Come falsificare una mail

Articoli

ATTENZIONE: in questo documento vi verrá spiegato tra l'altro come spedire messaggi di posta elettronica falsificando il campo From :, tuttavia tenete presente che, come verrá documentato, in realtá l'host tramite il quale spedite il messaggio conserva un campo MESSAGE IDxxxxx nel quale sono dettagliatamente riportati i dati reali (ora e IP) di chi scrive il messaggio.
Ovvero non avrete mai la garanzia completa dell'anonimato, qualora pensaste di utilizzare quanto segue per mandare messaggi minatori o simili.
Il contenuto di questo articolo puó dunque essere di qualche utilitá per capire meglio i meccanismi di trasmissione/ricezione della posta o per divertirvi con i vostri amici firmandovi ad esempio bill.gates@microsoft.com :-).
Ovvero, se vi arrestano non ve la prendete con me! :-)

Chiunque abbia avuto a che fare con la configurazione di un programma per scrivere posta elettronica da Internet si sará reso conto che è assolutamente necessario al programma conoscere il nome di un certo SMTP server ovvero il server dedicato alle outgoing mail oltre ad alcune informazioni sull'utente.
Siccome tuttavia a noi utenti di Linux piace molto lavorare il piú possibile senza programmi che facciano da tramite tra noi e l'azione che vogliamo eseguire, vediamo in dettaglio cosa accade quando ci mettiamo in contatto con questo server.

SMTP SERVER: Quando deve spedire un messaggio di posta elettronica il nostro programmino (io ad esempio uso Pine) si collega alla porta 25 dell'SMTP SERVER e fornisce alcuni comandi che ora vedremo nel dettaglio. Proviamo dunque a collegarci alla porta 25 di un qualsiasi server SMTP, per esempio sibervision.com.

Riporto di seguito una sessione qualsiasi

telnet sibervision.com 25
Connected to sibervision.com.
Escape character is '^]'.
220 ESMTP www15.clever.net Sendmail 8.8.5/8.6.9 ready at Wed, 19 Mar 1997 19:54:47 -0500 (EST)
HELO default
250 www15.clever.net Hello swrm250-126.iol.it [194.21.250.126], pleased to meet you
MAIL FROM: pd.gabanaz@iol.it
250 pd.gabanaz@iol.it... Sender ok
RCPT TO: pd.gabanaz@iol.it
250 pd.gabanaz@iol.it... Recipient ok
DATA
354  Enter mail, end with "." on a line by itself
subject: Ma sei scemo che ti mandi i messaggi da solo??
in effetti mi sento molto solo :-)
.
250 TAA18303 Message accepted for delivery
QUIT

Vediamo un po in dettaglio cosa è successo...ovviamente le linee precedute da numeri sono le risposte dell'host a cui mi sono collegato.
Non appena entriamo nella porta 25 ci viene comunicato che in quella porta è funzione una versione di Sendmail, proprio il programma dedicato alla consegna di messaggi di posta elettronica;
tramite il comando HELO... ci presentiamo e molto cordialmente sendmail ricambia il saluto (250 www....pleased to meet you) A questo punto diciamo tramite il comando MAIL FROM: quale indirizzo va inserito nel campo From:, quello al quale poi verranno inviate eventuali repliche, dopodiche' con RCPT TO: diciamo a sendmail a chi deve recapitare questa mail e tramite il comando DATA inseriamo rispettivamente il subject del messaggio, il testo vero e proprio ed un punto da solo su una linea per comunicare la fine del messaggio.
A questo punto la linea 250 TAAA18303 Message... ci dice che il messaggio con TUTTI i dati di chi lo spedisce è stato memorizzato e verrá recapitato al piú presto

Bene, spedito il messaggio andiamo a controllare con Pine che cosa è successo:
Se ritiriamo la posta e diciamo a Pine di visualizzare tutti i campi vediamo quanto segue:

(8.8.3/8.6.12) with ESMTP id BAA02914 for ; Thu, 20 Mar 1997 01:56:31 +0100
From: pd.gabanaz@iol.it
Received: from swrm250-126.iol.it [194.21.250.126] by www15.clever.net
(8.8.5/8.6.9) with SMTP id TAA18303 for pd.gabanaz@iol.it; Wed, 19 Mar 1997
19:55:40 -0500 (EST)
Date: Wed, 19 Mar 1997 19:55:40 -0500 (EST)
Message-Id: <199703200055.TAA18303@www15.clever.net>
subject: Ma sei scemo che ti mandi i messaggi da solo??
in effetti mi sento molto solo :-)

ebbene abbiamo spedito una e-mail direttamente dalla porta 25 del nostro SMTP host!

È facile verificare che semplicemente cambiando alcuni dati in fase di impostazione possiamo spedire quella che viene comunemente denominata fake mail, ovvero messaggi "truccati di posta elettronica"...anziché ripetere la procedura esplicativa sottopongo semplicemente alla vostra attenzione il log di una sessione in cui ho spedito, sempre a me stesso, una fake-mail:

telnet sibervision.com 25
Connected to sibervision.com.
Escape character is '^]'.
220  ESMTP www15.clever.net Sendmail 8.8.5/8.6.9 ready at Wed, 19 Mar 1997 19:54:47 -0500 (EST)
HELO vediamo.che.succede.com
250 www15.clever.net Hello swrm250-126.iol.it [194.21.250.126], pleased to meet you
MAIL FROM: hey@funziona
250 hey@funziona... Sender ok
RCPT TO: pd.gabanaz@iol.it
250 pd.gabanaz@iol.it... Recipient ok
DATA
354 Enter mail, end with "." on a line by itself
subject: sembra carino, no?
ciao ciao
.
250 TAA18303 Message accepted for delivery
QUIT
221 www15.clever.net closing connection

E questo è al solito il risultato:

X-POP3-Rcpt: pd.gabanaz@iol-mail.iol.it
Return-Path: hey@funziona
Received: from www15.clever.net (root@[208.5.1.1]) by iol-mail.iol.it
(8.8.3/8.6.12) with ESMTP id BAA02914 for ; Thu, 20 Mar 1997 01:56:31 +0100
From: hey@funziona
Received: from vediamo.che.succede.com (swrm250-126.iol.it
[194.21.250.126]) by www15.clever.net (8.8.5/8.6.9) with SMTP id TAA18303
for pd.gabanaz@iol.it; Wed, 19 Mar 1997 19:55:40 -0500 (EST)
Date: Wed, 19 Mar 1997 19:55:40 -0500 (EST)
Message-Id: <199703200055.TAA18303@www15.clever.net>
subject: sembra carino, no?

ciao ciao

Come vedete questa volta "sembra" che la lettera sia stata spedita dall'host:

vediamo.che.succede.com

e che il mittente sia un certo:

hey@funziona

Ovviamente all'utente piú esperto non sfuggirá il fatto che in realtá accanto a:

vediamo.che.succede.com

si trova esplicitamente il nome di un provider che non coincide proprio con quel che vorremmo sembrasse, peró tenete presente che quasi mai si guardano tutti i campi di una mail, quindi per fare qualche scherzetto innocente andrá piú che bene !

Una ultima nota: in tutti i messaggi compare un identificatore di messaggio, ebbene tramite quello, facendone eventualmente richiesta al sysop, chiunque abbia spedito fakemail è rintracciabile, poiché in esso sono racchiusi data, ora e IP di chi si collega, ovvero tutti i dati necessari per decodificare la provenienza del messaggio.
Inoltre a seconda delle versioni di Sendmail che compaiono possono esservi alcune modificazioni; potrebbero per esempio comparire al posto del campo From un Apparently from o anche un Apparently to, tuttavia vale quanto sopra, cioé difficilmente si guarda a questi campi; in alcune implementazioni di Sendmail sono presenti anche i comandi di help, quindi una volta entrati alla porta 25 provate il comando HELP per vedere se è disponibile, ed eventualmente date un'occhiata alle possibilitá che avete.

di Paolo Dell'Unto

TCP Wrapper About Copertina Make