Datum: 2014-08-31
ABC-klubbens nyhetsbrev 2014/4 I förra numret, det som gavs ut innan sommaren hade dragit igång ordentligt (och nu är den förbi - suck!), berättade vi hur man bör hantera sin e-post hos klubben. Vi hoppas att alla av oss har tagit till sig våra påbud. Även den här gången är vårt tema e-post. Närmare bestämt den - och vi tror oss ha en mycket stor majoritet av nätanvändarna bakom oss när vi skriver detta - värsta formen av e-post. Spam. Hur bör man hantera den? Kan man hjälpa till med att bekämpa den? Förra året drabbades ju klubben av att ytterst ofrivilligt bli en sorts spamcentral som i slutänden medförde att Sun-servern Hela plockades ned. Föråldrade operativsystem är farliga! Nyhetsbrevet där vi redogör för händelsen ligger tillgängligt på våra medlemssidor. Logga in och leta upp nummer 2013/6. Den här gången utgår vi från att alla har lagt på sina patchar och uppgraderingar i övrigt, men med ännu ett djupt stön tvingas konstatera att... ***Internetkriminaliteten är värre än någonsin*** Av NilsOla Nilsson Två orsaker till detta förhållande - läs gärna artikeln vi länkar till - är dels de låga trösklarna för sådana gärningar (lätta att utföra), dels är rättsliga påföljder ovanliga. http://www.infoworld.com/d/security/5-reasons-internet-crime-worse-ever-247649 En hel del av denna brottslighet baseras på spam via e-post. Spambreven används för att fiska, «phising», men också till bedrägerier och ett sätt att installera virus med diverse syften. För många år sedan hade en medlem i klubben en informativ webbsida som handlade om hur man anmäler spam. Den finns inte kvar. Problemen med spam finns däremot, som vi redan konstaterat, tyvärr kvar i allra högsta grad, liksom behovet av att upplysa alla drabbade hur man ska bete sig när man ska... ANMÄLA SPAM Jag brukar anmäla spam i allmänhet om jag orkar. Allvarliga fiskeförsök i synnerhet. Min metod? Fortsätt att läsa! * Titta på headern till spammet. (Hur man plockar fram denna skiljer sig från e-postprogram till e-postprogram. Oftast kan man enkelt få fram hela headern, eller i varje fall de viktigaste delarna.) * Leta efter raderna i headern med "Received: from <...>" Det finns oftast flera "Received:"; det gäller att hitta den rätta. Emellanåt är spammarna fiffiga och låter sitt skräp studsa flera gånger mellan olika servrar. Förnuftigast brukar vara att sikta in sig på raden där det står "Received: ... by violet ...". Violet är servern där klubbens Sendmail kör. * Läs från vänster till höger på "Recieved:"-raden vi diskuterade i förra stycket. Där hittar du en IP-adress. Exempel från verkligheten kan se ut så här: ************************************************* Received: from vps9036.inmotionhosting.com (vps9036.inmotionhosting.com [198.46.84.213]) by violet.abc.se (8.13.8/8.13.8) with ESMTP id s75DYL3G027690 ************************************************* IP-adressen vi ska engagera oss i här är således 198.46.84.213. * Använd en whois-tjänst för att få mer information om avsändaren, eller rättare sagt - den Internetleverantör som spammaren begagnat sig av för spridningen av eländet. Använder du Mac OS X eller någon sorts Unix kan du i ett terminalfönster skriva "whois <IP-adress>". Det finns också webbaserade whois-tjänster. I informationen från whois-slagningen ska du leta rätt på kontaktadressen för så kallade abuse-anmälningar. Den ska alltid finnas! Annars är något väldigt skumt! Av whois i det konkreta fall vi utgår från fick jag fram följande: ************************************************* OrgAbuseEmail: abuse@inmotionhosting.com ************************************************* Med kontaktuppgifterna i hamn författar man brevet som ska skickas till den så kallade abuse-adressen. Det bör innehålla HELA spammet - innehållet plus headern. Får du av någon orsak inte fatt i hela headern, försök i så fall att plocka med så mycket som möjligt. Personligen använder jag ett litet script som kan klippa ut brevet i sin helhet direkt från spoolen, alltså filen där alla brev hamnar efter att Sendmail på Violet gjort sitt jobb. På så sätt får man garanterat med all information. * Plocka således med allt som utgör spammet i brevet till abuse-adressen. Bilagor bör undvikas, eftersom sådana kan filtreras bort i vissa sammanhang. Lämplig rubrik kan vara något i stil med «Possibly phishing spam» - det är inte min sak att avgöra vad det är, utan är Internetleverantörens uppgift. Handlar det om försök att lura av dig på dina PayPal-uppgifter eller Apple-id finns det särskila abuse-adresser. Dessa är spoof@paypal.com respektive abuse@apple.com, vilka man i så fall bör använda parallellt med den «vanliga» abuse-adressen. Klart! Förresten - om skräpet är skrivet på svenska och innehåller reklam, kan du anmäla det till Konsumentverket via denna länk: http://www.konsumentverket.se/Vagledning--kontakt/Gor-en-anmalan/Anmal-via-webben/Spam/ Frågan man efter arbetet med anmälan givetvis ställer sig är... LÖNAR DET SIG ATT ANMÄLA? Tja, ofta uteblir all sorts respons. Det kan dock hända att serverägarens representanter hör av sig. Fallet som vi refererat till ovan avslutades med ett långt tackbrev där man upplyste mig att de åtgärdat saken (vilket borde innebära att användaren ifråga är avstängd eller i varje fall förhindrad att skicka e-post i fortsättningen). Även om svaren uteblir - systemadministratörer brukar ha ganska mycket att göra - är min erfarenhet att spammandet minskar, åtminstone på sikt, om man anmäler. Det leder trots allt till extra besvär för spammaren. Han måste byta till andra webbhotell med mera. Ofta får man efter sådana här åtgärder ett par spam till som liknar det man anmälde. Antagligen från samma spammare, men varefter det dör ut efter någon tid. Man behöver inte anmäla allt. Man kan nöja sig med ett urval, men allvarliga bedrägeriförsök som utnyttjar banktjänster eller PayPal eller liknande genom att använda deras varumärken - sådana ska alltid uppmärksammas. Som ett slags solidaritetshandling med alla andra Internetanvändare. Redaktionen rekommenderar alla att bokmärka den här adressen för framtida bruk: http://www.abc.se/member/spam.html ***Kod att köras intepreterat*** Scriptet som jag nämnde ovan är skrivet i Perl och icke-kommenterat. Vi berättar kortfattat om innebörden nedan. #!/usr/bin/perl $start = $ARGV[0]; $end = $ARGV[1]; $active = 0; while (<STDIN>) { if ($active) { if (/$end/) { last; } else { print; } } else { if (/$start/) { print; $active = 1; } } } Jag kör scriptet, som getts namnet "klipp_ut_ur_fil" så här på klubbens maskiner - exemplet följer fortfarande spammet vi diskuterat ovan: $ ~/perl/klipp_ut_ur_fil.pl quemodel@vps9036.inmotionhosting.com "^From " < /var/mail/m10785 > /tmp/fr Inga kommentarer finns i själva koden, men så här är arbetar scriptet: Första argumentet är texten där urklippet ska börja, i detta fall den påstådda avsändaradressen. Argument nummer två är textsträngen där urklippet ska sluta; i vårt fall "From ", det vill säga ordet "From" med ett mellanslag efter bokstaven "m". Varje nytt brev i spoolfilen såsom den ser ut på klubbens server börjar nämligen med "From " utan ett kolon efter. Villkoret i scriptet är dock inte helt vattentätt, eftersom "From " kan finnas i själva brevtexten. Men det har inte skett hittills... Eftersom jag själv kontrollerar resultatet fungerar det ändå för mig personligen. På kommandoraden är STDIN (efter tecknet <) min spoolfil. STDOUT (efter tecknet >) är dit jag vill ha resultatet av scriptet. Kör hårt med de förpestande spammarna! Redaktionen red@abc.se artikel@abc.se