Получения списка e-mail' ов из письма
Здесь я расскажу о совершенно новом способе получения списков e-mail' ов из письма от рассылки. Этот способ точно действует на mail.ru. Другие я не проверял. Эта статья создана ТОЛЬКО для ознакомления. За использование информации из этой статьи Автор ответственности не несет!
Предисловие:
Я сидел и читал книгу Максима Левина "E-mail "безопасная"". При описании способов получения инфы из заголовков писем, я подумал: "А почему бы мне не попрактиковаться?" В то время мне кто-то прислал "офигенно полезную прогу"; якобы ускоряет соединение с Internet на 100%. Весит 5 Kb. Если кто не догадался - это был троян. Разумеется, он писал не со своего мыла. И мне захотелось узнать кто бы это мог быть...
Сама история:
Но ближе к делу.
Итак, как же я начал практиковать? Я просто настроил функцию в своём The Bat! на показ заголовка писем и принялся проверять первое пришедшее письмо. Им оказалась рассылка от Каспера (Касперский). Вы только полюбуйтесь какую инфу я вытащил (на всю ерунду верхних строк не обращайте внимания, только на последнюю служебную строчку):
From bounce@avp2000.com Wed Sep 18 11:20:58 2002
Envelope-to: gorchel@mail.ru
Delivery-date: Wed, 18 Sep 2002 11:20:58 +0400
Received: from drweb by mx3.mail.ru with drweb-scanned (Exim MX.3)
id 17rZ8q-00016L-00; Wed, 18 Sep 2002 11:20:56 +0400
Received: from [195.170.248.170] (helo=webserver1.kaspersky-labs.com)
by mx3.mail.ru with esmtp (Exim MX.3)
id 17rZ8p-00013h-00; Wed, 18 Sep 2002 11:20:55 +0400
Received: by webserver1.kaspersky-labs.com (Postfix)
id F07D9BFD13; Wed, 18 Sep 2002 11:18:44 +0400 (MSD)
Delivered-To: list-3@webserver1.kaspersky-labs.com
Received: by webserver1.kaspersky-labs.com (Postfix, from userid 65534)
id CBEC9BFD14; Wed, 18 Sep 2002 11:18:43 +0400 (MSD)
Received: from master.kaspersky-labs.com (master.kaspersky-labs.com [212.5.80.20])
by webserver1.kaspersky-labs.com (Postfix) with ESMTP id CCC68BFD13
for ; Wed, 18 Sep 2002 11:18:41 +0400 (MSD)
Received: (from httpd@localhost)
by master.kaspersky-labs.com (8.11.6/8.11.6) id g8I7IbK87864;
Wed, 18 Sep 2002 11:18:37 +0400 (MSD)
(envelope-from httpd)
Date: Wed, 18 Sep 2002 11:18:37 +0400 (MSD)
Message-Id:
MIME-Version: 1.0
Content-Type: text/plain; charset="koi8-r"
Subject: Общие новости: Вирусы не пройдут!
From: news@kaspersky.com
To: news@kaspersky.com
X-Envelope-To: мой_ящик@mail.ru,
другой_ящик@mail.ru,
третий_ящик@mail.ru,
их_там_20_штук@mail.ru,
Все эти ящики начинались на ту же букву, что и мой. Я решил проверить следующее письмо из списка рассылки. Им оказалось письмо то всеми уважаемого BagTraq.ru. Заголовки:
From 95026-errors@maillist.ru Tue Sep 17 02:46:14 2002
Envelope-to: gorchel@mail.ru
Delivery-date: Tue, 17 Sep 2002 02:46:14 +0400
Received: from drweb by mx10.mail.ru with drweb-scanned (Exim MX.A)
id 17r4dA-000POC-00; Tue, 17 Sep 2002 02:46:12 +0400
Received: from [195.161.118.27] (helo=round.agava.net)
by mx10.mail.ru with esmtp (Exim MX.A)
id 17r4d8-000PHV-00; Tue, 17 Sep 2002 02:46:11 +0400
Received: from localhost.localdomain (shadow2.agava.net [195.161.118.24])
by round.agava.net (Postfix) with ESMTP
id 20F9267B7; Tue, 17 Sep 2002 02:13:40 +0400 (MSD)
Date: Tue, 17 Sep 2002 02:00:02 +0400 (MSD)
Subject: =?KOI8-R?B?QnVnVHJhcTogUnVzc2lhbiBTZWN1cml0eSBOZXdz?=
=?KOI8-R?B?bGluZQ==?=
MIME-Version: 1.0
Content-Type: text/html; charset=koi8-r
Sender: 95026-errors@maillist.ru
X-MailList-Message-ID: 77404
Content-Transfer-Encoding: 8bit
List-Help:
List-Subscribe:
Errors-To: 95026-errors@maillist.ru
List-Unsubscribe:
List-Post: NO
List-Owner:
From: =?KOI8-R?B?TWFpbExpc3QucnU6IEJ1Z1RyYXE6IFJ1c3NpYW4g?=
=?KOI8-R?B?U2VjdXJpdHkgTmV3c2xpbmU=?=
To: =?KOI8-R?B?TWFpbExpc3QgbGlzdDk1MDI2IFN1YnNjcmliZXI=?=
Message-Id:
X-Envelope-To: это_моё_мыло@mail.ru,
а_это_не_моё@mail.ru,
их_там_много@mail.ru,
аж_87_штук@mail.ru,
Сбылась мечта спамера!!! Здесь список ящиков начинался с разных букв алфавита.
Служба поддержки пользователей mail.ru:
Не долго думая, я решил оповестить службу поддержки пользователей mail.ru (ранее называлась службой поддержки mail.ru). Привёл им заголовки и написал строки типа: "так как я хороший, я решил оповестить сначала Вас; через некоторое время я сброшу готовую статью на самые известные хак-серверы, но только после того, как Вы уберёте действующую ерунду". Через несколько часов я получил ответ: "В данном случае это вопрос к службе сервера рассылок, не к нам."
Анализ писем:
Я принялся проверять заголовки писем, которые остались на моём компе, и выяснил: эта штука появилась на сервере мыла.ру позже 26 августа этого года из-за включения в заголовки писем строки "X-Envelope-To". 31 августа эта новая строчка в заголовке уже была. Также этот дефект возможен из-за неправильного формирования заголовка ПО службы рассылок. Mail.ru всего лишь "решила" показывать эту строчку.
Причём не только у Касперского, этим одновременно "заболели" 4 рассылки от разных услуг рассылки, и из рассылки писем, пользующейся услугами MailList.ru эта штука тоже есть!
Оптимальное использование ошибки:
Хотя это не является ошибкой, это недочёт. Просто мне так больше нравится называть.
Сразу скажу этот способ я не проверял!
Итак, предположим, нам нужно как можно больше получить e-mail'ов. Мы идём регистрироваться на мыло.ру. Создаём там ящики: a@mail.ru, b@mail.ru, c@mail.ru ........ z@mail.ru. Подписываем их на разные популярные списки рассылок: новости от всяких антивирусных компаний, на хакерских и якобы хакерских сайтах и т.д. Все созданные ящики настраиваем так, чтоб письма, приходящие туда форвардились на другой почтовый ящик, находящийся на сервере, который поддерживает эту функцию, желательно, с большим объёмом предоставляемого места. Да, это займёт много времени, но подумайте о полученных результатах! Затем просматриваем заголовки полученных списков (В The Bat! последних версий это делается так: вид-> показывать заголовки (RFC-822); если вы читаете почту, используя web-интерфейс - простое нажатие на ссылку (кнопку и т.д.) "Заголовки"). Ищем строчку "X-Envelope-To". Вот, собственно и всё. Недостаток: многие адреса будут совпадать. Но это можно обойти: напишите или найдите в инете прогу, которая будет обрабатывать файл с адресами и повторяющиеся удалять.
И снова о службе тех. поддержки:
Обо всём этом (ну, или почти обо всём) я написал в службу тех. поддержки. Я им написал, что они могут потерять клиентов, которых достали "бомбёжки": вроде и адрес нигде не светили, и куки не принимают, а какой-то .... продолжает их бомбить.
Мотивы удержания этой статьи:
Эта статья написана 21 сентября. Ошибку же я обнаружил 17 сентября. Почему же так позно была создана эта статья? Каковы мотивы?
Первый: мне действительно нравится их служба, и я хочу поддержать статус их сервака, как самого безопасного. Поэтому я дал им шанс исправиться.
Второй: вот сейчас ты читаешь эту статью. А задумывался ли ты, что кроме тебя, смелого, красивого и супер сильного хакера эту статью могут прочитать толпы ламеров, которые считают себя кул хацкерами?! Что тогда произойдёт с бедными зверьми мыла.ру?
Кстати, полученные ящики я не использовал и использовать не собираюсь, т.к. я придерживаюсь правила "не навреди". Нет-нет, это не Библия, это правило хакера.
"Больные" службы рассылок:
Пока знаю только две: Subscribe.ru и MailList.ru. Остальные две, про которые я говорил, не пользуются чужими серверами для рассылок. К ним относится и рассылка от Каспера.
Защита:
Как всегда (ну, или почти) простая: не используйте адреса на серваке mail.ru и ему подобных для получения писем с подписок. Лучше создайте ящик на серваке, где в заголовке нет сторчки "X-Envelope-To". Рекомендовать ничего не могу, сами поищите. Далее: подписываемся на нужные рассылки, а потом форвардим письма на ящик на мыле.ру. А если вы не используете серверы, показывающие в заголовке строчку "X-Envelope-To", то вам ничего не грозит.
Заключение:
Служба тех. поддержки mail.ru до сих пор не отреагировала на мои замечания, а жаль... Поэтому я и решил не тянуть, а показать замеченную мной ошибку.
В ближайшее время свяжусь с господином Леоновым из BagTraq.ru , со службой поддержки Каспера и админами серверов рассылки писем.
Ну вот и всё. Я рассказал всё что знал по этой теме настолько подробно, на сколько смог и частично развеял мифы о "неприступности" mail.ru.
ПОМНИТЕ:
Нет такого сайта (сервера), который не ломается.
Ошибки появляются там, где их совсем не ждёшь.
Обращайте внимание на заголовки.
Эта статья предназначена только для ознакомительных целей. Ни в коем случае не реализовывайте на практике то, что Вы прочитаете, так как Вы несете полную ответственность за свои поступки в соответствии с действующим законодательством. Я не отвечаю за достоверность информации и не несу ответственности за Ваши поступки! Все что вы делаете, вы делаете на свой страх и риск!!!