home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #27 / NN_1992_27.iso / spool / comp / security / misc / 1760 < prev    next >
Encoding:
Internet Message Format  |  1992-11-15  |  2.4 KB
  1. Path: sparky!uunet!know!cass.ma02.bull.com!think.com!sdd.hp.com!zaphod.mps.ohio-state.edu!caen!spool.mu.edu!agate!doc.ic.ac.uk!daresbury!mrccrc!warwick!pavo.csi.cam.ac.uk!camcus!pc123
  2. From: pc123@cus.cam.ac.uk (Pete Chown)
  3. Newsgroups: comp.security.misc
  4. Subject: Re: Mail forging
  5. Message-ID: <PC123.92Nov15191454@bootes.cus.cam.ac.uk>
  6. Date: 15 Nov 92 19:14:57 GMT
  7. References: <1992Nov10.201503.6288@gw.wmich.edu> <BxJ80A.KAr@mtholyoke.edu>
  8.     <4225@bcstec.ca.boeing.com> <BxrJCL.9sC@mtholyoke.edu>
  9. Sender: news@infodev.cam.ac.uk (USENET news)
  10. Organization: U of Cambridge, England
  11. Lines: 36
  12. In-Reply-To: jbotz@mtholyoke.edu's message of Sun, 15 Nov 1992 15:07:32 GMT
  13. Nntp-Posting-Host: bootes.cus.cam.ac.uk
  14.  
  15. In article <BxrJCL.9sC@mtholyoke.edu> jbotz@mtholyoke.edu (Jurgen
  16. Botz) writes:
  17.  
  18.    >Can you say how to detect it?
  19.  
  20.    Detection is trick... if the message was a forgery of a "local"
  21.    message on a Unix system, you can probably detect it from the
  22.    sendmail logs; if they message were authentic it would not have
  23.    passed through SMTP.
  24.  
  25. Be careful.  Remember that different users will use different programs
  26. for reading their mail.  Some of these programs connect to the local
  27. mail server by SMTP, while others use /bin/mail.
  28.  
  29.    If done correctly, the header of a forged message will be *exactly*
  30.    identical to the header of the message had it been authentic.  If
  31.    there's any way of identifying the forgery in such a case it's via
  32.    logs of network activity, not the message itself.  And yes, if you
  33.    have a resonably good understanding of what a correct message
  34.    header /should/ look like, it's quite trivial to execute such a
  35.    forgery.
  36.  
  37. If you run a modern mail server it should be detectable.  For example
  38. there is a mail server on a dedicated machine here - ppsw1.cam.ac.uk -
  39. but it won't let you pretend to be an arbitrary person.  If your
  40. machine is running RFC931 you won't be able to pretend to be anyone at
  41. all; if not you will be able to pretend to be any user on the machine
  42. you are sending the forged message from.  This is very different from
  43. being able to pretend to be any user on the Internet.
  44.  
  45. Old mailers will accept anything they are fed by the forgers, and
  46. these mailers should really be upgraded.
  47. --
  48. ---------------------------------------------+ "A tight hat can be stretched.
  49. Pete Chown, pc123@phx.cam.ac.uk (Internet)   |  First damp the head with steam
  50.             pc123@uk.ac.cam.phx (Janet :-)  -+  from a boiling kettle."
  51.