Fråga
I min Junk-E-mail-box finns massor med exempel på vad som kan hamna där då skräppostfiltret i Microsoft Outlook sorterar bort uppenbara fulmeddelanden. Ibland smiter dock ett och annat ner i den vanliga Inkorgen. Och mer sällan får jag vanliga seriösa mail klassade som skräp och sedan nyper skräppostfiltret dem och gömmer i Junk-E-mail-boxen tills jag kollar igenom där.
Om jag tittar på ett av dessa meddelanden ser egenskaperna ut så här:
Return-Path: <bengt@xxx.se>
Received: from ch-p-mailin04.sth.basefarm.net (10.48.41.10) by ch-p-owms02.sth.basefarm.net (8.6.132)
id 547D278C01B319A4 for u21125097@pne.xxx.se; Mon, 29 Dec 2014 00:00:00 +0100
Received: from [1.53.238.28] (port=35849)
by ch-p-mailin04.sth.basefarm.net with esmtp (Exim 4.84)
(envelope-from <bengt@xxx.se>)
id 1Y5MoA-00040l-DY
for bengt@xxx.se; Sun, 28 Dec 2014 23:59:54 +0100
Received-SPF: softfail (ch-p-mailin04.sth.basefarm.net: transitioning domain of xxx.se does not designate 1.53.238.28 as permitted sender) client-ip=1.53.238.28; envelope-from=bengt@xxx.se; helo=[1.53.238.28];
Message-ID: <54A0ED51.3000603@xxx.se>
Date: Mon, 29 Dec 2014 11:57:37 +0600
From: <bengt@xxx.se>
User-Agent: Mozilla/5.0 (Windows NT 6.0; WOW64; rv:11.0) Gecko/20120410 Thunderbird/11.0.1
MIME-Version: 1.0
To: <bengt@xxx.se>
Content-Type: text/plain; charset=CP-850; format=flowed
Content-Transfer-Encoding: 8bit
X-DNSbl-Warning: 1.53.238.28 is listed in bl.spamcop.net (Blocked – see http://www.spamcop.net/bl.shtml?1.53.238.28)
X-Originating-IP: 1.53.238.28
X-Scan-Result: No virus found in message 1Y5MoA-00040l-DY.
X-Scan-Signature: ch-p-mailin04.sth.basefarm.net 1Y5MoA-00040l-DY ca995198e4aebb8485d2a8c0d67dced1
X-Spam-Score: 3.3 (+++)
X-Spam-Report: Scanned by ch-p-mailin04.sth.basefarm.net
pts rule name description
—- ———————- ——————————————-
2.1 DOS_RCVD_IP_TWICE_C Received from the same IP twice in a row (only
one external relay; empty or IP helo)
0.0 DATE_IN_FUTURE_06_12 Date: is 6 to 12 hours after Received: date
1.3 RDNS_NONE Delivered to internal network by a host with no rDNS
Subject: New job offer
Kan det vara client-ip= man söker som avsändarens närmaste IP-nummer? Det brukar också vara samma som X-Originating-IP: . I ovanstående fall skulle det i så fall enligt ett IP-sök-program härröra från Vietnam.
Tittar jag på andra meddelanden i skräpposten har de IP-nummer som kommer från följande länder: Vietnam, Tunisien, Ukraina, Indien, Libyen, Colombia och USA.
Samtliga meddelanden har ju ganska lika skräppostutseende och är sådana som jag aldrig klickar i eller försöker öppna länkar från. Det jag undrar över och inte kan hela bakgrunden till tekniskt är hur de lyckats lägga in så det ser ut som att jag har avsänt.
Och kan det innebära att min e-postadress används för att sprida skräppost till andra eller är det något autoscript/rundgångsaktigt som plockar upp min adress och sedan skickar till mig? Är det bara till mig min fejkade adress används? Hur kan jag kolla sådant? Och vad är vitsen att de anger mig som avsändare och skickar till mig?
Sammanfattning, mina frågor är alltså: Hur gör skräppostarna för att sätta min adress som avsändare när de skickar ut sina meddelanden? Och var i Internet-rubriker är det man ser närmaste indikation på var meddelandet kommer från, eller kan man inte se det i ett fejkat e-postmeddelande?
Bengt Silfverling
Svar
E-posthuvudet innehåller massor med information, det mesta obegripligt för en lekman. Men du har korrekt identifierat den avsändande IP-adressen, som ju återkommer på flera ställen. De länder det handlar om är också vanliga exempel på stora syndare. Det är lättare att gömma sig och komma undan med sådant här i stater där lagstiftningen är annorlunda.
Avsändaradressen är nästan alltid förfalskad i skräppostmeddelanden. Detta är mycket lätt att ordna, det kan du göra själv också om du vill prova. Det är bara att gå in dina kontoinställningar i Outlook och ändra ditt namn och din e-postadress. När jag svarar på meddelanden med avsändaren experten@datormagazin.se är det precis så jag gör. Jag använder mitt eget e-postkonto, vilket naturligtvis syns vid en närmare titt i e-posthuvudet.
Det är ganska vanligt att samma användare som mottagare används. Skälet till detta kan jag bara spekulera i, men tanken är nog att försöka ta sig igenom skräppostfilter med en avsändardomän som är godkänd. Och det görs garanterat med automatik, precis som du antar. Det betyder ingenting, ingen kompetent skräppoststoppartjänst kommer att behandla din adress som ett ursprung för skräpmeddelanden eller göra något annat med informationen.