получения списка e-mail' ов из письма

здесь я расскажу о совершенно новом способе получения списков e-mail' ов из письма от рассылки. этот способ точно действует на mail.ru. другие я не проверял. эта статья создана только для ознакомления. за использование информации из этой статьи автор ответственности не несет!

предисловие:
я сидел и читал книгу максима левина "e-mail "безопасная"". при описании способов получения инфы из заголовков писем, я подумал: "а почему бы мне не попрактиковаться?" в то время мне кто-то прислал "офигенно полезную прогу"; якобы ускоряет соединение с internet на 100%. весит 5 kb. если кто не догадался - это был троян. разумеется, он писал не со своего мыла. и мне захотелось узнать кто бы это мог быть...

сама история:
но ближе к делу.

итак, как же я начал практиковать? я просто настроил функцию в своём the bat! на показ заголовка писем и принялся проверять первое пришедшее письмо. им оказалась рассылка от каспера (касперский). вы только полюбуйтесь какую инфу я вытащил (на всю ерунду верхних строк не обращайте внимания, только на последнюю служебную строчку):

from bounce@avp2000.com wed sep 18 11:20:58 2002
envelope-to: gorchel@mail.ru
delivery-date: wed, 18 sep 2002 11:20:58 +0400
received: from drweb by mx3.mail.ru with drweb-scanned (exim mx.3)
id 17rz8q-00016l-00; wed, 18 sep 2002 11:20:56 +0400
received: from [195.170.248.170] (helo=webserver1.kaspersky-labs.com)
by mx3.mail.ru with esmtp (exim mx.3)
id 17rz8p-00013h-00; wed, 18 sep 2002 11:20:55 +0400
received: by webserver1.kaspersky-labs.com (postfix)
id f07d9bfd13; wed, 18 sep 2002 11:18:44 +0400 (msd)
delivered-to: list-3@webserver1.kaspersky-labs.com
received: by webserver1.kaspersky-labs.com (postfix, from userid 65534)
id cbec9bfd14; wed, 18 sep 2002 11:18:43 +0400 (msd)
received: from master.kaspersky-labs.com (master.kaspersky-labs.com [212.5.80.20])
by webserver1.kaspersky-labs.com (postfix) with esmtp id ccc68bfd13
for ; wed, 18 sep 2002 11:18:41 +0400 (msd)
received: (from httpd@localhost)
by master.kaspersky-labs.com (8.11.6/8.11.6) id g8i7ibk87864;
wed, 18 sep 2002 11:18:37 +0400 (msd)
(envelope-from httpd)
date: wed, 18 sep 2002 11:18:37 +0400 (msd)
message-id:
mime-version: 1.0
content-type: text/plain; charset="koi8-r"
subject: общие новости: вирусы не пройдут!
from: news@kaspersky.com
to: news@kaspersky.com
x-envelope-to: мой_ящик@mail.ru,
другой_ящик@mail.ru,
третий_ящик@mail.ru,
их_там_20_штук@mail.ru,

все эти ящики начинались на ту же букву, что и мой. я решил проверить следующее письмо из списка рассылки. им оказалось письмо то всеми уважаемого bagtraq.ru. заголовки:

from 95026-errors@maillist.ru tue sep 17 02:46:14 2002
envelope-to: gorchel@mail.ru
delivery-date: tue, 17 sep 2002 02:46:14 +0400
received: from drweb by mx10.mail.ru with drweb-scanned (exim mx.a)
id 17r4da-000poc-00; tue, 17 sep 2002 02:46:12 +0400
received: from [195.161.118.27] (helo=round.agava.net)
by mx10.mail.ru with esmtp (exim mx.a)
id 17r4d8-000phv-00; tue, 17 sep 2002 02:46:11 +0400
received: from localhost.localdomain (shadow2.agava.net [195.161.118.24])
by round.agava.net (postfix) with esmtp
id 20f9267b7; tue, 17 sep 2002 02:13:40 +0400 (msd)
date: tue, 17 sep 2002 02:00:02 +0400 (msd)
subject: =?koi8-r?b?qnvnvhjhctogunvzc2lhbibtzwn1cml0esbozxdz?=
=?koi8-r?b?bgluzq==?=
mime-version: 1.0
content-type: text/html; charset=koi8-r
sender: 95026-errors@maillist.ru
x-maillist-message-id: 77404
content-transfer-encoding: 8bit
list-help:
list-subscribe:
errors-to: 95026-errors@maillist.ru
list-unsubscribe:
list-post: no
list-owner:
from: =?koi8-r?b?twfpbexpc3qucnu6iej1z1ryyxe6ifj1c3npyw4g?=
=?koi8-r?b?u2vjdxjpdhkgtmv3c2xpbmu=?=
to: =?koi8-r?b?twfpbexpc3qgbglzddk1mdi2ifn1ynnjcmlizxi=?=
message-id:
x-envelope-to: это_моё_мыло@mail.ru,
а_это_не_моё@mail.ru,
их_там_много@mail.ru,
аж_87_штук@mail.ru,
сбылась мечта спамера!!! здесь список ящиков начинался с разных букв алфавита.

служба поддержки пользователей mail.ru:
не долго думая, я решил оповестить службу поддержки пользователей mail.ru (ранее называлась службой поддержки mail.ru). привёл им заголовки и написал строки типа: "так как я хороший, я решил оповестить сначала вас; через некоторое время я сброшу готовую статью на самые известные хак-серверы, но только после того, как вы уберёте действующую ерунду". через несколько часов я получил ответ: "в данном случае это вопрос к службе сервера рассылок, не к нам."

анализ писем:
я принялся проверять заголовки писем, которые остались на моём компе, и выяснил: эта штука появилась на сервере мыла.ру позже 26 августа этого года из-за включения в заголовки писем строки "x-envelope-to". 31 августа эта новая строчка в заголовке уже была. также этот дефект возможен из-за неправильного формирования заголовка по службы рассылок. mail.ru всего лишь "решила" показывать эту строчку.

причём не только у касперского, этим одновременно "заболели" 4 рассылки от разных услуг рассылки, и из рассылки писем, пользующейся услугами maillist.ru эта штука тоже есть!

оптимальное использование ошибки:
хотя это не является ошибкой, это недочёт. просто мне так больше нравится называть.

сразу скажу этот способ я не проверял!

итак, предположим, нам нужно как можно больше получить e-mail'ов. мы идём регистрироваться на мыло.ру. создаём там ящики: a@mail.ru, b@mail.ru, c@mail.ru ........ z@mail.ru. подписываем их на разные популярные списки рассылок: новости от всяких антивирусных компаний, на хакерских и якобы хакерских сайтах и т.д. все созданные ящики настраиваем так, чтоб письма, приходящие туда форвардились на другой почтовый ящик, находящийся на сервере, который поддерживает эту функцию, желательно, с большим объёмом предоставляемого места. да, это займёт много времени, но подумайте о полученных результатах! затем просматриваем заголовки полученных списков (в the bat! последних версий это делается так: вид-> показывать заголовки (rfc-822); если вы читаете почту, используя web-интерфейс - простое нажатие на ссылку (кнопку и т.д.) "заголовки"). ищем строчку "x-envelope-to". вот, собственно и всё. недостаток: многие адреса будут совпадать. но это можно обойти: напишите или найдите в инете прогу, которая будет обрабатывать файл с адресами и повторяющиеся удалять.

и снова о службе тех. поддержки:
обо всём этом (ну, или почти обо всём) я написал в службу тех. поддержки. я им написал, что они могут потерять клиентов, которых достали "бомбёжки": вроде и адрес нигде не светили, и куки не принимают, а какой-то .... продолжает их бомбить.

мотивы удержания этой статьи:
эта статья написана 21 сентября. ошибку же я обнаружил 17 сентября. почему же так позно была создана эта статья? каковы мотивы?

первый: мне действительно нравится их служба, и я хочу поддержать статус их сервака, как самого безопасного. поэтому я дал им шанс исправиться.

второй: вот сейчас ты читаешь эту статью. а задумывался ли ты, что кроме тебя, смелого, красивого и супер сильного хакера эту статью могут прочитать толпы ламеров, которые считают себя кул хацкерами?! что тогда произойдёт с бедными зверьми мыла.ру?

кстати, полученные ящики я не использовал и использовать не собираюсь, т.к. я придерживаюсь правила "не навреди". нет-нет, это не библия, это правило хакера.

"больные" службы рассылок:
пока знаю только две: subscribe.ru и maillist.ru. остальные две, про которые я говорил, не пользуются чужими серверами для рассылок. к ним относится и рассылка от каспера.

защита:
как всегда (ну, или почти) простая: не используйте адреса на серваке mail.ru и ему подобных для получения писем с подписок. лучше создайте ящик на серваке, где в заголовке нет сторчки "x-envelope-to". рекомендовать ничего не могу, сами поищите. далее: подписываемся на нужные рассылки, а потом форвардим письма на ящик на мыле.ру. а если вы не используете серверы, показывающие в заголовке строчку "x-envelope-to", то вам ничего не грозит.

заключение:
служба тех. поддержки mail.ru до сих пор не отреагировала на мои замечания, а жаль... поэтому я и решил не тянуть, а показать замеченную мной ошибку.

в ближайшее время свяжусь с господином леоновым из bagtraq.ru , со службой поддержки каспера и админами серверов рассылки писем.

ну вот и всё. я рассказал всё что знал по этой теме настолько подробно, на сколько смог и частично развеял мифы о "неприступности" mail.ru.

помните:

нет такого сайта (сервера), который не ломается.
ошибки появляются там, где их совсем не ждёшь.
обращайте внимание на заголовки.

эта статья предназначена только для ознакомительных целей. ни в коем случае не реализовывайте на практике то, что вы прочитаете, так как вы несете полную ответственность за свои поступки в соответствии с действующим законодательством. я не отвечаю за достоверность информации и не несу ответственности за ваши поступки!  все что вы делаете, вы делаете на свой страх и риск!!!