä on kertonut SMTP-protokollaa käyttävälle ohjelmalle, tyypillisesti unix-koneessa toimivalle sendmail-demonille:

From bizlandt@excte.com  Sun Sep 12 04:13:00 1999

Normaalisti postiohjelma antaa täksi nimeksi automaattisesti lähettäjän postiosoitteen. Spämmipostiohjelma voi kirjoittaa tähän vaikka president@whitehouse.gov, jos spämmeri niin haluaa. Virhetilanteissa postijärjestelmä lähettäisi vastausviestin tähän osoitteeseen.

Tässä tapauksessa osoite on luultavasti väärennetty. Osoite tosin voi olla oikea. Ainakin domain on olemassa. Komento nslookup -query=MX excte.com antaa seuraavan tuloksen:

Non-authoritative answer:
excte.com       preference = 10, mail exchanger = mail.excte.com

Authoritative answers can be found from:
excte.com       nameserver = NS5.WGN.NET
excte.com       nameserver = NS6.WGN.NET
mail.excte.com  internet address = 207.213.0.59
NS5.WGN.NET     internet address = 207.213.0.5
NS6.WGN.NET     internet address = 207.213.0.6

Tässä tapauksessa molemmilla from-riveillä on sama osoite: From: bizlandt@excte.com Jos haluaa, voi excte.comille ilmoittaa, että heidän järjestelmässään saattaa olla spämmerin postilaatikko. Abuse.netin tietokannan mukaan oikea osoite ilmoitukselle olisi postmaster@excte.com.

Sähköpostissa ei ole to-kenttää, jossa normaalisti on vastaanottajan sähköpostiosoite. To-kentällä ei ole mitään vaikutusta viestin kulkuun. To-kentän puuttuminen on tyypillistä spämmiviesteille.

Spämmin sisältö

Joskus spämmissä mainostetaan jotain webbiosoitetta. Usein webbiosoite on palveluntarjoajalla, jonka käyttöehdoissa kielletään sivujen mainostaminen spämmäämällä. Siksi valituksesta kannattaa lähettää kopio myös webbisivun palveluntarjoajalle. Webbisivun valitusosoitteen selvittäminen sujuu helpoiten käyttämällä SpamCopin Host Trackeria.

Spämmissä voidaan mainita myös jokin sähköpostiosoite. Usein annettu sähköpostiosoite on jossakin lukuisista ilmaispalveluista. Sähköpostiosoite voi toimia spämmerin yhteyspostilaatikkona tai niin sanottuna remove-boksina, johon vastaamalla, jos spämmeriin olisi uskomista, pääsee pois postituslistalta. Annettu osoite voi olla oikea, tai sitten ei. Ilmaisia sähköpostiosoitteita tarjoavat yritykset suhtautuvat spämmiin pääsääntöisesti erittäin kielteisesti. Esimerkiksi Yahoo! on haastanut oikeuteen spämmereitä, jotka ovat antaneet ymmärtää, että heillä olisi siellä postilaatikko. Siksi annetuista yhteyspostilaatikoista tai remove-bokseista kannattaa ilmoittaa sähköpostiosoitteiden palveluntarjoajille.

Mihin tässä tapauksessa pitäisi valittaa

Spämmistä pitäisi siis ensisijaisesti valittaa osoitteeseen abuse@aol.com. Mukaan pitäisi liittää koko spämmiviesti headereineen. Valitusviestistä voi lähettää kopion postmaster@excte.com:ille, jossa spämmerillä ehkä on postilaatikko, ja mahdollisen mainostetun webbisivujen tai sähköpostilaatikoiden palveluntarjoajalle.

AOL suhtautuu spämmiin vakavasti. Jotkut palveluntarjoajat kuitenkin viis veisaavat valituksista. Silloin kannattaa valittaa palveluntarjoajan palveluntarjoajalle. Palveluntarjoajan palveluntarjoaja löytyy esimerkiksi traceroute-komennolla (tässä /usr/sbin/traceroute 152.207.128.XXX). Komento näyttää, että AOLista seuraava palveluntarjoaja on alter.net.

Euroopan unionissa spämmäystä koskeva lainsäädäntö ei pääsääntöisesti aseta velvotteita internet-palveluntarjoajille. Oikeudellinen vastuu kuuluu spämmerille. Siksi spämmistä kannattaa valittaa palveluntarjoajien lisäksi myös asiaankuuluville viranomaisille.