Я расскажу о совершенно новом способе получения списка e-mail' ов из письма рассылки. Этот способ точно действует на mail.ru. Другие я не проверял.
Предисловие
Я сидел и читал книгу Максима Левина "E-mail "безопасная"". При описании способов получения инфы из заголовков писем, я подумал: "А почему бы мне не попрактиковаться?" В то время мне кто-то прислал "офигенно полезную прогу"; якобы ускоряет соединение с Internet на 100%. Весит 5 Kb. Если кто не догадался - это был троян. Разумеется, он писал не со своего мыла. И мне захотелось узнать кто бы это мог быть...
Сама история
Я просто настроил функцию в своём The Bat! на показ заголовка писем и принялся проверять первое пришедшее письмо. Им оказалась рассылка от Каспера (Касперский). Вы только полюбуйтесь какую инфу я вытащил (на всю ерунду верхних строк не обращайте внимания, только на последнюю служебную строчку):
From bounce@avp2000.com Wed Sep 18 11:20:58 2002
Envelope-to: gorchel@mail.ru
Delivery-date: Wed, 18 Sep 2002 11:20:58 +0400
...
Content-Type: text/plain; charset="koi8-r"
Subject: Общие новости: Вирусы не пройдут!
From: news@kaspersky.com
To: news@kaspersky.com
X-Envelope-To: мой_ящик@mail.ru,
другой_ящик@mail.ru,
третий_ящик@mail.ru,
их_там_20_штук@mail.ru,
Все эти ящики начинались на ту же букву, что и мой. Я решил проверить следующее письмо из списка рассылки. Им оказалось письмо то всеми уважаемого BagTraq.ru. Заголовки:
From 95026-errors@maillist.ru Tue Sep 17 02:46:14 2002
Envelope-to: gorchel@mail.ru
Delivery-date: Tue, 17 Sep 2002 02:46:14 +0400
...
List-Owner:
From: =?KOI8-R?B?TWFpbExpc3QucnU6IEJ1Z1RyYXE6IFJ1c3NpYW4g?=
=?KOI8-R?B?U2VjdXJpdHkgTmV3c2xpbmU=?=
To: =?KOI8-R?B?TWFpbExpc3QgbGlzdDk1MDI2IFN1YnNjcmliZXI=?=
Message-Id: <20020916221340.20F9267B7@round.agava.net>
X-Envelope-To: это_моё_мыло@mail.ru,
а_это_не_моё@mail.ru,
их_там_много@mail.ru,
аж_87_штук@mail.ru,
Сбылась мечта спамера!!! Здесь список ящиков начинался с разных букв алфавита.
Служба поддержки пользователей mail.ru
Не долго думая, я решил оповестить службу поддержки пользователей mail.ru (ранее называлась службой поддержки mail.ru). Привёл им заголовки и написал строки типа: "так как я хороший, я решил оповестить сначала Вас; через некоторое время я сброшу готовую статью на самые известные хак-серверы, но только после того, как Вы уберёте действующую ерунду". Через несколько часов я получил ответ: "В данном случае это вопрос к службе сервера рассылок, не к нам."
Анализ писем
Я принялся проверять заголовки писем, которые остались на моём компе, и выяснил: эта штука появилась на сервере мыла.ру позже 26 августа этого года из-за включения в заголовки писем строки "X-Envelope-To". 31 августа эта новая строчка в заголовке уже была. Также этот дефект возможен из-за неправильного формирования заголовка ПО службы рассылок. Mail.ru всего лишь "решила" показывать эту строчку.
Причём не только у Касперского, этим одновременно "заболели" 4 рассылки от разных услуг рассылки, и из рассылки писем, пользующейся услугами MailList.ru эта штука тоже есть!
Оптимальное использование ошибки
Хотя это не является ошибкой, это недочёт. Просто мне так больше нравится называть. Итак, предположим, нам нужно как можно больше получить e-mail'ов. Мы идём регистрироваться на мыло.ру. Создаём там ящики: a@mail.ru, b@mail.ru, c@mail.ru ........ z@mail.ru. Подписываем их на разные популярные списки рассылок: новости от всяких антивирусных компаний, на хакерских и якобы хакерских сайтах и т.д. Все созданные ящики настраиваем так, чтоб письма, приходящие туда форвардились на другой почтовый ящик, находящийся на сервере, который поддерживает эту функцию, желательно, с большим объёмом предоставляемого места. Да, это займёт много времени, но подумайте о полученных результатах! Затем просматриваем заголовки полученных списков (В The Bat! последних версий это делается так: вид-> показывать заголовки (RFC-822); если вы читаете почту, используя web-интерфейс - простое нажатие на ссылку (кнопку и т.д.) "Заголовки"). Ищем строчку "X-Envelope-To". Вот, собственно и всё. Недостаток: многие адреса будут совпадать. Но это можно обойти: напишите или найдите в инете прогу, которая будет обрабатывать файл с адресами и повторяющиеся удалять.
И снова о службе тех. поддержки:
Обо всём этом (ну, или почти обо всём) я написал в службу тех. поддержки. Я им написал, что они могут потерять клиентов, которых достали "бомбёжки": вроде и адрес нигде не светили, и куки не принимают, а какой-то .... продолжает их бомбить.
Эта статья написана 21 сентября. Ошибку же я обнаружил 17 сентября. Почему же так поздно была создана эта статья? Каковы мотивы?
Первый: мне действительно нравится их служба, и я хочу поддержать статус их сервака, как самого безопасного. Поэтому я дал им шанс исправиться.
Второй: вот сейчас ты читаешь эту статью. А задумывался ли ты, что кроме тебя, смелого, красивого и супер сильного хакера эту статью могут прочитать толпы ламеров, которые считают себя кул хацкерами?! Что тогда произойдёт с бедными зверьми мыла.ру?
Кстати, полученные ящики я не использовал и использовать не собираюсь, т.к. я придерживаюсь правила "не навреди". Нет-нет, это не Библия, это правило хакера.
"Больные" службы рассылок
Пока знаю только две: Subscribe.ru и MailList.ru. Остальные две, про которые я говорил, не пользуются чужими серверами для рассылок. К ним относится и рассылка от Каспера.
Защита
Как всегда (ну, или почти) простая: не используйте адреса на серваке mail.ru и ему подобных для получения писем с подписок. Лучше создайте ящик на серваке, где в заголовке нет сторчки "X-Envelope-To". Рекомендовать ничего не могу, сами поищите. Далее: подписываемся на нужные рассылки, а потом форвардим письма на ящик на мыле.ру. А если вы не используете серверы, показывающие в заголовке строчку "X-Envelope-To", то вам ничего не грозит.
Ну вот и всё. Я рассказал всё что знал по этой теме настолько подробно, на сколько смог и частично развеял мифы о "неприступности" mail.ru.
ПОМНИТЕ:
Нет такого сайта (сервера), который не ломается.
Ошибки появляются там, где их совсем не ждёшь.
Обращайте внимание на заголовки.
С благодарностью приму все замечания, несогласия и т.д.