Ik krijg de laatste tijd erg veel spam van het domein "facebookmail.com." Zo'n 10x per dag. De inhoud bevat dan allerlei links naar malware sites. Omdat de spam van "facebookmail.com" de enige spam is die ik ontvang, ben ik de headers eens gaan analyseren.
Een SPF lookup van facebookmail.com geeft het volgende:
v=spf1 ip4:69.63.178.128/25 ip4:69.63.184.0/25 ip4:66.220.144.128/25 ip4:66.220.155.128/25 ip4:69.171.232.128/25 ip4:66.220.157.0/25 -all
66.220.157.101 Zoals in de headers van de voorbeeldspam staat in de SPF van "facebookmail.com"
Een whois van facebookmail.com verwijst naar dezelfde eigenaar als facebook.com:
http://www.whois.com/whois/facebook.com
http://www.whois.com/whois/facebookmail.com
Een blacklistcheck van het IP adres levert geen entries op:
http://mxtoolbox.com/Supe...lacklist%3a66.220.157.101
facebookmail.com Lijkt dus echt van Facebook te zijn. Er komt overigens op de echte facebook geen bericht binnen, zoals een vriendschapsverzoek, een bericht of enige melding van activiteit op Facebook.
Dit zijn de headers van een van de spamberichten:
Is deze spam op een of andere manier te stoppen? Ook al kan de verzender zich voordoen als de echte facebook?
Een SPF lookup van facebookmail.com geeft het volgende:
v=spf1 ip4:69.63.178.128/25 ip4:69.63.184.0/25 ip4:66.220.144.128/25 ip4:66.220.155.128/25 ip4:69.171.232.128/25 ip4:66.220.157.0/25 -all
66.220.157.101 Zoals in de headers van de voorbeeldspam staat in de SPF van "facebookmail.com"
Een whois van facebookmail.com verwijst naar dezelfde eigenaar als facebook.com:
http://www.whois.com/whois/facebook.com
http://www.whois.com/whois/facebookmail.com
Een blacklistcheck van het IP adres levert geen entries op:
http://mxtoolbox.com/Supe...lacklist%3a66.220.157.101
facebookmail.com Lijkt dus echt van Facebook te zijn. Er komt overigens op de echte facebook geen bericht binnen, zoals een vriendschapsverzoek, een bericht of enige melding van activiteit op Facebook.
Dit zijn de headers van een van de spamberichten:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
| Received: from smtpin.mx.facebook.com (66.220.157.101) by ...
(10.11.11.50) with Microsoft SMTP Server id 15.0.847.32; Sun, 10 Aug 2014
00:04:18 -0700
Return-Path: <invite+Ac2NodWxsZXJAZmFjZWJvb2suY29t@facebookmail.com>
DKIM-Signature: v=1; a=rsa-sha256; d=fwd.facebook.com; s=s1024-2013-q3; c=relaxed/simple;
q=dns/txt; i=@fwd.facebook.com; t=1407654225;
h=From:Subject:X-:Date:To:MIME-Version:Content-Type:Authentication-Results;
bh=FFOnTO763SVU+w+uxY6383iNfw5lVumpQmZZTqAF1lE=;
b=mxdPN/VGyiu2VSEp5CdlWlb63a0jun9aVzp7AMR+dIm1Wb4KANhqAIvOCEAWgp5K
N+CwlZBclHjaecVgOedlFV7OIwhV03vldM8NUsptSlEzT8sZ+3ursWoVua+UM9vu
VrNuCuPlEI3RNh4qSw9jvbh08AScL18bu715uwHAeTA=;
X-Original-To: ...@facebook.com
Authentication-Results: smtpin.mx.facebook.com; spf=unknown smtp.mailfrom=facebookmail.com
Received-SPF: Pass (...: domain of
invite+Ac2NodWxsZXJAZmFjZWJvb2suY29t@facebookmail.com designates
66.220.157.101 as permitted sender) receiver=...;
client-ip=66.220.157.101; helo=smtpin.mx.facebook.com;
Received-SPF: error (smtpin.mx.facebook.com: 10.102.107.89 is neither permitted nor denied by domain of facebookmail.com
Authentication-Results: smtpin.mx.facebook.com; dkim=pass header.d=facebookmail.com
Received: from [10.102.107.89] ([10.102.107.89:46061]
helo=mx-out.facebook.com) by 10.102.107.39 (envelope-from
<invite+Ac2NodWxsZXJAZmFjZWJvb2suY29t@facebookmail.com>) (ecelerity 2.2.3.50
r(45166/45167)) with ESMTPS (cipher=DHE-RSA-AES128-SHA) id
9F/C0-12914-05917E35; Sun, 10 Aug 2014 00:03:44 -0700
Received: from facebook.com
(hlvhuVjqOgcxBDmmtSI60spnpVS6eHRL9VEuiJp7lefQnykjgd+h/M0aWPPR4Oz3
10.102.107.89) by facebook.com with Thrift id
77e66d04205c11e4be6b0002c9b1ccf6-2afcd3e0; Sun, 10 Aug 2014 00:03:44 -0700
X-Facebook: from 10.78.213.35 ([MTI3LjAuMC4x])
by async.facebook.com with HTTP (ZuckMail);
Date: Sun, 10 Aug 2014 00:03:44 -0700
To: <...@facebook.com>
From: Ernest Shank <invite+Ac2NodWxsZXJAZmFjZWJvb2suY29t@facebookmail.com>
Reply-To: Ernest Shank <noreply@facebookmail.com>
Subject: Check out my photos on Facebook
Message-ID: <94b9cd6fcf89ac07abe29e40eb4fb6a0@async.facebook.com>
X-Priority: 3
X-Mailer: ZuckMail [version 1.00]
Errors-To: invite+Ac2NodWxsZXJAZmFjZWJvb2suY29t@facebookmail.com
X-Facebook-Notify: general_invite; mailid=HMTczMDg2MzM0OnNjaHVsbGVyQGZhY2Vib29rLmNvbTo4
X-FACEBOOK-PRIORITY: 1
X-Auto-Response-Suppress: All
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="b1_94b9cd6fcf89ac07abe29e40eb4fb6a0"
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=facebookmail.com;
s=s1024-2013-q3; t=1407654224;
bh=FFOnTO763SVU+w+uxY6383iNfw5lVumpQmZZTqAF1lE=;
h=Date:To:From:Subject:MIME-Version:Content-Type;
b=XRI6MWqzIjRgG6UbgdF+3iFZ03kl8ui+VPJrgqZbV1tD5LGgW+/P+VTJ3etaiUyJ7
8tVCdwsZEM8P67NCBI/oZVS0nKzR+eLHm+4XLBeeft+Ok+8d3BMrA9ofbiELV+jtl4
QOJxZsX87MPkjKKeoQICeBpU2n2jU+UJPmR/SeT8=
X-MS-Exchange-Organization-PRD: facebookmail.com
X-MS-Exchange-Organization-Network-Message-Id: 04ee1275-bf9e-463e-95f7-08d1828072fe
X-MS-Exchange-Organization-PCL: 2
X-MS-Exchange-Organization-Antispam-Report: DV:3.3.5705.600;SID:SenderIDStatus Pass;OrigIP:66.220.157.101
X-MS-Exchange-Organization-SCL: 0
X-MS-Exchange-Organization-SenderIdResult: PASS
X-MS-Exchange-Organization-AVStamp-Enterprise: 1.0
X-MS-Exchange-Organization-AuthSource: ...
X-MS-Exchange-Organization-AuthAs: Anonymous |
Is deze spam op een of andere manier te stoppen? Ook al kan de verzender zich voordoen als de echte facebook?
:strip_exif()/u/109857/ico2.gif?f=community)
:strip_icc():strip_exif()/u/141265/soulrider.jpg?f=community)
/u/37422/crop614599366878b_cropped.png?f=community)
:strip_exif()/u/294184/20150204_SITE_GIF_VALKUIL-resized.gif?f=community)
/u/141398/IMG_5314%2520.JPG?f=community)
/u/243496/appel-forum.png?f=community)