Manipulação de cabeçalho de email

[#nil#]

Caros colegas!!!
Gostaria de saber se alguem conhece alguma forma ou programa , de se manipular um cabeçalho de email enviando logicamente de uma maquina local, sem estar logado obvio num webmail. Tem um softwere que promete tal façanha, todavia foi SuperEmail Marketing,todavia por causa de legislaçaõ ele foi paralizado.
Gratos pela ajuda

[^[H,L]aetc]

Se você conhece o SMTP (formato do cabeçalho, etc), e tem como implementar o sua forma de transferência em uma linguagem de programação, ta feito. Sendo o servidor personalizado, bom pra vc. Pelo que eu me lembre, há algo assim pronto, parece que o dum_dum conhece (acho que vi uma menção de uma ferramenta em algum tópico, sei que não foi na lista mercenários..). Vai ver, é até obra dele.. Eu não lembro o nome, faz uma busca, pode dar resultado. E se o wendel nem tocou nesse assunto em outro lugar, tem todo o direito de me xingar. Claro que me dou o direito de escolher as palavras usadas por ele ;).

[mmachado]

De que tipo de manipulação você está falando, Nil?

[]s, MM

[#nil#]

Desde já agradeço ao MM e aos demais pelo interesse e ajuda prestada. pensei até que essa resposta não iria ser debatida. Antes que alguém tire conclusões precipitadas, porque se trata de uma pergunta de cunho malicioso, vou justificar no decorrer da mensagem.
Caros colegas agente sabe que esse negocio de email anonimo é balela, até porque mesmo que agente mande uma mensagem como nome de outra pessoa ou um nome qualquer, isso não quer dizer que estejamos totalmente anonimo, isso porque para um especialista o que vai importar é o cabeçalho da mensagem e isso com todas as informações necessarias para um possivel rastreamento.
Sei que qualquer um pode se logar num servidor anonimo desse da vida e enviar uma mensagem que vai chegar no destino desejado sem que o nosso IP real apareca,e sim do servidor. Minha pergunta é saber se tem algum programa ou tecnica manual de manipulação de cabeçalho, que ao enviarmos uma mensagem de nossa maquina local, tipo um outlook da vida, que ao preparamos um mensagem com intenções de anonimato, enviemos manipulando o nº IP Real e colocando um outro ficticio ou um IP válido contudo sem que nossas informações Reais siga junto com o cabeçalho da mensagem.

[dum_dum]

Olá,

Eu tmb não compreendi direito a pergunta. Mas de qualquer forma se voce estiver se referindo a fake mail o Nash escreveu um texto (com um source para automatizar o processo junto) a um bom tempo atras explicando como faze-lo (que na verdade nada mais é do que utilizar os comandos SMTP corretamente).

http://femedina.tripod.com/textos/email.txt

ps1.: Esse tipo de tecnica apenas pode ser util para forjar a origem como *from*, etc. Mas o seu IP verdadeiro continua na mensagem, então cuidado.

ps2.: Atraves de uma analise de ID do e-mail pode se descobrir tmb que o mesmo é falsa, mas USUARIOS FINAIS raramente faram isso.

T+

[ ]'s

[Baldwin_Stinger]

Fala dum_dum

Mas nao era nesse ponto que nosso amigo queria tocar. Ele quis saber se é possivel manter-se anonimo simplesmente trocando(forjando) informações do HEADER(cabeçalho) da mensagem. Isso é impossivel de fazer via SMTP?
Vamos observar na pratica um HEADER recebido da Mailing List da Sophos:

Received: from dover.sophos.com [194.203.134.153] by snet.co.ao
(SMTPD32-8.05) id AF751F020120; Thu, 30 Sep 2004 11:27:01 +0100
Received: (qmail 96358 invoked by uid 0); 30 Sep 2004 10:01:57 -0000
Mailing-List: contact notification-help@lists.sophos.com; run by ezmlm
Precedence: bulk
X-No-Archive: yes
List-Help: <mailto:notification-help@lists.sophos.com>
List-Unsubscribe: <mailto:notification-unsubscribe-xxx=snet.co.ao@lists.sophos.com>
List-Subscribe: <mailto:notification-subscribe@lists.sophos.com>
From: Sophos Alert System <notification-return@lists.sophos.com>
To: notification@lists.sophos.com
Delivered-To: mailing list notification@lists.sophos.com
Date: Thu, 30 Sep 2004 11:01:57 +0100 (BST)
Message-ID: <1096538517.5f130b070eaac34136a15519c06627fc@dover. sophos.com>
MIME-Version: 1.0
Subject: Sophos Anti-Virus IDE alert: W32/Bugbear-J
Content-Type: text/plain; charset=us-ascii
X-Declude-Sender: notification-return-1029-xxxx=snet.c...sts.sophos.com [194.203.134.153]
X-Note: This E-mail was scanned by Declude JunkMail (www.declude.com) for spam.
X-Spam-Tests-Failed: None [-8]
X-Note: This E-mail was sent from dover.sophos.com ([194.203.134.153]).
X-RCPT-TO: <xxx@snet.co.ao>
Status: U
X-UIDL: 377639499
X-NAS-Bayes: #0: 4.18053E-143; #1: 1
X-NAS-Classification: 0
X-NAS-MessageID: 226
X-NAS-Validation: {399ED0B9-769F-43EE-AA75-2323FB81ACA1}

As informações do endereço da rede sao passadas pelo sistema(eu acho) e nao por campos que podem ser manipulados(tipo comandos FROM, TO, RCPT etc). A unica coisa que você pode fazer é criar confusao. Por exemplo há 2 anos atrás a Newsletter do Infoguerra estava dando false positives no AntiVirus corporativo do meu provedor simplesmente porque vinha com o HEADER truncado. A 2 anos atrás foi descoberta uma falha de segurança na maior parte dos AntiVirus corporativos simplesmente enviado anexos repartidos simplesmente com o outlook. Agora você pergunta isso é possivel directamente via SMTP? É sim basta ler as RFC's sobre SMTP mais recentes e suportadas pelos MailAgents e MailCliente Actuais.
Mas a identificação da Rede NAO pode ser alterada? Acho que nao.
Se for assim eu penso que a unica solução é manter suas conexões anonimas o que já é algo relativamente facil hoje em dia.

Se você se conectar a uma free shel que permite a execução de serviços basicos como Telnet e você tiver uma conexão de banda rapida(mesmo o velho 56k serve) você está feito. Imagine você pulando de free em free shells e em seguida executando comandos SMTP? Fica dificil você ser rastreado, ia levar um tempao pedindo logs de freeshells, que até parece que nao demoram muito tempo em backup tamanha é a quantidade de requesições.
Sobre FreeShells:
http://www.google.com/search?hl=pt-PT&ie=UTF-8&q=freeshells&lr=
Outra truque é usar a moda de hoje.
Tor:
http://www.defcon.org/images/defcon-...dingledine.pdf
http://www.defcon.org/images/defcon-...dingledine.zip

Mais Informações em :
http://br.wired.com/wired/tecnologia...,15220,00.html

Dizem que já dá pra correr WiKi com aquilo, o unico problema é que está sendo patrocinado pela marinha americana, mas sendo livre...

[mmachado]

Código:

Received: from dover.sophos.com [194.203.134.153] by snet.co.ao
(SMTPD32-8.05) id AF751F020120; Thu, 30 Sep 2004 11:27:01 +0100

Esta informação quem acrescenta ao cabeçalho é o servidor SMTP onde você está conectado para enviar o email. Então, o jeito é fazer o envio através de algum lugar onde o IP percebido pelo servidor não seja o seu, por exemplo, FormMail aberto, squid/proxies mal configurados, relay de fopen/include em PHP, Wingate de bobeira e, é claro, Lan Houses! ;)

[]s, MM

[E.Lima]

o ip original é colocado pelo servidor original. se foi voce mesmo, voce pode forjar (10.x.x.x). Em um cliente que eu estou, o (....) do Exchange está colocando exatamente isso nos e-mails que envia para fora (os endereços internos dos clientes outlook).

mas acho que o receptor vai armazenar o endereço REAL de tcp/ip do transmissor... não sei se dá para esconder mesmo.


exceto se voce usar um mass remailer anonimo. tem um monte na inglaterra, alemanha e eua. só cuidado que muitos são executados pelos respectivos governos....

[dum_dum]

Olá,

Realmente o IP é setado pelo servidor SMTP.

O uso de freeshells & proxys *anonimos* para acessar "front-ends" para envio de e-mail pode dificultar chegar a origem verdadeira, mas NÃO é confiavel. Existem vários casos de spammers pegos que utilizavam bouncers, proxys, freeshells, etc. Como foi dito acima, o mesmo so da mais trabalho. ;)

O uso de LanHouse realmente é muito bom, desde que a mesma não exiga RG/CPF e nem mesmo seja filmada. Se combinada com as tecnicas acima melhor ainda. :)

A utilização de spoof em geral é efetivo para modificar o seu IP desde que voce esteja no mesmo seguimento que o SMTP.

T+

[ ]'s

[Dirty Vader]

Tem um softwere que promete tal façanha, todavia foi SuperEmail Marketing,todavia por causa de legislaçaõ ele foi paralizado.

Nil,

Você saberia dizer qual legislação está sendo invocada no caso e por qual motivo o software em questão não está aderente a ela ?

Pessoal,

Embora eu seja defensor da liberdade de expressão e do livre fluxo de idéias, como profissional de Segurança da Informação me causam arrepios tópicos como este abertos pelo Nil. Não ficou claro se o Nil precisa da informação para solucionar algum problema relacionado a segurança ( rastreamento de SPAM, proteção de identidade de clientes, etc. ) ou se precisa para poder mandar SPAM.
Acho que devemos nos ajudar quanto a dúvidas técnicas ou conceituais, mas não seria o caso de primeiro questionar qual a necessidade dessa informação, qual o uso que será feito dela, dado o potencial para uso malicioso da mesma ?

No mais, achei as respostas muito boas.

Abraço,

Dirty Vader