Re: ^_^ meay-meay!

From: Erik Norgaard (none@norgaard--locolomo.org.lh.bsd-dk.dk)
Date: Thu 29 Apr 2004 - 17:33:03 CEST

Next message: Henrik Bøgh: "Re: ^_^ meay-meay!"
Previous message: Allan Jensen: "RE: pf problemer under bridging"
In reply to: Lennart Sorth: "Re: ^_^ meay-meay!"
Next in thread: Henrik Bøgh: "Re: ^_^ meay-meay!"
Reply: Henrik Bøgh: "Re: ^_^ meay-meay!"
Reply: Lennart Sorth: "virus scanning og From: adresser"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

Date: Thu, 29 Apr 2004 17:33:03 +0200 (CEST)
From: Erik Norgaard <none@norgaard--locolomo.org.lh.bsd-dk.dk>
To: bsd-dk@bsd-dk.dk
Subject: Re: ^_^ meay-meay!

On Thu, 29 Apr 2004, Lennart Sorth wrote:

> Nogen, med tilknytning til listen, må have virus, og
> udsendt mailen i mit navn.

Hvis du kigger i headeren kan du se hvor den kommer fra i det
sidste recieved felt. Både return-path og from er spoofede, men
alle mailserver indsætter et recieved felt hvor der bl.a. fremgår
det domæne afsender har identificeret sig som og det ip der har
etableret forbindelsen:

Received: from WINDA (unknown [202.51.237.242])
by hobbes.bsd-dk.dk (Postfix) with SMTP id CEB8AC3E72B
for <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>; Thu, 29 Apr 2004 04:41:05 +0200 (CEST)

Hvis ip kan slås op med reverse dns vil der stå hvilket domæne det
svarer til istedet for 'unknown'. Slår du op med whois, ser det ud
til at mailen kommer fra Indien.

Det er formentlig ikke nogen med tilknytning til hverken listen
eller Lennart.

Desværre er der alt for mange der sender mails til alle i addrese-
bogen med en joke el.lign. og lader alle adresserne være i to-feltet
fremfor at bruge bcc. Og så ryger ens adresse hurtigt vidt omkring.
Videre har/havde visse versioner af outlook eller outlook express en
default indstilling så alle nye addresser automatisk kom i adresse-
bogen.

> Det, der kan undre lidt er at amavisd på bsd-dk.dk altså
> ikke har fanget den. Men sådan er der jo så meget.

Jeg scannede med clamav:

Document.zip: Worm.Bagle.Gen-zippwd FOUND

> Hvis vi skal spore synderen, skal vi have listebestyreren
> til at grave mailen ud af loggen.

Det mener jeg headeren fint afslører. Man kan naturligvis sløre
sig ved at indsætte flere recieved felter inden mailen sendes
afsted, men der er kun eet ip der ikke hører til hobbes, så det
ser ikke ud til at være tilfældet.

Mvh Erik

GnuPG Key: http://www.locolomo.org/home/norgaard/norgaard.gpg.asc
pub 1024D/B02CC311 2004-04-05 Erik Norgaard <none@norgaard--locolomo.org.lh.bsd-dk.dk>
Key fingerprint = 6C11 B9B1 52BD F16D 34AD 9893 D3EC E6DB B02C C311

Next message: Henrik Bøgh: "Re: ^_^ meay-meay!"
Previous message: Allan Jensen: "RE: pf problemer under bridging"
In reply to: Lennart Sorth: "Re: ^_^ meay-meay!"
Next in thread: Henrik Bøgh: "Re: ^_^ meay-meay!"
Reply: Henrik Bøgh: "Re: ^_^ meay-meay!"
Reply: Lennart Sorth: "virus scanning og From: adresser"
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]
Mail actions: [ respond to this message ] [ mail a new topic ]

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:39 CET