Virus nelle email....strane!

[Mr Anderson]

Salve posseggo una casella email di poste italiane e spesso ricevo email con
virus allegati ma non riesco a rintracciare il mittente perchè sembra dalle
intestazioni che l'email nasca all'interno dei server di poste italiane e
ciò mi sembra poco probabile

Ecco le intestazioni

codice:

Return-Path: <segretario@istituto.it>
Received: from relay.poste.it (192.168.44.178) by mailb.cs.poste.it
(7.0.020)
        id 4157AF6400020843 for mioindirizzo@poste.it; Tue, 28 Sep 2004
17:04:51 +0200
Received: from sergret.org (192.168.144.137) by relay.poste.it (7.0.028)
        id 40A374BF0016EFC9 for mioindirizzo@poste.it; Tue, 28 Sep 2004
17:04:51 +0200
Date: Tue, 28 Sep 2004 17:09:41 +0100
To: "Mio nome" <mioindirizzo@poste.it.it>
From: "Segretario" <segretario@istituto.it>
Subject: RE: Protected message
Message-ID: <lljrnmkljgewrshejoe@poste.it>
MIME-Version: 1.0
Content-Type: multipart/mixed;
        boundary="--------gebjelsxlhtpnqqqrwun"

L'ipotesi poi che i loro server siano infettati dal worm beagle mi pare alquanto improbabile perchè, preciso, i virus nella mia
casella non arrivano, ma giungono solo le notifiche di avvenuta rimozione ad opera dell'antivirus.
E' assolutamente impossible che queste email provengano da fuori la rete di
poste italiane? Le intestazioni si possono "falsificare"?

[Lardoman 2.0]

il mittente si può falsificare...e anche molto facilmente

cmq se l'antivirus li blocca non preoccupartene neanche , arrivano a tutti

[ZeroCool981]

Originariamente inviato da Mr Anderson perchè, preciso, i virus nella mia casella non arrivano, ma giungono solo le notifiche di avvenuta rimozione ad opera dell'antivirus.

guarda non è possibile falsificare i pop utilizzati, al max l'indirizzo del mittente, ma è anche impossibile che a te i virus via mail non arrivano mai. diciamo che sei stato fortunato che finora non ti sei beccato un virus via mail appena uscito.

[Mr Anderson]

Originariamente inviato da ZeroCool981
guarda non è possibile falsificare i pop utilizzati, al max l'indirizzo del mittente, ma è anche impossibile che a te i virus via mail non arrivano mai. diciamo che sei stato fortunato che finora non ti sei beccato un virus via mail appena uscito.

quindi pensi che il problema dipenda da qualche pc infettato della rete di poste???

[Lardoman 2.0]

il pop è falsificabilissimo.... bastano 2 righe con telnet

[Habanero]

nessuna falsificazione... basta che il virus si colleghi direttamente al server SMTP di poste.it....

in pratica si è collegato al server relay.poste.it usando come nome sergret.org (il nome presentato con il camando HELO o EHLO).

relay.poste.it è sicuramente il sever smtp visibile all'esterno della rete di poste.it. Questo ha recapitato l'email ad un secondo server mailb.cs.poste.it che probabilmente provvede a distribuire la posta internamente alle caselle di posta degli utenti.


gli smtp utilizzati NON si possono falsificare, l'unica cosa che è possibile fare (lo fanno gli spammer) è aggiungere dei server fasulli ma questi saranno sempre gli ultimi negli header (leggendo gli header dall'alto al basso). I primi in lista (cioè gli ultimi attraversati) sono sempre necessariamente veri.

[Mr Anderson]

Originariamente inviato da Habanero
nessuna falsificazione... basta che il virus si colleghi direttamente al server SMTP di poste.it....

in pratica si è collegato al server relay.poste.it usando come nome sergret.org (il nome presentato con il camando HELO o EHLO).

relay.poste.it è sicuramente il sever smtp visibile all'esterno della rete di poste.it. Questo ha recapitato l'email ad un secondo server mailb.cs.poste.it che probabilmente provvede a distribuire la posta internamente alle caselle di posta degli utenti.


gli smtp utilizzati NON si possono falsificare, l'unica cosa che è possibile fare (lo fanno gli spammer) è aggiungere dei server fasulli ma questi saranno sempre gli ultimi negli header (leggendo gli header dall'alto al basso). I primi in lista (cioè gli ultimi attraversati) sono sempre necessariamente veri.

ma perchè non esce fuori l'ip del computer da cui è partito?se io invio una mail vien fuori il mio indirizzo. Come fa beagle a far nascondere l'ip del computer infettato????

[Mr Anderson]

up

[cso]

Devi sapere che con telnet ti possono inviare una mail con le seguenti falsificazioni:
anno, mese, giorno, ora, minuti, secondi...
indirizzo mail...ovvio
IP...
[se ne ho dimenticato qualcuno avvisatemi :master: ]
basta inviare una mail con telnet e il gioco è fatto ma ricordati che anche un virus può falsificare tutti questi campi.

[Habanero]

Originariamente inviato da Mr Anderson
ma perchè non esce fuori l'ip del computer da cui è partito?se io invio una mail vien fuori il mio indirizzo. Come fa beagle a far nascondere l'ip del computer infettato????

in effetti l'anomalia esiste, ammetto di avere guardato gli header un po' superficialmente...

Received: from sergret.org (192.168.144.137) by relay.poste.it (7.0.028).......

Questo è il Received inserito dal primo server e l'indirizzo dell'utente che lo ha contattato è 192.168.144.137 che è un indirizzo privato... che quindi, come dici tu, pare debba provenire dalla rete di poste.it. Anch'io escludo una infezione della rete.

Una vera spiegazione non te la so dare... ma non ho capito esattamente cosa contenga l'email. Una notifica di rimozione virus da parte di chi? del tuo antivirus? o di un antivirus di poste.it? (non conosco il servizio di poste.it e se fornisca una controllo antivirus) perchè in quest'ultimo caso tutto potrebbe avere un senso...