V předchozích třech dílech našeho seriálu jsme se zabývali některými
technikami, které mohou způsobit škodu, ať už šlo o falešné e-maily, spamy,
webové stránky nebo průniky do počítače. Dnes uděláme malou výjimku a podíváme
se na jiné téma, jež však s předchozími úzce souvisí, a tím bude stopování
"pachatelů". Pojmem pachatel rozumějme osobu, která se nám snaží škodit, ať již
jde o odesílatele falešné pošty či někoho, kdo se snaží nabourat do našeho
systému. Dále se podíváme také na různé typy útoků, které mohou po síti
probíhat. Například odmítnutí služby, zachytávání paketů, směrování portů a
další.
Redirect
Tento typ útoku (většinou) předpokládá ovládnutí nějakého systému. Jde v
podstatě o to, že jakmile se někomu podaří ovládnout váš systém, může na něm
spustit program, který přijímá požadavky útočníkova systému a posílá je na
další, útočníkem specifikovaný systém, bez ohledu na to, jde-li o operační
systém Windows či UNIX.
Cílový systém se samozřejmě chová tak, jakoby požadavek přijímal od vašeho
počítače. Představte si například, že útočník pomocí vašeho počítače skenuje
porty serveru americké armády (trošku nadnesený příklad, ne však nemožný).
Server si pak samozřejmě myslí, že sken provádíte vy, a podle toho může i
reagovat. Nebo se může například jednat o server vašeho zaměstnavatele. Poté,
až dojde k nějaké krádeži dat, budete prvním podezřelým. Pokud je útočník
zkušený, jistě si dá pozor, aby na vašem počítači nezanechal žádné stopy, navíc
je docela pravděpodobné, že nebudete jediným ovládaným systémem na cestě mezi
útočníkem a jeho cílem. Jedinou účinnou obranou je nepouštět útočníka do
systému. O tomto tématu jsme se bavili v minulém dílu našeho seriálu.
DoS
Útoky typu DoS (Denial of Service odepření služby) jsou dnes bohužel velmi
rozšířené. Není divu. K útokům tohoto typu není třeba téměř žádných technických
znalostí. Stačí si z internetu stáhnout příslušnou utilitu (jsou jich stovky),
jejíž používání je stejně jednoduché jako ovládání jakéhokoliv jiného programu
a dokonce není ani třeba vědět, jak daný program pracuje. Na druhou stranu se
tyto útoky dají celkem snadno identifikovat a pachatele lze snadno vystopovat,
ale mohou nepřipravenému nebo nezkušenému uživateli přinést spoustu problémů. V
první řadě si povíme, o co vlastně při tomto druhu útoku jde. Jeho podstatou je
zahlcení systému velkým množstvím požadavků. Typů útoků je mnoho. Mezi
nejznámější a zároveň nejnebezpečnější patří (díky svému zesilovacímu efektu)
například smurf. Dalším oblíbeným útokem je obsazení přenosové kapacity linky,
distribuované DoS, SYN Flood a další. Popisem jednotlivých technik se pro
jejich obsáhlost nebudeme zabývat. Podíváme se nyní na to, jak se podobným
útokům bránit. Jelikož velké množství těchto útoků využívá protokolu ICMP, není
od věci specifikovat tento protokol na firewallu. ICMP je, jak vyplývá z jeho
názvu (Internet Control Message Protocol), informačním protokolem sítě
internet. Používá se například (kromě velké spousty dalších věcí) k získání
informace o odezvě (ping) nebo při sledování trasy (traceroute). Tento protokol
lze na většině systémů specifikovat na firewallu, podobně jako protokoly UDP
nebo TCP. Není snadné říci, jaká pravidla pro tento protokol specifikovat,
jelikož to záleží na konkrétní situaci. Pokud jste domácím uživatelem,
doporučuje se zmíněný protokol omezit co nejvíce, popřípadě úplně zakázat.
Právě uživatelé připojení modemem jsou k tomuto druhu útoku velmi náchylní. Na
závěr ještě podotkneme, že ICMP protokol používají i útočníci, snaží-li se
získat o vašem systému informace, které by později mohli použít k útoku na váš
systém.
Čmuchání
Dalším typem útoku je takzvané čmuchání paketů (anglicky sniffing). Jelikož se
tento typ útoku odehrává v naprosté většině případů v lokálních sítích (LAN),
zmíníme se o něm pouze zevrubně. Problém vychází z celé koncepce protokolu
TCP/IP, který byl navržen před mnoha lety, a bezpečnost v té době nebyla
prioritní. Počítačové sítě byly používány většinou jen v akademické sféře a v
prostředí, kde byl okruh osob, které síť využívaly, omezen. Vše tedy bylo
založeno na principu důvěry. Dnes se s počítačovými sítěmi setkáváme téměř
všude, a i lokální sítě, kdysi čítající maximálně několik strojů v rámci
místnosti nebo patra, mají dnes stovky pracovních stanic, ke kterým má přístup
velké množství lidí. Typickým příkladem mohou být různé firemní nebo školní
sítě. Data jsou při přenosu uspořádána do takzvaných paketů, jež se skládají z
hlavičky a těla. V každé hlavičce je uvedeno, odkud paket putuje, komu je určen
a co je jeho obsahem (laicky řečeno). V praxi to chodí tak, že každý paket
putuje ke každému stroji v rámci lokální sítě a stroj ho buď přijme, pokud mu
je určen, nebo ho jednoduše odmítne. Síťovou kartu lze ale přepnout do
takzvaného promiskuitního modu, a takto nastavená karta poté zachycuje každý
paket. Jelikož jsou data přenášena nešifrovaná, může je číst každý, kdo takto
upraví vlastnosti své síťové karty. Ideální pro zachytávání hesel, pokud se
útočníkovi podaří umístit sniffer (čmuchací program) na dobře zvolené místo,
kterým proudí velké množství citlivých dat. Dnes již existují nástroje, které
umějí vyhledávat čmuchající počítače, ale přesto je stále nejlepší obranou
proti tomuto útoku šifrování (SSH, SSL atd.).
Další techniky
Existuje samozřejmě velké množství síťových útoků, exploity počínaje a kradením
spojení (hijacking) konče, ale popis všech zmíněných by vydal na nejeden další
článek. Navíc techniky, které jsme v seriálu uváděli, jsou použitelné i proti
těmto druhům útoku. Nyní již opustíme téma síťových útoků, než se v něm zcela
ztratíme, a podíváme se na další téma, které jsme si na začátku slíbili, a tím
je stopování pachatelů.
Zdroj
Jestliže chceme někoho po síti vystopovat, musíme mít, jako každý správný
detektiv, alespoň nějakou stopu. Tou stopou může být IP adresa, e-mail nebo
jméno počítače, ze kterého na nás byl podniknut útok. Bez těchto informací by
přišly všechny naše snahy nazmar. Kde takovéto informace získáme? Nejčastěji z
logů. U UNIXu je vše do logů dobře uloženo, a tudíž není problém logy prohledat
a potřebné údaje v nich najít. Důležité ale je, aby počítač nebyl již pod
útočníkovou kontrolou, neboť v tom případě je pravděpodobné, že jsou logy
náležitě "ošetřené", což znamená vymazané nebo upravené podle přání útočníka.
Kladení klamných stop patří mezi oblíbené činnosti. Proto je důležité umístit
logy na nějaké médium, kde nemohou být data modifikována. Dobrým nápadem je
logovat například po sériové lince na vyhrazený starý počítač, na kterém neběží
žádné služby. Může jít například o starou "386ku". Dalším dobrým nápadem je
tisknout všechny logy okamžitě na tiskárně. Útočník pak nemá šanci tato data
upravovat (pokud se nevloupá do bytu nebo podniku). Důležité je rovněž všechny
logy včas a pravidelně kontrolovat, což se často neděje. Můžete si napsat nebo
stáhnout nějaký skript, který kontrolu provede za vás a výsledky pošle na váš
e-mail nebo mobilní telefon (pozor aby skript útočník nemodifikoval!). Téma
unixových logů je tak obsáhlé, že ho raději opustíme a budeme se věnovat i
druhé skupině operačních systémů, kterými jsou systémy z rodiny Windows.
Systémy Windows standardně vytváření logů neumožňují. Mluvíme teď samozřejmě o
systémech 9x, které jsou používány jako pracovní stanice nejčastěji. Windows NT
a 2000 pochopitelně logy podporují, ale těmto systémům se věnovat nebudeme,
neboť nejsou mezi běžnými uživateli zatím tolik používány. Jestliže nám tedy
Windows neposkytují podporu vytváření logů, nezbývá nám nic jiného, než sáhnou
po nějakém pomocném programu. A nemusíme chodit příliš daleko, protože
vytváření logů nám umožňuje téměř každý firewall. U většiny z nich lze
nastavit, jaké události mají být do logů zaznamenány. Tyto logy je také třeba
pravidelně kontrolovat a analyzovat. Pokud logy kontrolujeme, jedno jestli na
UNIXu nebo ve Windows, musíme také vědět, co hledáme. Nejčastěji nás budou
zajímat hlášení typu REFUSED, FAILED, CONNECT, LOGIN a podobné. To samozřejmě
přepokládá jisté znalosti síťového provozu a jeho principů. Některé si
vysvětlíme za chvíli. U každého takového záznamu bude jistě uvedena i IP adresa
nebo jméno počítače, ze kterého požadavek přišel. A to je naše hledaná stopa.
Nutno ještě podotknout, že musíme zpravidla znát i čas útoku, protože díky
dynamicky přidělovaným IP adresám pro jednotlivé uživatele většinou vytáčeného
připojení, se tyto adresy velice často mění a pokaždé mohou patřit jinému
uživateli. Zjistit čas však není takový problém, protože většina aplikací,
které zaznamenávají události do logů, ukládá i čas zaznamenané události.
Falešný e-mail
Odesíláni falešných e-mailů je velice snadné a velice nebezpečné. Často může
takový e-mail způsobit velké škody, a to nejen v mezilidských vztazích, ale i
škody finanční. Na druhou stranu lze říci, že obrana proti falešným e-mailům je
vcelku snadná a též jejich rozpoznání nepatří k těm nejtěžším činnostem. Pro
pořádek ještě připomeňme, že falešným e-mailům se říká fake mail. Pokud se tedy
budeme bavit o falešných e-mailech, bude se vše točit kolem takzvaných
hlaviček. Každý e-mail je totiž v podstatě obyčejný textový soubor (velmi
zjednodušeně řečeno), který se skládá z hlavičky a těla. Pro nás, jakožto pro
lidi pátrající po zdroji e-mailu, je podstatná právě jeho hlavička. Zde je
příklad jedné takové hlavičky. Její rozbor následuje.
V prvním řádku hlavičky je uvedeno pole From. Toto pole není příliš směrodatné,
protože se dá velice snadno změnit. Jestliže chceme odhalit skutečného
odesílatele nebo se potřebujeme přesvědčit, že nejsou od uvedeného odesílatele
(což je asi častější případ), jsou pro nás důležité tzv. received údaje. O
těchto údajích platí, že mohou být taktéž zfalšovány, přinejmenším však
poslední bude pravý. Jak zpráva putuje sítí, zanechává každý server, přes který
zpráva projde, v hlavičce e-mailu svůj "otisk". Jak vidíme z uvedené hlavičky,
putovala zpráva přes dva poštovní servery, a to přes servery společností
contactel.cz a centrum.cz. Takovýchto serverů může být v hlavičce uvedeno více,
ale to na situaci nic nemění. S jistotou tedy můžeme říci (pokud nemá útočník
server centrum.cz pod kontrolou, což se nepřepokládá, neboť kdyby ho pod
kontrolou měl, měl by pod kontrolou i celou moji e-mailovou schránku a neměl by
tudíž důvod falšovat nějakým způsobem e-maily), že zpráva přišla na server
centrum.cz (kde mám zřízenu e-mailovou schránku) od serveru contactel.cz. Další
údaje již mohou být zfalšovány, ale určitě stojí za to se o nich zmínit. V
dalším received údaji je uvedeno, že server contactel.cz obdržel zprávu od
systému (unknown), který se identifikoval IP adresou 194.108.243.243 a
doménovým jménem p0497.as-l043.contactel.cz. Jelikož se žádný další received
údaj nevyskytuje, lze přepokládat, že zmíněná IP adresa je původním zdrojem
zprávy. Kdybychom chtěli mít jistotu, museli bychom prozkoumat logy serveru
contactel.cz a ujistit se, zda opravdu obdržel zprávu od uvedeného systému
(pokud opět není v rukou útočníka). Pokud by bylo uvedeno více received údajů,
museli bychom postup opakovat, až bychom se dostali k poslední položce. Problém
je v tom, že většina freemailových služeb záznamy o poslaných e-mailech nevede
nebo je neskladuje příliš dlouho. Když připočteme neochotu správců serveru
poskytovat informace, nemáme téměř žádné možnosti vystopovat původního
odesílatele zprávy. Musíme vzít v potaz také velké množství takzvaných
remailerů, které jsou vytvořeny speciálně pro odesílání takovýchto e-mailů.
Tyto programy jsou mnohdy naprogramovány tak, aby po sobě zničily všechny
stopy, aby zprávu posílaly přes co největší počet serverů a podobně. Na jednu
stranu je to však dobře. Nikomu by se jistě nelíbilo, kdyby se o každém jeho
e-mailu vedly záznamy, které by byly navíc k dispozici každému, kdo by si našel
věrohodnou záminku. Jak by se vám například líbilo, kdyby si konkurence
zjistila, že za poslední měsíc jste odeslali 15 e-mailů firmě, která uvažuje o
koupi vašeho zboží nebo využití vašich služeb.
Ve většině případů nám ani tak nepůjde o vystopování padělatele, jako spíš o
ujištění se, že e-mail není pravý. Ujistit se můžeme celkem snadno.
Nejjednodušší je používat šifrování a digitální podpisy. Pokud ale šifrovat
nemůžete nebo nechcete, můžete svému známému zavolat (poslat SMS) zprávu a
ujistit se, že žádný takový e-mail neposlal. Uveďme si malý příklad. Dostal
jsem e-mail od Josefa Nováka, ve kterém mi sděluje, že končí veškerou
spolupráci s mojí firmou, a že již nechce být kontaktován. V tomto případě mi
půjde spíše o to, abych se ujistil, že takovou zprávu neposlal pan Novák, ale
někdo jiný (falšovatel). Pokud nemohu nebo nechci používat šifrování, jednoduše
panu Novákovi zavolám (nebo pošlu SMS) a ujistím se, že nic takového neposlal.
Teprve poté mohu začít zjišťovat, kdo mohl mít zájem takovou zprávu poslat.
Pokud své zprávy podepisujete nebo šifrujete, nemá proti vám padělatel žádnou
šanci. Pokud ale z nejrůznějších důvodů šifrovat nebo podepisovat nemůžete,
musíte být nadmíru opatrní a měli byste u "podezřelých" zpráv kontrolovat
jejich hlavičky, neboť i zběžný pohled na hlavičku může lecos napovědět. Uveďme
si opět malý příklad. Můj známý Jan Novák (pravděpodobně bratr výše zmíněného
Josefa :) je příznivcem například FreeBSD (stejně jako já), jiné produkty
nepoužívá. K internetu se vždy připojuje přes službu IOL. Jednoho pěkného dne
mi od něj přijde e-mail s "nečekaným" obsahem, zobrazím si proto hlavičku
tohoto e-mailu. V hlavičce je uvedeno, že zpráva putovala přes různé zahraniční
mail servery a původní IP adresa náleží poskytovateli připojení Volny. Jako
e-mailový klient je v hlavičce uveden Outlook Express (položka X-mailer),
který, jak vím, pan Novák nepoužívá. Logicky tedy pojmu podezření, že e-mail
neposílal on.
Stopování podle IP
Dejme tomu, že se nám podařilo získat IP adresu útočníka, ať už z hlavičky
e-mailu nebo logu nějakého programu. Ale pozor, tento údaj nemusí být ještě
směrodatný, neboť IP adresa může být velice snadno (zas tak snadno tedy ne, ale
lze to) zfalšována. Procesu, při kterém dochází k falšování IP adresy, se říká
IP spoofing. Falšovaní adres s sebou ale přináší i jistá úskalí, protože server
odpoví na IP adresu, kterou přečte, a to bez ohledu na to, je-li pravá nebo
falešná. Tím, že útočník IP adresu zfalšuje, připravuje se tak o možnost získat
odpověď. Spoofing se využívá například při skenování portů, kdy se snaží
útočník cílový systém zmást a zároveň maskovat svou pravou IP. Máme-li tedy IP
adresu, pokusíme se nejdříve zjistit jméno počítače a to, k jaké doméně patří.
Nejlépe to provedeme pomocí utility nslookup (v UNIXu standardně, ve Windows
součástí například Cyberkitu). Dejme tomu, že adresa počítače, který se na nás
snažil zaútočit, je (spíše byla) 195.122.214.149 (moje IP v době psaní tohoto
článku). Po použití nslookup zjistíme, že jméno počítače je
prahaa-5-18.dialup.vol.cz. To už nám dává větší možnosti. Z uvedeného jména lze
odvodit, že počítač využívá služeb poskytovatele VOLNY (vol.cz). Pokud nám
doména nic neříká nebo IP adresa není aktivní, případně neodpovídá, je dobré
provést dotaz do databáze whois. Whois databáze jsou databázemi, ve kterých
jsou uchovány informace o doménách, jejich registrátorech, správcích,
přidělených IP adresách atd. V našich podmínkách (rozuměj ČR) máme na výběr
prakticky ze dvou takovýchto databázových serverů. Prvním je server sdružení
NIC.CZ, whois.nic.cz, který se stará a eviduje všechny domény .cz, a druhým je
evropská databáze domén whois.ripe.net. Existují i další databáze pro
jednotlivé kontinenty, ale ty využijeme jen v případě, že se na nás pokusil
zaútočit někdo například z USA nebo Japonska, což není zas tak častý jev. Pokud
se to ale opravdu stane, zřejmě stejně moc možností k vypátrání mít nebudeme.
Databáze těchto serverů lze prohlížet pomocí webového browseru, a to na
stránkách www.nic.cz nebo www.ripe.net. K těmto serverům se lze připojit i
pomocí speciálních ulitit (Cyberkit). Je možno se připojit dokonce i za pomoci
"obyčejného" telnetu, a sice na port 43 výše zmíněných serverů. Na server poté
odešleme požadavek na danou doménu, dostaneme výpis s údaji. V tomto výpisu je
uvedeno, kdo doménu registroval, kdo je jejím technickým správcem, kontaktní
osobou a další užitečné údaje. Poté mohou v zásadě nastat dvě situace. První IP
adresa je přidělena některému z uživatelů trvale, což je pro nás celkem dobré,
nebo druhá (což je mnohem horší), kdy je adresa přidělována dynamicky, zejména
uživatelům s dial-up připojením. Nyní si popíšeme, jak postupovat v obou
případech.
IP je přidělena trvale
Jak jsme již nastínili výše, je pro nás tato situace mnohem jednodušší. Trvalé
připojení je většinou realizováno na základě smlouvy, a proto nebývá problém po
dohodě se správcem systému zjistit, komu tato adresa patří. Navíc většina takto
užívaných adres využívá reverzní DNS záznamy, které umožňují překlad IP adresy
na adresu doménovou. Poté již není problém znovu zabrousit do příslušné
databáze whois. Základním kamenem úrazu v takovýchto chvílích však bývá pomoc
ze strany poskytovatele. Ale o tom až za chvíli.
IP je přidělována dynamicky
Zde je situace opravdu složitější, a to nejen z důvodu, že takto se k internetu
připojuje většina uživatelů. Taktéž se v této situaci neobjedeme bez spolupráce
poskytovatele připojení, a ani to nemusí znamenat úspěch. Princip tohoto druhu
připojení je jednoduchý. Uživatel se pomocí svého modemu připojí k počítači
poskytovatele připojení ISP (laicky řečeno) a poté je mu přidělena pomocí
systému DHPC (Dynamic Host Configuration Protocol, RFC2131) IP adresa, která je
však platná jen po dobu právě onoho připojení. Při příštím připojení bude
adresa s největší pravděpodobností jiná a původní adresa bude přidělena jinému
uživateli. Ve většině případů však poskytovatel uchovává po nějakou dobu
záznamy o provedených připojeních. Bohužel poskytovatele k vedení či uchovávání
takovýchto záznamů nenutí žádná vyhláška ani zákon. Naštěstí však většina
poskytovatelů takovéto záznamy vede. Ze záznamu se dozvíme, který uživatel
(uživatelské jméno) připojení provedl, jak dlouho toto připojení trvalo a na
jaké telefonní číslo bylo toto připojení provedeno. To ale bohužel neznamená,
že můžeme pachatele spolehlivě vystopovat. Jen si sami vzpomeňte, pokud
používáte vytáčené připojení, co všechno jste k registraci k takovéto službě
potřebovali. Stačí vyplnit formulář na webové stránce poskytovatele a čestně
prohlásit, že jsou uvedené údaje pravdivé. Jejich pravost však nikdo
nekontroluje. Kdokoliv tedy může do formuláře vyplnit libovolná data, nemluvě o
případu, kdy se někomu podaří prolomit vaše heslo. I s tímto problémem se však
lze vypořádat, i když to není nijak jednoduché. Určitě se neobejdeme bez údajů
od poskytovatele, a především bez spolupráce s telefonní společností, tedy
Telecomem. Jak již víme, lze z údajů poskytovatele připojení zjistit na jaké
číslo a kdy bylo voláno. S těmito údaji v ruce můžeme požádat Telecom o výpis
všech hovorů, které v daný okamžik směrovaly na dané telefonní číslo. Takových
údajů může být velmi mnoho a moudří z nich pravděpodobně nebudeme. Proto je
třeba pozorně sledovat, kdy dochází k útokům na systém a údaje pak pečlivě
porovnávat a hledat číslo, které se připojuje v době, kdy dochází k útokům.
Myslíte si, že je to velice obtížné? Jistě, ale můžete být v klidu, situace je
mnohem horší. Postupovat takovýmto způsobem možná mohou orgány činné v trestním
řízení, ale rozhodně ne uživatel. Myslím, že s žádostí na poskytovatele
připojení by uspěl asi málokdo, nemluvě o Telecomu. Co nám tedy zbývá? Nic, než
se bránit vlastními prostředky a snažit se ztrátě či poškození dat předejít,
aby nedošlo k situaci, kterou zcela výstižně charakterizuje známé pořekadlo
"plakat nad rozlitým mlékem". Nebudeme zabíhat do právnických detailů, ale
pokud dojde k vážné škodě na vašem systému, například ztrátě dat v hodnotě
několika set tisíc, bude určitě namístě obrátit se na orgány činné v trestním
řízení, které mají při pátrání po pachatelích daleko větší pravomoci. Ale
poškození či smazání dat není jedinou škodou, kterou vám může někdo způsobit.
Dokonce i když se někdo "jen" nabourá do vašeho systému a nenadělá žádnou
škodu, jde o finanční ztrátu, protože detekce průniku, prohledání a případná
obnova systému do původního stavu také nejsou zadarmo.
A jsme na konci tohoto dílu. V pátrání po pachatelích trestné činnosti na
internetu nemáme jistě velké naděje, zejména jde-li o zkušené útočníky. Proto
je důležitá prevence, neustálé sledování, zdokonalování a zejména pořizování
záloh. V příštím dílu našeho seriálu se podíváme na škodlivý software. Povíme
si něco o virech, červech, zajících a jiné internetové "havěti". Zbude-li nám
trochu místa, dozvíte se také něco o věcech, jež se přímo netýkají počítačových
systémů jako takových, ale s bezpečností úzce souvisejí. Půjde například o
fyzickou bezpečnost systému, pravidla chování uživatelů a další "jemnůstky",
jež však mohou mít dramatický dopad na bezpečnost celého systému.
Všechny vaše rady, náměty na další články nebo seriál, názory a prosby opět rád
uvítám na adrese igm@centrum.cz.
Return-Path: nekdo@nekde.cz Tue Nov 27 21:51:25 2001
Received: from res2.isp.contactel.cz ([212.65.193.169]:16774 "EHLO
res.isp.contactel.cz") by data.centrum.cz with ESMTP
id
Received: from unknown (p0497.as-l043.contactel.cz [194.108.243.243])
by res.isp.contactel.cz (8.11.3/8.11.3) with SMTP id fARKoSY06926
for
Message-ID: <000901c17785$5aa80100$f3f36cc2@unknown>
From: Neznamy
To:
Subject: test
Date: Tue, 27 Nov 2001 21:51:54 +0100
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-8859-2"
Content-Transfer-Encoding: 8bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 5.50.4522.1200
X-MimeOLE: Produced By Microsoft MimeOLE V5.50.4522.1200
Return-Path:
X-Orcpt: rfc822;igm@centrum.cz