¿Cómo analizar las cabeceras de un email identificado como SPAM?
Tras nuestro post en el que analizábamos las cabeceras de un email considerado libre de spam, esta vez os ayudamos a analizar las cabeceras de un correo que ha sido considerado como spam. Cogemos el ejemplo de un spam con “Asunto”: “AAA Top Quality, Designer Rep1icaWatches, 100% exact as original. from $180, Buy 2 get 15% OFF duj c9r”
Return-Path: <mireille_mamie_gx@glenmartin.com>
Delivered-To: o….@….net
X-Virus-Scanned: nomduserveur.net
X-Spam-Flag: YES
X-Spam-Score: 21.361
X-Spam-Level: *********************
X-Spam-Status: Yes, score=21.361 required=5 tests=[BAYES_99=5, DCC_CHECK=3.5,
DIGEST_MULTIPLE=0.001, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E4_51_100=2.5, RAZOR2_CF_RANGE_E8_51_100=2.5,
RAZOR2_CHECK=0.5, URIBL_AB_SURBL=1.86, URIBL_BLACK=5]
Received: from zrvusrv (coltel-gw-vpdn-p868.coltel.ru [83.167.75.109])
by toto.net (Postfix) with ESMTP id 89E7153C343;
Wed, 13 May 2009 16:48:36 +0200 (CEST)
From: “Mireille Mamie” <mireille_mamie_gx@glenmartin.com>
Subject: AAA Top Quality, Designer Rep1icaWatches, 100% exact as original. from $180, Buy 2 get 15% OFF duj c9r
X-Sender: <mireille_mamie_gx@glenmartin.com>
To: <beeckman.hugo@perso.be>
Reply-To: “Mireille Mamie” <mireille_mamie_gx@glenmartin.com>
In-Reply-To: <adc501c9cf5c$65cc3409$49c161ed@byuxmo1>
Sender: <mireille_mamie_gx@glenmartin.com>
Date: Wed, 13 May 2009 06:55:17 -0700
Message-ID: <1242222917.4201@glenmartin.com>
Content-Type: text/plain;
charset=”iso-8859-2″
Content-Transfer-Encoding: 8bit
X-SOCIETE-Spam: YES (21.361/5)
Cada email que atraviesa un relé SMTP está controlado para que pase por el sistema antispam. Se efectúan muchos test en el contenido del correo (la cabecera).
Los test pueden ser los siguientes: palabras claves referenciadas dentro de una base de datos mundial, presencia de MAYÚSCULAS en el asunto, el formato del email…
Cada uno de estos test tiene un peso dado. Se asigna una nota al correo, la cual es la suma del peso de todos los test que han dado positivo. El tratamiento depende de la nota global que ha obtenido el correo.
| Nota | Tratamiento |
| Inferior a 2 | El email es tratado con normalidad y sin modificación. |
| Entre 2 (incluido) y 5 | Se añaden las cabeceras al correo indicando el nivel de spam. La parte visible (asunto y cuerpo) del mensaje no se modifica. |
| Entre 5 (incluido) y 10 | Se añaden las cabeceras del correo y se modifica el asunto (Se añade al inicio “***SPAM***”). |
| Superior a 10 | El email se ignora y no es tratado. |
Si la nota sobrepasa lo previsto (en general 5 ó 6) el email es declarado como SPAM.
Análisis de la cabecera de un email analizado como positivo.
Cuando la nota de un email es de entre 2 y 10, se añaden al mensaje las cabeceras siguientes:
- X-Spam-Status
- X-Spam-Level
- X-Spam-Score
- X-Spam-Flag
X-Virus-Scanned: El mensaje ha pasado a través de los anti-virus
X-Spam-Flag: YES:
X-Spam-Score: 21.361
X-Spam-Level: *********************
X-Spam-Status: Yes, score=21.361 required=5 tests=[BAYES_99=5, DCC_CHECK=3.5,
DIGEST_MULTIPLE=0.001, RAZOR2_CF_RANGE_51_100=0.5,
RAZOR2_CF_RANGE_E4_51_100=2.5, RAZOR2_CF_RANGE_E8_51_100=2.5,
RAZOR2_CHECK=0.5, URIBL_AB_SURBL=1.86, URIBL_BLACK=5]
| Cabecera | Significado |
| X-Spam-Status | Permite realizar un resumen del estado del correo. Podéis encontrar su nota, los test que han sido positivos y sus pesos. |
| X-Spam-Level | Contiene n carácter(es) «* », n siendo la parte entera de la nota obtenida por el correo. |
| X-Spam-Score | Contiene la nota obtenida por el correo |
| X-Spam-Flag | Indicación binaria (YES o NO) sobre el estado de SPAM del correo. |
Herramientas útiles
Podéis encontrar el origen de una dirección IP gracias a ciertas webs… Tened cuidado, algunas páginas pueden engañar falsificando su IP.
Links
http://www.ip-adress.com/ip_tracer/
Podéis encontrar la lista de test en la dirección descrita aquí abajo, si vuestro antispam es SpamAssassin.