linux user group brescia

> From: Luca Giuzzi <giuzzi a lugbs.linux.it>
>
> On Tue, Oct 07, 2003 at 11:38:20AM +0200, Vernia Damiano wrote:
> > 
> > On Tue, 7 Oct 2003, Vernia Damiano wrote:
> > 
> > 	Mi rispondo da solo:
> > 
> > 	Visto che me ne sono arrivati due ho potuto confrontare gli header
> > e la sola parte in comune e' "Return-Path". Ne deduco che il tipo con il
> > computer infetto e' "isiss.roma a tiscalinet.it", quindi e' a lui che devo
> > tirare le orecchie.
> non e' detto che sia questo il colpevole... pure il campo from e'
> talvolta forged e il Return-path lo e' sempre...

Anzi, con gli ultimi virus, il campo "from:" e' *normalmente* falsificato,
e lo e' utilizzando l'addressbook del computer infetto (in genere), da cui
quindi viene pescato sia il destinatario che il mittente (fasullo) della mail.

Quindi tu puoi solo dedurre che il tuo indirizzo, insieme a quello di
isiss.roma a tiscalinet.it, stanno nello stesso indirizzario del solito 'pirla'
che si e' lasciato infettare la mail e poi se ne va in vacanza.

A me e' capitata la stessa identica cosa, con l'aggravante che il computer
infetto aveva una connessione a banda larga :-(

I campi piu' sicuri sono proprio i vari "Received:", che vengono aggiunti
man mano che la mail attraversa i server SMTP; perlomeno l'ultimo dovrebbe
essere a posto!  Dopodiche' uno dovrebbe andare a spulciare i log di sistema
del server SMTP come ulteriore controllo.
Il problema e' che poi a conti fatti si finisce su un IP dinamico di qualche
grosso provider, e li' c'e' poco da fare, temp.

mp