mi hanno inviato un virus. Posso usare gli header per scoprire il colpevole?

[tarr]

salve,
mi hanno inviato un virus via email. Siccome sospetto sia stato un atto deliberato vorrei sapere se tramite l'header dell'email posso risalire al colpevole o rivolgermi ad un servizio.
Questo è l'header:
MSO-patch
From - Mon Apr 07 18:32:35 2003
X-UIDL: 1049732347.26794.ibm20.webhosting.it
X-Mozilla-Status: 0011
X-Mozilla-Status2: 10000000
Return-Path: <adminescup@lutherking.com>
Delivered-To: pigrecoemme-com-info@pigrecoemme.com
Received: (qmail 26791 invoked from network); 7 Apr 2003 16:19:06 -0000
Received: from terminator.com (HELO rotanev.com) (216.121.191.254)
by ibm20.webhosting.it with SMTP; 7 Apr 2003 16:19:06 -0000
Received: from lutherking.com (213-96-169-51.uc.nombres.ttd.es [213.96.169.51])
by rotanev.com Dinamail Server with SMTPœ id h37G4Xp02842;
Mon, 7 Apr 2003 09:04:33 -0700
Message-Id: <200304071604.h37G4Xp02842@rotanev.com>
Subject: Re: Reply on account for IIS-Security
From: Escuela Superior<infoservi@domeus.es>
Date: 7 Apr 2003Reply-To: Escuela Superior<infoservi@domeus.es>
X-Priotity: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50
X-MimeOLE: Produced by Microsoft MimeOLE v 5.50
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--ABCDEF"

[Habanero]

Questo è l'output di Spam Analyser (http://mail.vene.dave.it/analisi.shtml):
ti consiglio comunque ti visitare la pagina e copiare dentro il form l'intestazione. Nel copiare qui il testo si sono persi alcuni link interessanti.



- Dominio dell'email utilizzata come drop-box (header From:): domeus.es

- Percorso eseguito dall'email:

1) L'utente "lutherking.com" (213-96-169-51.uc.nombres.ttd.es 213.96.169.51) ha inviato l'email a rotanev.com
2) "terminator.com" (HELO rotanev.com 216.121.191.254) ha inviato l'email a ibm20.webhosting.it


- Schema dei server attraversati (1):

SPAMMER --> rotanev.com --> ibm20.webhosting.it --> CASELLA LOCALE


- Server utilizzato per inviare l'email (2) (5): rotanev.com

- Server presente in blacklist: vedi openrbl

- Indirizzo IP dello spammer (3): 213.96.169.51

- NS Lookup dell'ip dello spammer (213.96.169.51): 213-96-169-51.uc.nombres.ttd.es

- IP Block a cui appartiene 213.96.169.51: vedi database RIPE

- Abuse.net: E-mail da contattare per 213-96-169-51.uc.nombres.ttd.es: seguridad.backbone@telefonica-data.com

- Abuse.net: E-mail da contattare per la drop-box (Superiorinfoservi@domeus.es) (4): postmaster@domeus.es


NOTE:
(1): Vengono considerati tutti gli header dell'email. Potrebbero però essercene alcuni falsificati e quindi l'analisi non sarebbe più valida. Accertarsi sempre che non ci siano intestazioni false.
(2): Dato che questo messaggio non è stato ricevuto dal nostro server l'informazione potrebbe non essere attendibile. Infatti nel caso in cui il tuo provider registri negli header dei passaggi a server interni, l'email potrebbe sembrare aver avuto origine dal tuo stesso provider. Se è così , più probabilmente si tratta di un caso di spam Direct-to-MX.
(3): In alcuni casi questo IP potrebbe non essere realmente quello dello spammer ma quello di un proxy aperto che non lascia traccia negli header. Lo si potrebbe verificare attraverso openrbl.
(4): Fare attenzione a questo campo. Il mittente dello spam potrebbe essere falso o inventato anche se il formato dell'indirizzo email è corretto. Quindi anche l'indirizzo che compare in questo campo potrebbe non esistere in quanto abuse.net, se non trova il record nel proprio database restituisce come valore di default postmaster@dominio.
(5): Se l'email è partita localmente da un mailserver (ex. localhost o 127.0.0.1), quest'informazione potrebbe non essere attendibile. In questo caso il server utilizzato per inviare l'email è direttamente l'IP dello spammer.



--------------------------------------------------------------------------------
CONCLUSIONE

Il messaggio di spamming con oggetto "Re: Reply on account for IIS-Security" è stato inviatoda un utente che si è presentato come "lutherking.com" al server rotanev.com (vedere (1) e (2)).
Il server utilizzato per inviare il messaggio è rotanev.com. Sarebbe opportuno innanzi tutto verificare se si tratta o meno di un relay aperto attraverso openrbl (cioè se accetta di inviare email da parte di chiunque invece che accettarle solo dai proprio utenti) e, in tal caso, è necessario avvisare il postmaster in modo tale che possa correggere il problema. In entrambi i casi è opportuno inviare a postmaster@rotanev.com gli header dell'email di spamming ricevuta. (sempre tenendo conto di (5) e di (2))
L'indirizzo IP dello spammer è 213.96.169.51 (vedi (3)). Questo è molto importante dato che proprio grazie a questo IP può essere rintracciato.
L'indirizzo IP 213.96.169.51 si risolve in 213-96-169-51.uc.nombres.ttd.es. Pertanto sembra appartenere al provider ttd.es.
Si può quindi scrivere un'e-mail a seguridad.backbone@telefonica-data.com affinchè vengano presi i dovuti provvedimenti nei confronti del proprio utente.
Il provider al quale lo spammer si appoggia per la sua drop-box (casella di posta presente nell'header From:) Superiorinfoservi@domeus.es è domeus.es (vedere (4)).
Possiamo quindi scrivere a postmaster@domeus.es affinchè la casella venga chiusa.

[tarr]

Grazie, quel sito è uno strumento eccezionale.