Spamul se va termina când nu mai este profitabil. Spamatorii își vor vedea profiturile să se prăbușească dacă nimeni nu cumpără de la ei (pentru că nici măcar nu vedeți e-mailurile junk). Acesta este cel mai simplu mod de a combate spam-ul, și cu siguranță unul dintre cele mai bune.
Plângând despre Spam
Dar puteți afecta și partea de cheltuieli a bilanțului unui spammer. Dacă vă plângeți furnizorului de servicii de Internet (ISP) al spammerului, acesta va pierde conexiunea și poate plăti o amendă (în funcție de politica de utilizare acceptabilă a ISP).
Deoarece spamerii cunosc și se tem de astfel de rapoarte, ei încearcă să se ascundă. De aceea găsirea ISP-ului potrivit nu este întotdeauna ușor. Din fericire, există instrumente cum ar fi SpamCop care fac raportul de spam corect la adresa corectă ușor.
Determinarea sursei de spam
Cum poate SpamCop să găsească ISP-ul potrivit să se plângă? Aruncă o privire atentă la linia de antet a mesajului spam . Aceste anteturi conțin informații despre calea pe care a primit un e-mail.
SpamCop urmează calea până la punctul în care a fost trimis e-mailul. Din acest punct, de asemenea, cunoscut ca adresa IP , poate deriva ISP-ul spamatorului și trimite raportul la departamentul de abuz al acestui ISP.
Să aruncăm o privire mai atentă la modul în care funcționează.
Email: Header și Body
Fiecare mesaj e-mail conține două părți, corpul și antetul. Antetul poate fi considerat ca fiind plicul mesajului, care conține adresa expeditorului, destinatarului, subiectul și alte informații. Corpul conține textul real și atașamentele.
Unele informații de antet afișate de obicei de programul dvs. de e-mail includ:
- De la: - Numele expeditorului și adresa de e-mail .
- Pentru a: - numele destinatarului și adresa de e-mail.
- Data: - Data la care a fost trimis mesajul.
- Subiect: - Subiectul subiectului .
Prelucrarea anteturilor
Livrarea efectivă a e-mailurilor nu depinde de niciunul dintre aceste antete, ele sunt doar comoditate.
De obicei, linia De exemplu: va fi setată la adresa expeditorului. Acest lucru vă asigură că știți cine este mesajul și că puteți răspunde cu ușurință.
Spamatorii doresc să vă asigurați că nu puteți răspunde cu ușurință și cu siguranță nu doriți să știți cine sunt. De aceea, inserați adrese de e-mail fictive în liniile De: de la mesajele lor junk.
Primit: Linii
Deci linia From: este inutilă dacă vrem să determinăm adevărata sursă de e-mail. Din fericire, nu trebuie să ne bazăm pe ea. Antetele fiecărui mesaj de e-mail conține, de asemenea, linii Received: lines.
Acestea nu sunt de obicei afișate prin programe de e-mail, dar pot fi foarte utile în urmărirea spamului.
Parsarea primită: Header Lines
La fel cum o scrisoare poștală va trece prin mai multe birouri poștale în drumul său de la expeditor la destinatar, un mesaj e-mail este procesat și trimis de mai multe servere de mail.
Imaginați-vă că fiecare oficiu poștal pune o ștampilă specială pe fiecare scrisoare. Ștampila ar spune exact când a fost primită scrisoarea, de unde a provenit și unde a fost trimisă de către oficiul poștal. Dacă ați primit scrisoarea, ați putea determina calea exactă luată de scrisoare.
Acesta este exact ceea ce se întâmplă cu e-mailul.
Primit: Linii pentru urmărire
Întrucât un server de mail procesează un mesaj, acesta adaugă o linie specială, linia Received: la antetul mesajului. Linia Received: conține, cel mai interesant,
- numele serverului și adresa IP a aparatului, serverul a primit mesajul de la și
- numele serverului de corespondență propriu-zis.
Linia Received: este întotdeauna introdusă în partea de sus a anteturilor mesajelor. Dacă vrem să reconstruim călătoria unui e-mail de la expeditor la destinatar, pornim de asemenea la linia primită Received: line (de ce facem acest lucru, vom deveni aparente într-un moment) și vom merge pe jos până când vom ajunge la ultima, unde e-mailul a provenit.
Primit: forjarea liniei
Spamatorii știu că vom aplica exact această procedură pentru a le descoperi unde se află. Pentru a ne păcăli, pot să introducă falsificate primite: linii care indică altcuiva care trimite mesajul.
Întrucât fiecare server de mail va pune întotdeauna linia Received: de la început, antetele falsificate ale spammerilor pot fi doar în partea de jos a lanțului Received: line. Acesta este motivul pentru care începem analiza noastră de sus și nu derivă doar punctul în care un e-mail a provenit din prima linie Received: (în partea de jos).
Cum să spui unui forjat primit: linia antet
Falsurile primite: liniile inserate de spammeri pentru a ne păcăli vor arăta ca toate celelalte linii primite: linii (cu excepția cazului în care fac o greșeală evidentă, desigur). De la sine, nu poți spune o falsă Received: line de la una autentică.
Aici intră în joc o trăsătură distinctă a liniilor primite: linii. Așa cum am notat mai sus, fiecare server nu va nota doar cine este, ci și de unde a primit mesajul (în formă de adresă IP).
Pur și simplu se compară cine este un server care pretinde a fi cu ceea ce un server un notch sus în lanț spune că este într-adevăr. Dacă cele două nu se potrivesc, linia Received: earlier a fost falsificată.
În acest caz, originea e-mailului este ceea ce serverul imediat după ce a falsificat Received: line trebuie să spună despre cine a primit mesajul.
Esti gata pentru un exemplu?
Exemplu Spam analizat și urmărit
Acum, când cunoaștem baza teoretică, să vedem cum analizăm un e-mail nesolicitat pentru a identifica originea sa în viața reală.
Tocmai am primit o bucată de spam exemplară pe care o putem folosi pentru exerciții fizice. Iată liniile de antet:
Primit: de la necunoscut (HELO 38.118.132.100) (62.105.106.207)
de către mail1.infinology.com cu SMTP; 16 noiembrie 2003 19:50:37 -0000
Primit: de la [235.16.47.37] de 38.118.132.100 id; Soare, 16 Noi 2003 13:38:22 -0600
ID-ul mesajului:
Din: "Reinaldo Gilliam"
Răspundeți la: "Reinaldo Gilliam"
Către: ladedu@ladedu.com
Subiect: Categoria A Obțineți meds u nevoie de lgvkalfnqnh bbk
Data: Sun, 16 Noi 2003 13:38:22 GMT
X-Mailer: serviciul de poștă electronică (5.5.2650.21)
Versiunea MIME: 1.0
Tip de conținut: versiune multiplă / alternativă;
limita = "9B_9 .._ C_2EA.0DD_23"
X-Prioritate: 3
X-MSMail-Prioritate: Normal
Puteți spune adresa IP de unde a provenit e-mailul?
Expeditor și Subiect
În primul rând, aruncați o privire la - forjat - De la: linie. Spam-ul vrea să facă ca mesajul să fie trimis de la un Yahoo! Contul poștal. Împreună cu linia Reply-To: Această adresă de la: address este destinată să direcționeze toate mesajele de bouncing și răspunsurile furioase la un Yahoo! Contul poștal.
Apoi, Subiectul: este o aglomerare curioasă de caractere aleatoare. Este puțin lizibil și, evident, conceput pentru a păcăli filtrele de spam (fiecare mesaj primește un set diferit de caractere aleatoare), dar este, de asemenea, destul de priceput pentru a obține mesajul în ciuda acestui fapt.
Linii primite: Linii
În cele din urmă, linia Received:. Să începem cu cea mai veche, primită: de la [235.16.47.37] de 38.118.132.100 id; Soare, 16 Noi 2003 13:38:22 -0600 . Nu există nume de gazde în el, dar două adrese IP: 38.118.132.100 pretinde că au primit mesajul de la 235.16.47.37. Dacă acest lucru este corect, 235.16.47.37 este locul în care a venit e-mailul și am afla care ISP-i aparține această adresă IP, apoi trimiteți un raport de abuz acestora.
Să vedem dacă serverul următor (și în acest caz ultimul) din lanț confirmă primele revendicări ale liniei primite: primite: de la necunoscut (HELO 38.118.142.100) (62.105.106.207) de către mail1.infinology.com cu SMTP; 16 noiembrie 2003 19:50:37 -0000 .
Din moment ce mail1.infinology.com este ultimul server din lanț și, într-adevăr, serverul "nostru" știm că putem avea încredere în el. A primit mesajul de la o gazdă "necunoscută" care a pretins că are adresa IP 38.118.132.100 (utilizând comanda HELO SMTP ). Până în prezent, acest lucru este în concordanță cu ceea ce a fost primit anterior: a spus linia.
Acum, să vedem unde a primit mesajul de la serverul nostru de poștă electronică. Pentru a afla, vom arunca o privire la adresa IP în paranteze imediat înainte de mail1.infinology.com . Aceasta este adresa IP pe care a fost stabilită conexiunea și nu este 38.118.132.100. Nu, 62.105.106.207 este locul unde a fost trimisă această corespondență.
Cu aceste informații, puteți identifica acum ISP-ul spamatorului și puteți raporta e-mail-urile nesolicitate, astfel încât să poată lovi spam-ul de pe net.