Poczta O2 - Odbiorcy nie będący adresatami
Cześć wykopki, to moja pierwsza tak długa wiadomość na wykopie. Nie sądziłem że kiedykolwiek takową napiszę, ale w tym przypadku wydaje się to być koniecznie, gdyż możemy mieć tutaj do czynienia z potencjalnym wyciekiem danych zawartych w wiadomościach których adresatami są użytkownicy serwisu o2. W dużym skrócie, odnoszę wrażenie, że czasem w wyniku jakiegoś błędu systemowego, wiadomości mailowe mogą lądować na skrzynkach kompletnie innych użytkowników niż ich pierwotnych adresatów. Przejdę zatem do rzeczy...
Spam który nie jest mój - odbiorca inny niż adresat
Dzisiaj coś mnie tknęło i z ciekawości otworzyłem jedną ze spamowych wiadomości aby zobaczyć skąd została wysłana. Nadawca nie był dla mnie żadnym zaskoczeniem, ot jakaś kompletnie nie znana mi domena. Moim zaskoczeniem był natomiast fakt, że wiadomość ta została do mnie dostarczona pomimo że nie byłem nawet jej adresatem. Jako że o2 pozwala na podejrzenie źródła wiadomości, natychmiast z ciekawości je sprawdziłem.
Ze względu na estetykę i długość źródeł, postanowiłem wrzucić ja na pastebin. Ponadto, przez wzgląd na prywatność postanowiłem zmienić zarówno swój adres jak i adres osoby do której wiadomość była adresowana, ponieważ adres ten zawierał (prawdopodobnie) imię i nazwisko tejże osoby. Tym samym wspomniane powyżej adresy widnieć będą jako kolejno moj@adres.email oraz aniakowalska@o2.pl. Adresy pierwotnego nadawcy postanowiłem pozostawić bez zmian.
Pierwsze źródło: https://pastebin.com/nLHjPtdF
Na samym początku pomyślałem sobie, że być może aniakowalska@o2.pl to tylko pośrednik w tym całym spamie który przekierował go na mój adres, jednakże źródło wiadomości nie tylko nie potwierdza tego przypuszczenia, ale wręcz kompletnie mu zaprzecza.
W tym momencie warto zaznaczyć, że niektóre spamowe wiadomości starają się celowo udawać bycie wysłanym do złego adresata, aby wzbudzić ciekawość ofiary. Takowe wiadomości manipulują nagłówkiem "To:" które teoretycznie powinno oznaczać docelowego odbiorcę wiadomości. Jest to na tyle powszechna i łatwa manipulacja, że chyba każdy kto względnie interesuje się tematyką techniczną jest świadomy jej istnienia. Na tym mógłbym zakończyć swoją wiadomość, gdyby nie fakt, że jest jeszcze jeden istotny nagłówek, który nie jest podatny na tego typu manipulację - nagłówek "Received".
Gdyby wiadomość była faktycznie adresowana do mnie, wówczas w źródle powinienem znaleźć nagłówek "Received" wskazujący na mój adres jako adresata ("for <moj@adres.email; 1 Jan 2019 00:00:00 +0100"). Jak widać po załączonym źródle, nic takiego się tam nie pojawia. Jedynym nagłówkiem który wskazuje na mnie jest w tym przypadku "Delivered-To" wskazujący na mnie, ponieważ jestem de facto odbiorcą wiadomości (nie adresatem!). Co więcej, nagłówek Recieved wyraźnie wskazuje na to, że adresatem tej wiadomości miał być ktoś kompletnie inny ("for <aniakowalska@o2.pl>; 8 Jan 2019 20:55:48 +0100").
Dlaczego nie powinniśmy ufać nagłówki "To", a pomimo tego ufam nagłówkowi "Received"? Nie jestem specjalistą w zakresie serwerów poczty a szczytem moich osiągnięć w tym zakresie było postawienie swojego własnego serwera mailowego na debianowym VPSie, więc na wszelki wypadek załóżcie że to co teraz powiem jest błędne, a jeśli jest na sali jakiś specjalista w temacie serwerów pocztowych to chętnie usłyszę potwierdzenie lub zaprzeczenie moich słów. Otóż nagłówki "Received" w przeciwieństwie do nagłówków "To" nie są przekazywane przez nadawcę, lecz są generowane przez sam serwer SMTP (który odbiera i nadaje wasze wiadomości) w momencie otrzymania wiadomości. Oznacza to, że w przeciwieństwie do nagłówków "To", nadawca wiadomości nie żadnego wpływu na to, jaka będzie zawartość naszego nagłówka Received. Nadawca może określić swojego adresata docelowego oraz musi zidentyfikować się jako serwer z którego wiadomość pochodzi, lecz nie może tymi danymi manipulować w dowolny sposób.
Listy mailingowe - niepozorna wskazówka
Postanowiłem pogrzebać jeszcze trochę w spamie aby zobaczyć, czy takich przypadków nie ma na mojej poczcie jeszcze więcej. W tym momencie wspomnę, że ilość spamu która przychodzi na moje konto pocztowe nie jest zbyt duża (więcej reklam otrzymuje od samego o2). Wiem co się powszechnie mówi o klikaniu w spamowe linki, ale bardzo duża ilość spamowych wiadomości posiada odnośnik służący do wypisania waszego adresu email z ich spam listy, z czego sam aktywnie korzystam i zauważyłem faktyczny spadek w ilości spamu odkąd zacząłem to robić. Wspominam o tym dlatego, że w mojej głowie nagle zaświeciła się pewna lampka, która aż razi mnie swoją oczywistością i lekko zawstydza faktem, że wcześniej nie zwróciłem na to uwagi.
Jak już nadmieniłem wyżej, wiele firm trudniących się w rozsyłaniu spamu działa całkiem legalnie, jako że w wielu przypadkach sami wyraziliśmy zgodę na otrzymywanie treści przezeń otrzymywanych. Jako legalne firmy chcące uniknąć niepotrzebnych sporów, dodają one do swoich wiadomości odnośniki służące wypisaniu naszego adresu z listy mailingowej. Wypisanie się z listy mailingowej przeważnie działa na jednej z dwóch sposobów:
Sposób 1) Odnośnik do wycofania subskrypcji posiada w sobie token przypisany do naszego adresu email, przez co samo otworzenie odnośnika, bądź w niektórych przypadkach otworzenie odnośnika i potwierdzenie, jest wystarczające do usunięcia naszego adresu email z ich listy mailingowej.
Sposób 2) Odnośnik przekierowuje nas do strony z formularzem, w którym to możemy wprowadzić nasz adres email celem usunięcia go z listy mailingowej. Po wprowadzeniu naszego adresu email, serwer kasuje podany adres ze swojej bazy mailingowej i informuje użytkownika o zakończonym procesie.
W tym przypadku interesującym elementem całej tej układanki jest sposób drugi. Przeważnie serwer najzwyczajniej w świecie odbiera podany adres email i wysyła do bazy danych żądanie usunięcia podanego adresu jeśli ten istnieje i informuje użytkownika o powodzeniu niezależnie od tego co dokładnie stało się po stronie serwera. Oznacza to, że jeśli podamy kompletnie wymyślony adres email, wówczas w dalszym ciągu otrzymany informację o powodzeniu, ponieważ żądanie usunięcia zostało wykonanie niezależnie od tego czy dany rekord istniał w bazie, czy też nigdy go tam nie było. Jednakże, niektóre systemy mailingowe są odrobinę bardziej rozbudowane i posiadają wbudowany system sprawdzający, czy adres email który chcemy usunąć z bazy faktycznie w niej istnieje i zostaniemy poinformowani o niepowodzeniu, gdy tylko spróbujemy usunąć adres email który nie istnieje.
Tutaj właśnie przechodzimy do sedna sprawy. Zdarzało mi się w przeszłości wypisywać z list mailingowych poprzez podawanie mojego adresu email, na co serwer reagował informując mnie o tym, że mój adres email nie istnieje w bazie danych. Przeważnie myślałem sobie "ok, nie istnieje czyli go skasowali", uznając komunikat za dziwnie skonstruowane potwierdzenie. Teraz patrząc wstecz na całą tą sytuację dotarło do mnie, że być może te komunikaty wcale nie były źle skonstruowane? Co jeśli faktycznie mojego adresu nigdy nie było na liście mailingowej, a spam który otrzymywałem był adresowany do kogoś zupełnie innego?
Im dalej w las, tym więcej drzew
Wiadomość którą podałem na samym początku nie była jedyną, która omyłkowo trafiła na moją pocztę. Pomyłek pojawia się znacznie więcej:
Drugie źródło: https://pastebin.com/GfQG2JRR
Tutaj sytuacja jest o tyle śmieszna, że mamy do czynienia zarówno z błędnym odbiorcą (oryginalnego adresata zmieniłem na XXX@o2.pl dla zachowania anonimowości) jak i zmanipulowanym adresatem w nagłówku "To:". I tak oto pozornym adresatem miał być adres admin@hotshare.pl, faktycznym adresatem był XXX@o2.pl, a wiadomość trafiła do moj@adres.email. Co ciekawe wiadomość zwrotna jest adresowana na admin@hotshare.pl, który jest oznaczony jako rzekomy odbiorca, chociaż mógł to być wyłącznie błąd w platformie mailingowej użytej przez nadawcę.
Trzecie źródło: https://pastebin.com/3qp4cfh0
Ponownie, adresatem był ZZZ@o2.pl, a wiadomość ostatecznie dotarła na moją skrzynkę moj@adres.email.
Czwarte źródło: https://pastebin.com/WLty1KTd
Sytuacja podobna jak w źródle drugim, chociaż jeszcze trochę bardziej zakręcona. Rzekomym odbiorcą jest BBB@o2.pl, faktycznym odbiorcą miał być AAA@o2.pl natomiast koniec końców wiadomość odebrał moj@adres.email. Różnica w stosunku do źródła drugiego jest taka, że tutaj adres zwrotny jest inny niż nadawca, co oznacza że w całym "procesie" udział biorą pozornie aż 4 adresy email.
Piąte źródło: https://pastebin.com/G43H97EW
Na sam koniec chciałem pokazać jak wygląda źródło spamu którego jestem faktycznym adresatem. Tutaj wszystko jest w porządku i w nagłówkach "Received:" widać wyraźnie, że adresatem miał być moj@adres.email i taki też adres jest podany jako finalnego odbiorcę wiadomości w nagłówku "Delivered-To:".
Na mojej poczcie na pewno wala się znacznie więcej nieprawidłowo dostarczonych wiadomości, ale wydaje mi się że to co już zademonstrowałem jest wystarczające, aby stwierdzić że coś tutaj nie działa tak jak powinno.
To tylko spam, w czym problem?
Na samym początku zamierzałem sprawę zignorować, ot po prostu jakieś spamowe wiadomości które i tak skasuje masowo jednym kliknięciem. Ale czy aby na pewno? Samo wyszukanie powyższych wiadomości z błędnym odbiorcą zajęło mi trochę czasu i mogę z czystym sercem powiedzieć że wiadomości takie należą do mniejszości, a większość spamu jest faktycznym spamem wysyłanym pod moim adresem. Problem jest taki, że skoro spam potrafi z jakiegoś powodu dostać się do skrzynki osoby która nie była jej adresatem, to skąd pewność że to samo nie przytrafi się z jakimś ważnym emailem? Co jeśli ważny email z poufnymi informacjami trafi do kompletnie przypadkowej osoby? Co jeśli ktoś zapomniał swojego hasła do konta w tibii i jego email do resetu hasła zostanie odebrany przez kogoś kompletnie innego? Jeśli spam trafia do osób które nie były jego adresatami, jestem przekonany że to samo może stać się z każdą inną wiadomością.
Dlaczego zatem wszystkie moje przykładowe wiadomości to spam? Ilość spamu przelatująca przez serwery pocztowe jest ogromna i wie o tym każdy kto posiada konto pocztowe z którego korzysta od parunastu lat, wliczając w to wczesne lata gdzie podawaliśmy swoje adresy na prawo i lewo bezmyślnie nie zważając na to, że mogą one trafić przez to na najróżniejsze listy mailingowe. Powód dla którego wszystkie błędne wiadomości są spamem wydaje mi się być dosyć logiczny. Ilość spamu znacznie przekracza ilość normalnych wiadomości, a co za tym idzie, większa pula wiadomości idzie w parze w większym prawdopodobieństwem na to, że któraś z tych wiadomości natrafi na błąd powodujący przekierowanie jej do innego odbiorcy.
Podsumowując, wszystkie znaki na niebie i ziemi dają mi do zrozumienia jedną z dwóch rzeczy: albo faktycznie natknąłem się na poważny problem z serwerami pocztowymi o2, albo niepotrzebnie wzniecam panikę a cały mój wywód jest bezsensowny ponieważ pominąłem jakąś oczywistą rzecz, która neguje wszystkie moje argumenty. Jaka jest wasza opinia w tej sprawie?
Komentarze (8)
najlepsze
Chlopaki pewnie w 10 min powiedza czy dobrze/zle myslisz.