关于邮件头的尝试分析

李暮楚

一般来 说邮件头中received部分是最可信的，当然这其中也有伪造的可能，但是一般来说发送者只能伪造前面的部分（逻辑上），后面的部分，也就是排上面的received是伪造不了的。
而且如果在一个received部分中，如果目标主机（by部分）是自己的邮件服务器的话；那么，这个received部分就可以说是真实可信的。我们下边的邮件头是从outlook收到的病毒邮件所取得的。
情况大致介绍：
该用户  jingh@domain.com收到merry christmas病毒信件后，执行了里面的程序（这个病毒的制造者够损的，居然用压缩格式传送文件，要是直接exe文件传送，早有方法解决了）

结果该病毒访问 地址薄后，给所有联系人发信不算，自己的pc不断收到垃圾邮件，而且自己也在发送！！我用isoqlog看了一下，今天收发了各 2000多。开始以为是这个账户被破解密码了，给这个账户修改密码也不行。除非 删除这个账户，但是不那么现实，我在badmailfrom里添加了@cannonet.ne.jp 后，qmailctl restart后，客户端的outlook还在收信件！！也不知道是继续收发呢，还是已经停止了但是还是从/home/vpopmail/jingh/里收信！！

Return-Path: <virusadmin@canonet.ne.jp>;
Delivered-To: jingh@我的域名.com
Received: (qmail 24345 invoked by uid 89); 15 Dec 2004 06:33:11 -0000
Received: from unknown (HELO outer1.canonet.ne.jp) (202.228.190.243)
by 0 with SMTP; 15 Dec 2004 06:33:11 -0000
Received: from vcheck1.canonet.ne.jp (vcheck1.canonet.ne.jp [202.228.190.241])
by outer1.canonet.ne.jp (Postfix) with SMTP id C6594210F1D
for <jingh@我的域名.com>;; Wed, 15 Dec 2004 15:17:55 +0900 (JST)
Received: from inner1.canonet.ne.jp(202.228.190.242) by vcheck1.canonet.ne.jp via csmap
id ee154532_4e60_11d9_9515_00304824a51c_11686;
Wed, 15 Dec 2004 15:17:00 +0900 (JST)
Received: from mw0.canonet.ne.jp (unknown [172.17.2.20])
by inner1.canonet.ne.jp (Postfix) with SMTP id 0FE701F4948
for <upawuni@nihon-monorail.or.jp>;; Wed, 15 Dec 2004 15:16:39 +0900 (JST)
Received: (qmail 21271 invoked from network); 15 Dec 2004 15:16:35 +0900
Received: from unknown (HELO mail.nihon-monorail.or.jp) (这个居然是我的mailserver的ip)
by mw0.canonet.ne.jp with SMTP; 15 Dec 2004 15:16:35 +0900
Message-ID: <x728809502.2506473388152214508@sowqbwcaa>;
From: JINGUANGHUI <jingh@我的域名.com>;
To: <upawuni@nihon-monorail.or.jp>;
Subject: Virus Alert: Merry Christmas!
Date: 悈, 15 12 2004
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_575_0615_04470252.44803575"
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180

如何停止该账户发信？？如何察看服务器正在做什么？尤其是发信，看/var/log/mail/??

注意：最上面的received部分有问题，by应该是我的主机名，但却是0!!
从时间上来看，最上面的那个received部分也奇怪，发信时间是东9区时间15:16,最后一个域居然是 06；33！！若是-0000表示格林尼治时间，那么东9区时间就是15:33,从日本到中国经过10多分钟是很正常的。
（难道我的主机被人控制了？？如何察看登陆纪录？？似乎并无异常。纪录明天公布。）

倒是第2部分的for的目标是最终账户，但是by的目标是日本的主机。
刚才ping了vcheck1.canonet.ne.jp 他的ip的确是202.228.190.241
而outer1的ip也的确是243.

海鹰

封IP不就得了吗

李暮楚

[root@mail new]# w
10:21:51  up 4 days,  2:06,  2 users,  load average: 0.07, 0.04, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU  WHAT
root     :0       -                Mon 8am   ?     0.00s  0.96s  /usr/bin/gnome-session
root     pts/0    :0.0             Thu 7pm  0.00s  0.24s  0.01s  w

[root@mail new]# last
root     pts/0        :0.0             Thu Dec 16 19:10   still logged in
root     pts/0        :0.0             Thu Dec 16 18:28 - 18:31  (00:03)
root     pts/0        :0.0             Wed Dec 15 14:48 - 18:24 (1+03:36)
root     :0                            Mon Dec 13 08:17   still logged in
reboot   system boot  2.4.20-8         Mon Dec 13 08:15         (4+02:09)

wtmp begins Sat Dec 11 19:47:29 2004

ｚｈｅｎｇｃｈａｎｇｍｅ??

李暮楚

[quote]原帖由 "海鹰"]封IP不就得了吗[/quote 发表：


今天早上来发现没有垃圾邮件了,看来是起作用了.用iptable封ip也不错,但是,我 不想太便宜了那小子!!   

到哪里去举报他??

海鹰

查他的IP所属电信，向所属电信查询IP的使用者资料。然后打他的手机

如果电信不管你，就直接黑掉电信的机器

我菜我怕谁

高人，佩服！

李暮楚

请教：我的红帽9的自带输入法不能输入中文了，怎么调出来？？

花老大：俺是小人物，如此大的作为想都不敢想~~~~

李暮楚

原帖由 "海鹰" 发表：
查他的IP所属电信，向所属电信查询IP的使用者资料。然后打他的手机

如果电信不管你，就直接黑掉电信的机器

IP ： 202.228.190.243
地址： 日本  CZ88.NET

我用qq上的ip库查的，谁能告诉我怎么跟日本方面联系，我到spam查了，目前该ip没有列入垃圾列表。怎么举报他呢？？