(Mail Tutorial parte 1) Falsificare una mail

NOTA IMPORTANTE:
le informazioni qui presentate non costituiscono materiale illegale, riservato o coperto da segreto industriale, ma sono di pubblico dominio.

Visto, inoltre, l’attuale stato del protocollo SMTP, queste tecniche da sole NON BASTANO per inviare mail anonime o spam, per cui non costituiscono alcun tipo di favoreggiamento in azioni illegali o discutibili.

Crescent of Darkness pubblica questo tutorial nell'ottica di “Condivisione della Conoscenza” che la contraddistingue ed in cui crede e nella speranza che ciò aiuti la comprensione del funzionamento del protocollo SMTP con annessi relativi rischi e pericoli.

Crescent of Darkness declina ogni responsabilità per eventuali usi illeciti o discutibili delle tecniche descritte in questo documento.

Come dice giustamente Corrado Giustozzi in "Segreti spie e codici cifrati": un conto e' guidare un'automobile che sappiamo avere i freni guasti, un conto guidarne una che crediamo sia perfettamente funzionante ma che poi, al primo tornante, ci accorgiamo essere senza freni.

Questo documento ha come scopo da un lato quello di illustrare i punti deboli e le false sicurezze del sistema di posta elettronica, dall'altro quello di fornire una piccola “guida alla difesa” in modo che gli utenti siano preparati e consci dei rischi che corrono usando il protocollo SMTP.

Le informazioni qui contenute, inoltre, possono essere di enorme aiuto nel caso di denuncia di una e-mail alle autorità giudiziarie.


Scusate ma questo dovevo scriverlo per tutelarmi :P

Ed ora veniamo al sodo: questo è il primo di due thread che costituiscono una sorta di “guida al buon uso delle caselle mail”.

Nel primo thread (questo) viene spiegato come funziona il protocollo di invio delle mail, seguito da un esperimento di invio di una mail contraffatta.

Nel SECONDO THREAD vedremo come tracciare la stessa mail indietro fino al computer che la ha mandata, imparando cosi’ a difenderci da mail anonime, minatorie, infette o altro.

Iniziamo?

COME FUNZIONA SMTP

Il concetto di Posta Elettronica è un concetto decisamente fuorviante.
Nella posta normale una lettera viene chiusa in un busta che ne garantisce la riservatezza e viene aperta solo dal destinatario.

Le e-mail non sono assolutamente così.

Potremo dire che assomigliano più al gioco del “telefono senza fili”, quel gioco, cioé, in cui un partecipante sussurra un messaggio nell’orecchio del suo vicino, questo fa lo stesso con quello accanto e via di questo passo fino al destinatario.

LA PRIVACY NELLE MAIL NON ESISTE!

Nella “realtà informatica” il vostro programma di posta (o sito internet) letteralmente “detta” la mail ad un server, questo server fa lo stesso con un altro server e via dicendo fino al destinatario.

La lingua usata per questa comunicazione è SMTP, che sta per Simple Mail Transfer Protocol (protocollo di trasferimento di posta semplice) o a volte ESMTP, cioé Extended SMTP (“SMTP Esteso”).

SMTP non è una lingua così difficile.
A dire il vero potete impararla benissimo anche voi, ed è quello che faremo in questa prima parte.

Usando SMTP faremo le stesse operazioni che fa un programma di posta e “detteremo” ad un server una mail fasulla che poi analizzeremo nella seconda parte.


COSA VI SERVE

Vi serve un programmino splendido (forse l’unico vero bel programma di windows) chiamato Telnet.

Telnet è presente su tutti i sistemi, quindi non dovete procurarvelo in giro per la rete.

Ovviamente vi serve un collegamento internet e dovreste sapere a quale indirizzo il vostro programma di posta spedisce le mail.

Io sono su tiscali, ad esempio, ed il mio indirizzo è smtp.tiscali.it . Trovate il vostro (dovrebbero avervelo comunicato con l’abbonamento)

Ah: vi serve anche un po’ di pazienza e di attenzione visto che usando telnet non esiste il backspace, cioé non potete correggere se avete sbagliato a scrivere. Niente paura: il massimo che vi succede è che la mail venga rifiutata e che dobbiate ricominciare da capo.


COMINCIAMO

Connettetevi ad internet... vabbé, se state leggendo questo testo facilmente lo siete già :P

Su windows andate sul tasto START e poi su Esegui.
Su Linux da una console

scrivete:
telnet indirizzo 25

Per indirizzo intendo l'indirizzo in uscita del vostro server di posta.
Dovrebbero avervelo detto con il contratto.
Ad esempio io uso tiscali ed il mio e': smtp.tiscali.it .

25 dopo l’indirizzo indica a che porta del server ci stiamo connettendo. La porta 25 è quella usata per SMTP, quindi niente di strano.

Premete invio e si aprirà una finestra con delle scritte. Per ora ignoriamole.

Dobbiamo impostare un parametro essenziale o non capirete nulla:

Su windows 9x andate su Terminale > Preferenze e abilitate la casella Echo Locale
Su win2000 o NT scrivete set LOCAL_ECHO
Su WinXP scrivete set echolocal (mi pare)
Su linux credo sia gia' abilitato.

Ok adesso possiamo dedicarci all’invio della mail :D

Per prima cosa diamo un’occhiata a quello che il nostro mail server ci ha detto:

220 mail-relay-1.tiscali.it ESMTP Service (7.0.027) ready

Tiscali ci saluta e ci dice che sa usare ESMTP.
A noi non serve perché useremo il vecchio SMTP

A questo punto dobbiamo presentarci.
Per presentarci usiamo il comando HELO (con una L sola) oppure EHLO se vogliamo avere più informazioni dal server, seguito da un nome scelto da noi.

Proviamo il secondo:
ehlo pippo

Il server risponde con:

250-mail-relay-1.tiscali.it
250-DSN
250-8BITMIME
250-PIPELINING
250-HELP
250-AUTH CRAM-MD5 DIGEST-MD5 PLAIN
250-DELIVERBY 300
250 SIZE

Questi sono tutti dati che il server ci comunica e che noi possiamo ignorare senza problemi

Iniziamo dicendogli da chi proviene la mail.
Possiamo inserire quello che ci pare, quindi proviamo con:

MAIL FROM: <osama@alqaeda.com>


Il server risponde con:

250 MAIL FROM:<osama@alqaeda.com> OK


Ricordatevi che questo forum aggiunge NOSPAM automaticamente prima della chiocciolina. Dovete ovviamente toglierlo.

Ora dobbiamo indicare il Recipient (il “recipiente”) ovvero il destinatario della mail.
USATE UN VOSTRO INDIRIZZO!! Altrimenti non potrete fare la seconda parte del tutorial.

Visto che a me arriva qualunque mail indirizzata a @crescentofdarkness.cjb.net, scriverò:

RCPT TO: <bush@crescentofdarkness.cjb.net>


Il server risponde:

250 RCPT TO:<bush@crescentofdarkness.cjb.net> OK


Adesso è il momento di inserire tutto il resto, lo facciamo scrivendo:

DATA


E otteniamo:

354 Start mail input; end with <CRLF>.<CRLF>


In pratica il server ci sta dicendo “scrivi tutto quello che vuoi e quando hai finito fai una riga con solamente un puntino”.
Iniziamo con il campo subject, inserendo:


Subject: I love You!


In questo mondo di odio e guerre mi sembra carino che Georgino e Osamuccio si scambino messaggi d'affetto

Continuiamo inserendo ad esempio l'header che identifica il programma di posta che “in teoria” stiamo usando:

X-Mailer: Microzozz Outlook Express


Possiamo inserire quanti headers vogliamo. Una buona lista degli header “normalmente” utilizzati la trovate QUI

Ora continuiamo inserendo il testo della mail. Ci limiteremo ad uno spassionato:

I love you George!


E finiamo con un punto:

.


il server risponde:

250 <408C8F6A000575E4> Mail accepted


Che significa che la mail e' stata registrata nel database con l'identificativo 408C8F6A000575E4. In caso di denuncia basta comunicare questo e le autorità possono recuperare tutto direttamente dall'archivio del provider.
La mail rimarrà in archivio per (mi pare) tre anni.

Ora usciamo con:

quit

e otteniamo:

221 mail-relay-1.tiscali.it QUIT


Et voilà!

Tra qualche secondo il nostro indirizzo di posta riceverà una mail proveniente da osama@alqaeda.com

Nella seconda parte di questo tutorial impareremo come analizzare gli headers delle mail e come tracciare “all'indietro” una mail fino ad arrivare (in alcuni casi) al computer che la ha spedita.

[Evcz]

ottimi tutorials

una sola note: non hai fatto riferimento all'autenticazione degli utenti...

in genere se ci si connette con lo stesso provider che gestisce il server l'autenticazione non serve, ma se il provider è diverso quando è possibile usarlo è per forza necessaria l'autenticazione (i providers che permettono l'invio delle mail anche se non si è connessi tramite il lor network ormai si contano sulle dita di una mano...tra quelli che uso io : relay.poste.it e mail.serenacom.net )

Non ho fatto accenno all'autenticazione perche'... non ho ancora capito come funziona (la maledetta)

Per questo consigliavo di provare con il proprio provider.

Se hai link o spiegazioni postale! E' parecchio che cerco qualcosa a riguardo (anche se non troppo assiduamente, lo ammetto)

[Evcz]

Non ho fatto accenno all'autenticazione perche'... non ho ancora capito come funziona (la maledetta)

Per questo consigliavo di provare con il proprio provider.

Se hai link o spiegazioni postale! E' parecchio che cerco qualcosa a riguardo (anche se non troppo assiduamente, lo ammetto)

sinceramente non uso mai questo metodo...

cmq eccoti un log di esempio di connessione con password:

220 relay.poste.it ESMTP Service (6.7.015) ready

EHLO [127.0.0.1]
250-relay.poste.it

250-DSN

250-8BITMIME

250-PIPELINING

250-HELP

250-AUTH=LOGIN

250-AUTH LOGIN CRAM-MD5 DIGEST-MD5 PLAIN

250-DELIVERBY 300

250 SIZE

AUTH LOGIN
334 ***una riga di codice***


***2righe di codice***


[Invio la password]
235 LOGIN authentication successful


MAIL FROM: <evolutioncrazy@inwind.it>
250 MAIL FROM:<evolutioncrazy@inwind.it> OK

RCPT TO: <spamfucker@evcz.tk>
250 RCPT TO:<spamfucker@evcz.tk> OK

DATA
354 Please start mail input.
asd
.
250 Mail queued for delivery.

QUIT
221 Closing connection. Good bye.

spero ti possa essere utile... a quanto ho capito la codifica viene inviata come md5...

se vuoi saperne di + dai un'occhiata ai sorgenti di abuse:
http://spam-abuse.sourceforge.net/

che contiene un semplice ma funzionale mailer tramite smtp

Grazie Evcz

Da quello che sto leggendo in giro per la rete sembra che il server ti chieda "Username:" e "Password:" in base64 e tu debba rispondere allo stesso modo.

La cosa che mi incuriosisce e': visto che stiamo usando un server che NON E' quello su cui ho la casella, username e password sono comunque quelli registrati sul mio account?
Purtroppo oggi ho un sacco da fare e non ho a portata di mano un convertitore base64... appena ho tempo me ne scrivo uno e provo a decodificare il tutto :D