[elektro] vírus levelezget

Acs Gabor levlista at e8e.eu
Fri Dec 7 12:49:05 CET 2012 

Azért kértem, hogy írjátok le, mint egy hülyegyereknek, mert az e-mailek 
forrásában a saját domainemet látom, de az IP címem sehol sincs.
Pl. itt egy, ahol beidézte a démon az eredeti levelet is:

------ This is a copy of the message, including all the headers. ------

Return-path:<levlista at e8e.eu>
Received: from [37.201.181.82] (port=64627 helo=e8e.eu)
	by server9.megacp.com with esmtpa (Exim 4.80)
	(envelope-from<levlista at e8e.eu>)

Az én IP címem meg úgy kezdődik, hogy 80.98


Gábor


2012.12.07. 12:27 keltezéssel, Móczik Gábor írta:
> te
> 2012.12.07. 10:46 keltezéssel, Hofferek Attila írta:
>> 2012.12.07. 10:44 keltezéssel, Acs Gabor írta:
>>> Pontosan mit kell néznem? Ha lehetne, úgy szájbarágósan, 'mint ha egy
>>> ötévesenek mondanád'
>> Átküldenél egy ilyen mailt nekem? Egyébként tb-ben rámész, ctrl+u
>> mutatja a forrást, és ott a received from: sorokat, hogy honnan adták
>> fel, hova közlekedett, stb. Meg ha a májerdémon beteszi a levél testébe
>> is, akkor ott is nézheted, a lényeg hogy egyik received from: sorban se
>> a te géped legyen, akkor nálad nincs teendő, ki kell várni míg lecseng a
>> dolog.
> Ez nem egészen jó.
>
> A fájl elejére szúródnak be a received headerek, tehát alul van az első,
> amit többnyire az az SMTP szerver illeszt be, aki tőled átvette a
> levelet. Ezt kell megnézni, hogy tőled vette-e át.
> Ott szokott lenni a HELO string, amiben gyakran a LAN IP benne van,
> illetve a WAN IP-is ott lesz valahol. Ha nem tudod hogy mi volt az IP-d
> akkor, azért azt még meg lehet nézni, hogy legalább a szolgáltatód IP
> tartományába esik-e ami a levélben van.
>
> Ezt a levelet viszont te nem látod, hanem a címzett. Neked nem ez jön,
> hanem a mailer daemon hibaüzenete, ami tőle jött neked, tehát ebben a
> received sorok között ő lesz a feladó.
>
> Ebben a levélben beidézett _eredeti_ levél (ami a hibaüzenetet
> kiváltotta) fejlécei között kell a fentieket megnézni. Ebből lehet
> eldönteni, hogy te küldted ki, hogy valaki más a te címedet odahamisítva.
>
> Jó esetben csatolva van az egész eredeti levél, vagy legalább egy
> preview+headerek. Ha nincs csatolva, akkor szopacs. Esetleg a
> szolgáltatóval felvenni a kapcsolatot, hátha tudnak segíteni.
>
> -----------------------------------------
>            elektro[-flame|-etc]
>

More information about the Elektro mailing list