Данная книга была написана под руководством литературного агентства «Сигма+» по заказу Лаборатории Касперского. Однако в дальнейшем, по словам литературного агентства «Сигма+», Лаборатория Касперского «передумала» платить за уже написанную книгу, которая до этого им нравилась. И гонорар мне так и не был выплачен. Как думаете, почему?

Но давайте представим, что случилось самое-самое худшее. Еще хуже, чем заражение вашего компьютера вирусом. Давайте представим, что вам пришло электронное письмо о том, что страшные инопланетяне взломали ваш банковский счет. И теперь банк требует от вас логин и пароль от вашего банковского счета. Иначе, все деньги, которые были на вашем банковском счету, будут переведены в благотворительные общества. И кроме того, на ваш счет будет записан долг какого-нибудь третьесортного государства с процентами за несколько лет.

Что делать? Если у вас под рукой есть мыло и веревка — выбросьте их, они нам не понадобятся. Теперь сядьте и подумайте о чем-то хорошем. Например, о доисторических временах, когда хакеров даже в природе не было.

Ну, а теперь давайте попробуем определить, от кого пришло полученное нами сообщение. Ведь все очень просто — если мы узнаем, что письмо пришло с электронного адреса, который не принадлежит нашему банку, значит беспокоиться незачем. Значит все это происки Бен Ладена… хотя нет, Бен Ладен больше не ассоциируется с мировым злом. Значит все это происки Билла Гейтса.

Итак, любое электронное сообщение состоит из тела сообщения и своеобразного конверта — набора заголовков, в которых хранится множество сведений о полученном письме. Все почтовые клиенты по умолчанию отображают тело электронного сообщения, а также сведения из таких заголовков, в которых содержится информация о теме письма, его получателях и его отправителе.

Так уж получилось, что адрес, который указывается почтовыми клиентами в качестве отправителя письма, очень легко подделать. Поэтому доверять ему ни в коем случае нельзя.

Другие заголовки электронного письма, которые почтовые клиенты по умолчанию не отображают, могут нам помочь определить реального отправителя письма. Или, хотя бы, определить, действительно ли письмо пришло от того пользователя, который указан в качестве отправителя.

Отображаем все заголовки письма

Итак, перед нами стоит конкретная задача — отобразить все заголовки полученное электронного письма.

The Bat! В почтовом клиенте The Bat! сделать это несложно. Достаточно воспользоваться командой ВИД/ПОКАЗЫВАТЬ ЗАГОЛОВКИ (RFC-822) или комбинацией клавиш CTRL+SHIFT+K. После этого в начале всех полученных сообщений будут отображаться все заголовки письма (рис. 6.3). Чтобы снова скрыть их, воспользуйтесь комбинацией клавиш CTRL+SHIFT+K.

Рис. 6.3. Заголовки полученного письма

Кроме того, The Bat! позволяет просматривать заголовки письма еще до его загрузки на компьютер пользователя. Для этого достаточно использовать диспетчер писем (меню ЯЩИК/ДИСПЕТЧЕР ПИСЕМ/ДЛЯ ВСЕХ ПИСЕМ или комбинация клавиш CTRL+SHIFT+F2). Диспетчер писем отображает список всех электронных сообщений, которые скопились на вашем почтовом сервере. И позволяет просмотреть заголовки каждого из них, и удалить ненужные письма. Нужные же письма диспетчер писем позволяет скачивать на свой компьютер.

Microsoft Outlook В программе Outlook, которая является частью пакета Microsoft Office, просмотреть заголовок электронного сообщения также несложно. Для этого достаточно воспользоваться пунктом ПАРАМЕТРЫ СООБЩЕНИЯ контекстного меню сообщения, заголовки которого нужно просмотреть. Перед вами отобразится диалог ПАРАМЕТРЫ СООБЩЕНИЯ поле ЗАГОЛОВКИ ИНТЕРНЕТА которого и будет содержать нужные нам заголовки сообщения.

Почта Windows Стандартный почтовый клиент операционной системы Windows Vista также позволяет просматривать заголовки полученного сообщения. Для этого воспользуйтесь пунктом СВОЙСТВА контекстного меню нужного сообщения. Перед вами отобразится диалог, в котором нужно перейти на вкладку ПОДРОБНО.

Почтовый сервер Mail.ru Также просматривать заголовки сообщения можно непосредственно в веб-интерфейсе вашего любимого почтового сервера. Например, на сайте HTTP://WWW.MAIL.RU для этого достаточно открыть нужное электронное сообщение и нажать на кнопку с надписью «RFC», которая расположена над сообщением (рис. 6.4).

Рис. 6.4. Кнопка с надписью «RFC» в веб-интерфейсе Mail.ru также позволяет просматривать заголовки сообщения

Другие поисковые клиенты Другие поисковые клиенты также обязаны иметь возможность просмотра заголовков электронного сообщения. Поэтому хорошенько поищите. Если же ничего не находится, тогда сохраните нужное электронное сообщение в виде отдельного файла в форматах MSG, EML или MBX. А после этого откройте полученный файл в любом текстовом редакторе.

А если и это ваш почтовый клиент не позволяет сделать, тогда экспортируйте базу данных писем в файл. А потом импортируйте полученный файл в один из рассмотренных нами выше почтовых клиентов. И уже оттуда просмотрите заголовки.

Ищем в заголовках интересные нам сведения

Вот и настал этот миг — перед нами на экране монитора красуются заголовки так напугавшего нас электронного сообщения. Что же делать дальше? А дальше осталось только рассмотреть назначение наиболее интересных заголовков. И воспользовавшись новыми знаниями определить, действительно ли письмо пришло от указанного адресата.

Для начала давайте посмотрим на пример:

Return-path: <pavelparhomov@bickiy.com>
Envelope-to: all@onestyle.com.ua
Delivery-date: Tue, 23 Dec 2008 09:07:25 +0200
Received: from zosmabi.mdp2.net ([89.111.164.195])
        by multi3.hostsila.com with smtp (Exim 4.69)
        (envelope-from <pavelparhomov@bickiy.com>)
        id 1LF1MI-0007LO-1H
        for all@onestyle.com.ua; Tue, 23 Dec 2008 09:07:14 +0200
Received: from rev-net-0b05-0165-lr-01hjorqe.mtb ([10.238.177.68])
        by zosmabi.mdp2.net () with ESMTP id 43B72E13CF
        for <all@onestyle.com.ua>;Tue, 23 Dec 2008 10:02:22 +0300
From: pavel parhomov <pavelparhomov@bickiy.com>
To: All <all@onestyle.com.ua>
Subject: =?Windows-1251?B?INDg5+zl+eXt6OUg8OXq6+Ds+w==?=
Date: Tue, 23 Dec 2008 10:02:22 +0300
Message-ID: <0001010630.20081223100222@bickiy.com>
X-Priority: 1 (Highest)
X-MSMail-Priority: High
X-Mailer: Mega
Importance: High
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
Sensitivity: Company-Confidential
MIME-Version: 1.0
Content-Type: text/plain;
        charset=Windows-1251
Content-Transfer-Encoding: base64
X-Spam-Status: No, score=2.8
X-Spam-Score: 28
X-Spam-Bar: ++
X-Spam-Flag: NO
X-EsetId: 416A9E2B248D63695E6C9E7C2EDD26

Итак, что означает вся эта чертовщина?

Прежде всего, обратите внимание на все строки, которые начинаются с X-. Это необязательные поля, которые были добавлены к заголовку сообщения почтовыми фильтрами, антивирусными программами и т.п. в процессе доставки электронного сообщения. Эти поля для нас сейчас интереса не представляют.

Также в заголовке сообщения могут быть поля, начинающиеся со слова «Resent-». Если такие поля есть, значит данное сообщение было переслано вам другим получателем сообщения. И данные поля описывает предыдущего получателя сообщения (который переслал сообщение вам).

Назначение остальных полей описано в табл. 6.1.

Таблица 6.1. Назначение полей заголовка электронного сообщения

• Date. Время, когда сообщение было готово к отправке (помещено в папку Исходящие).
• From. Человек или процесс, отправивший письмо (может быть указано несколько отправителей).
• Sender. Отправитель письма (только один). Именно ему будут посылаться сообщения об ошибках доставки почты.
• Reply-To. Один или несколько адресов, на которые должен быть послан ответ на данное письмо. Если данное поле указано, тогда ответ будет посылаться адресатам, указанным в нем, а не в полях From и Sender.
• To. Один или несколько основных получателей данного письма.
• Cc. Один или несколько дополнительных получателей данного письма.
• Bcc. Один или несколько скрытых получателей данного письма. Если указано поле Bcc тогда сообщения будут отправляться всем, кто указан в полях To, Cc, Bcc. Однако в сообщениях адресатам из полей To и Cc будет удалено содержимое поля Bcc. А в сообщениях адресатам из поля Bcc будет удалено содержимое полей To и Cc.
• Message-ID. Уникальный идентификатор данного письма. Часть идентификатора идентифицирует хост (после @), а другая часть идентифицирует сообщение внутри хоста.
• Keywords. Ключевые слова.
• Subject. Тема письма в виде неструктурированного текста.
• Return-Path. Данное поле добавляется последней транспортной системой, которая отправила сообщение вам. Оно содержит информацию для определения обратного маршрута (адрес почтового ящика, перед которым может быть записана цепочка имен хостов).
• Received. Может быть несколько таких полей. Одно такое поле добавляется одной транспортной системой, через которую прошло сообщение. То есть, если в сообщений 3 таких поля, значит письмо прошло через 3 промежуточных транспортных системы.
• Поле может состоять из следующих разделов: from домен (хост, от которого транспортная система получила письмо), by домен (хост транспортной системы), via атом (физическая сеть), with атом (почтовый протокол) , id <идентификатор сообщения в транспортной системе>, for адрес (исходный адрес получателя письма, если транспортная система преобразует адрес получателя, а также время получения письма).
• Content-Type. Определяет тип содержимого тела сообщения.
• Encoding. Определяет тип содержимого тела сообщения.

Итак, чтобы определить истинность отправителя письма, следует посмотреть на последнее из полей RECEIVED заголовка. Именно раздел FROM данного поля определяет имя и IP-адрес компьютера, который инициировал отправку письма. Тогда как раздел BY определяет имя транспортной системы.

Давайте посмотрим на наш пример. В его поле FROM указан адрес PAVELPARHOMOV@BICKIY.COM. А в поле RECEIVED указано имя хоста rev-net-0b05-0165-lr-01hjorqe.mtb, IP-адрес хоста 10.238.177.68, а домен транспортной системы ZOSMABI.MDP2.NET.

Если письмо было отправлено с какого-либо хостинга, тогда транспортной системой выступает имя компьютера хостинг-провайдера. Также транспортной системой может выступать почтовый сервер. В нашем случае в письме говорится об адресе PAVELPARHOMOV@BICKIY.COM, по которому нет почтового сервера, но есть какой-то сайт. Значит получается, что ZOSMABI.MDP2.NET — домен хостинга данного сайта. Однако по адресу HTTP://MDP2.NET никакого сайта нет, а по правилам хорошего тона должна быть открыта страница хостинга или почтовой системы. Это немножко настораживает.

Кроме того, интересен IP-адрес хоста — 10.238.177.68. Таких адресов в Интернете быть не может. Это IP-адрес в локальной сети. Что в совокупности также настораживает (хотя это еще ничего не значит — письма очень часто отправляются с компьютеров локальной сети).

На имя хоста также можно посмотреть — никакого отношения к HTTP://BICKIY.COM у этого хоста не наблюдается. Хотя смотреть на имя хоста вообще не стоит, ведь его легко можно сменить, выдав себя за другого.

В общем, данное письмо нельзя считать правдивым. Давайте посмотрим на заголовки нескольких других писем (на поле FROM и последнее поле RECEIVED).

Received: from [216.246.91.177] (port=51438 helo=mail.vedv.com)
        by mx63.mail.ru with esmtp 
        id 1LF9KK-00067t-00
        for parazone@mail.ru; Tue, 23 Dec 2008 18:37:44 +0300
Received-SPF: none (mx63.mail.ru: 216.246.91.177 is neither permitted nor
denied by domain of mail.vedv.com) client-ip=216.246.91.177;
envelope-from=root@mail.vedv.com; helo=mail.vedv.com;
From: notification2@1000vedv.com

В данном случае и гадать не нужно. Поле RECEIVED-SPF ясно нам сообщает, что между MAIL.VEDV.COM и MX63.MAIL.RU нет никакой связи. А если бы этого поля не было, вы бы и сами могли об этом догадаться. Ведь MAIL.RU — известная почтовая служба. Так при чем же здесь VEDV.COM?

Следует обращать внимание на поле RECEIVED-SPF только в том случае, если оно относится к первому полю RECEIVED. Если же оно относится к другим полям RECEIVED, тогда в наличии поля RECEIVED-SPF нет ничего удивительного. Так как транспортные системы могут изменять адреса, из-за чего и может обнаружиться такое несоответствие.

Received: by mail.vedv.com (Postfix, from userid 0)
        id 08F807B283F; Tue, 23 Dec 2008 19:38:19 +0300 (VOLT)
From: notification2@1000lovers.ru

А вот письмо еще интересней. Здесь вообще не указано (в поле RECEIVED), от кого пришло письмо. Возможно, данное письмо прошло через ремейлер, который удалил все сведения о реальном отправителе. А значит такому письму доверять нельзя.

Received: from [192.168.0.184] (port=1088 helo=letochenko)
        by mx1.softpress.com.ua with smtp (Exim 4.69 (FreeBSD))
        (envelope-from <letochenko@mycomputer.ua>)
        id 1LF7wL-0001YP-7B
        for onestyle@list.ru; Tue, 23 Dec 2008 16:08:53 +0200
From: "Igor Kim" <letochenko@mycomputer.ua>

А вот пример сообщения, которое не является спамом. Несмотря на то, что адрес отправителя относится к домену MYCOMPUTER.UA, а первая транспортная система к домену SOFTPRESS.COM.UA. Домен транспортной системы довольно известен и не используется для спама. Вы, наверное, знаете, что СофтПресс — издательский дом, а домен MYCOMPUTER.UA является его частью.

Received: from [213.130.22.237] by mcgi22.rambler.ru with HTTP (mailimap); Mon, 28 Jul 2008 22:33:21 +0400
From: <jaxbs@rambler.ru>

В этом письме также нет ни грамма спама. Так как домен отправителя и домен транспортной системы совпадают. Но давайте себя перепроверим. В заголовке указано, что IP-адрес отправителя — 213.130.22.237. Давайте посмотрим, кому данный адрес принадлежит. Для этого подойдет адрес HTTP://WWW.DB.RIPE.NET/WHOIS или любой другой сайт, который может работать с сервером WHOIS (например, HTTP://WWW.ONESTYLE.COM.UA/PROJECT.PHP?U=29). Введите в поле по указанному адресу IP-адрес 213.130.22.237, и перед вами отобразятся сведения о том, кому данный адрес принадлежит. В нашем случае сообщается, что адрес является частью подсети 213.130.22.128 - 213.130.22.255, которая принадлежит телефонной компании Фарлеп-Телеком, офис которой находится в Донецке. Что еще раз доказывает подлинность сообщения, ведь отправитель письма как раз живет в Донецке.

Продолжение следует