依封就直接好多, 話你可以領取一筆抽獎(大概似六合彩)既款項, 快d 去聯絡佢俾個人資料佢去 claim 啦

新しいメールアドレスをお知らせします

新しいメールアドレス： xxx@yahoo.co.jp

You have therefore been approved to claim a total sum of 1,300,000 pounds( One Million, Three Hundred Thousand Pounds) in cash credited to file KTU/9023118308/05of Irish Lottery.Contact XXXXX for your Claim on (xxx@yahoo.fr)

- Mary

不過依封 Email 想拎出黎講係另有原因, 首先睇下個 Email header,

Received: from web3507.mail.bbt.yahoo.co.jp (web3507.mail.bbt.yahoo.co.jp [202.93.80.97])
by xxx.net (8.11.6/8.11.6) with SMTP id lBT146S25901
for <xxx@xxx.com>; Sat, 29 Dec 2007 09:04:06 +0800
Received: (qmail 44501 invoked by uid 60001); 29 Dec 2007 01:02:55 -0000

…
Message-ID: <20071229010255.44496.qmail@web3507.mail.bbt.yahoo.co.jp>
Received: from [41.219.203.43] by web3507.mail.bbt.yahoo.co.jp via HTTP; Sat, 29 Dec 2007 10:02:55 JST

Sender Policy Framework 證明 Email 來源

依封 Email 獨特之處係真係經由日本既 yahoo web mail 發出, 跟據 Sender Policy Framework(SPF):

#dig -t TXT yahoo.co.jp

yahoo.co.jp. 425 IN TXT "v=spf1 include:spf01.yahoo.co.jp include:spf02.yahoo.co.jp ~all"

用 dig 黎睇睇 yahoo.co.jp domain 入面既 Text records TXT, 係用緊 SFP version 1 (v=spf1) 既 syntax, ~all 即係 softfail, 即係話如果有email 由 spf01.yahoo.co.jp 同 spf02.yahoo.co.jp lists 以外既地方 send 出黎, 即係有可能係假野。再 dig spf01.yahoo.co.jp domain 入面既 TEXT record,

spf01.yahoo.co.jp. 175 IN TXT "v=spf1 ip4:124.83.153.0/24 ip4:124.83.155.0/24 ip4:124.83.165.0/24 ip4:124.83.168.0/24 ip4:124.83.170.0/24 ip4:124.83.178.0/24 ip4:124.83.181.0/24 ip4:202.93.76.0/24 ip4:202.93.80.0/24" " ip4:202.93.83.0/24 ip4:202.93.84.0/23 ip4:202.93.86.0/24 ip4:202.93.90.0/24 ip4:203.141.34.0/23 ip4:203.141.44.0/24 ip4:210.80.241.0/24 ip4:211.14.15.0/24 ip4:211.14.23.0/24 ~all"

你會見到 202.93.80.97 係個list 入面。 因為 domain name records 理論上係 domain name 持有人先可以修改 (除非你用緊個假 DNS server), 所以理論上佢 list 得出既 mail server 就係真係屬於佢。

DomainKey-Signature

除左 SPF 之外, 順便提一提仲有個好麻煩既
DomainKey-Signature。DomainKey-Signature 係用黎核實個 email 係由某 domain 既
server send 出黎, 而且當中某d header 係未經改過, 因為用黎加密既 private key 只係 domain name 既持有人及佢既 server 先有, 而放係 domain name TEXT record 既 public key 亦都係 domain name 既持有人先可以有權設定。

首先 send email 出黎既 server 會用佢既 private key 加密一段message, 咁收
mail 既 server 就可以由 domain name 度拎條 public key 成功將段 message 解密,

DomainKey-Signature: a=rsa-sha1; q=dns; c=nofws; s=yj20050223; d=yahoo.co.jp;
h=Message-ID:Received:X-RocketDSI:Date:From:Reply-To:Subject:To:MIME-Version:Content-Type;
b=L31+5EZcjE7fpN6HWyKq6j8iGzStqK0b8w9N57u83B8QXSuwSxpIEl1oeH/E/EE57WIAAB
btHvh6J0AicslGzZUrDFszNywNC+F34a0HB/Or7mU+0JgpXT7DXcB0x4UE ;

s= 之後既係個 server name, d= 之後就係 domain name, 要拎個 public key 就可以咁樣 dig 出黎,

dig -t txt yj20050223._domainkey.yahoo.co.jp

20050223._domainkey.yahoo.co.jp. 900 IN TXT "k=rsa\; t=y\; p=

MHwwDQYJKoZIhvcNAQEBBQADawAwaAJhALU/r+4Oj3BEIwGokMgz
7qnnGmy41zaMcxlTeSZshJzB9n3eqJjGwywcB0/0HpwldMgI121DDtE
fXSWc2p+2YGxePO/50uQZzJ3Y38wszEjGJ7r50J+jSPQ/ir5j0WVQlwID
AQAB\; n=A 768 bit key\;"

768 bits key…. 至於核實, 首先 h= 列出 sender server 用 SHA-1 hash 左既 headers, 而 b= 就係 用 private key 加密完之後再用 base64 encode 出黎既 message。所以收email 個一方只要用 base64 decode 左 b=, 然後再用 p= 黎做 SHA-1 解密, 收 email 既用 h= 列出既 headers 用返 SHA-1 黎做 hash, 咁 解密左既sender hash 同 hash 收 email 既一樣, 就証明左 h= 列出既 header 係冇經第三者修改….

由於太煩既關係我暫時唔示範點樣解. 總之 SPF 都夠証明佢出自 yahoo web mail 就算了。

由 Yahoo web mail send 出黎又如何?

即係由網頁機器人黎自動係 web browser 度控操 Yahoo web mail 既頁面黎 send junk mail (本人都做過類似既自動化 program, hohoho), 而 run 依個 program 既人身處既地方, 用返個 ip 黎lookup 41.219.203.43 既話…

dial-pool42.lg.starcomms.net

原來係非洲既毛理求斯, 上日本既 web mail 黎發 email 呃人, 問你服唔服。

不過依d email 通常都比較易追蹤, 然後俾人block 左個account, 結果可能就算d 水魚覆 email 都收唔到, 所以封特登留多個 email, 叫人覆去個 xxx@yahoo.fr 度… 係法國既 Yahoo mail…

從少少既一封 spam, 就可以睇到咁多野, 有時都幾過癮。哈哈!