Spam zakończy się, gdy przestanie być opłacalny. Spamerzy zobaczą, że ich zyski spadną, jeśli nikt ich nie kupi (ponieważ nie widzisz nawet wiadomości-śmieci). Jest to najprostszy sposób na zwalczanie spamu i na pewno jeden z najlepszych.
Narzekanie na spam
Ale możesz również wpłynąć na stronę wydatków w bilansie spamera. Jeśli złożysz skargę do dostawcy usług internetowych spamera (ISP), stracą połączenie i być może będą musieli zapłacić grzywnę (w zależności od akceptowalnych zasad użytkowania usługodawcy internetowego).
Ponieważ spamerzy znają i obawiają się takich raportów, próbują się ukryć. Dlatego znalezienie odpowiedniego usługodawcy internetowego nie zawsze jest łatwe. Na szczęście istnieją narzędzia takie jak SpamCop, które ułatwiają raportowanie spamu na właściwy adres.
Określanie źródła spamu
W jaki sposób SpamCop znajduje właściwego usługodawcę internetowego, na który można złożyć reklamację? Przyjrzyj się bliżej linijkom nagłówka wiadomości spamowej. Nagłówki zawierają informacje o ścieżce, którą odebrał e-mail.
SpamCop podąża ścieżką do punktu, z którego wysłano wiadomość e-mail. Od tego momentu, znany również jako adres IP, może uzyskać dostawcę usług internetowych spamerów i wysłać raport do działu nadużyć tego dostawcy usług internetowych.
Przyjrzyjmy się bliżej, jak to działa.
E-mail: nagłówek i treść
Każda wiadomość e-mail składa się z dwóch części, treści i nagłówka. Nagłówek można traktować jako kopertę wiadomości, zawierający adres nadawcy, odbiorcy, podmiot i inne informacje. Treść zawiera rzeczywisty tekst i załączniki.
Niektóre informacje nagłówkowe zwykle wyświetlane przez program pocztowy obejmują:
- Z: - Nazwisko i adres e-mail nadawcy.
- Do: - Imię i adres e-mail odbiorcy.
- Data: - Data wysłania wiadomości.
- Przedmiot: - Temat linii.
Nagłówek Kucie
Faktyczne dostarczanie wiadomości e-mail nie zależy od żadnego z tych nagłówków, są one po prostu wygodą.
Zwykle linia From: na przykład zostanie wysłana na adres nadawcy. Dzięki temu wiesz, kim jest ta wiadomość i możesz łatwo odpowiedzieć.
Spamerzy chcą się upewnić, że nie można łatwo odpowiedzieć, a na pewno nie chcą, abyście wiedzieli, kim są. Dlatego umieszczają fikcyjne adresy e-mail w liniach From: wiadomości-śmieci.
Otrzymano: linie
Tak więc linia From: jest bezużyteczna, jeśli chcemy ustalić prawdziwe źródło wiadomości e-mail. Na szczęście nie musimy na nim polegać. Nagłówki każdej wiadomości e-mail zawierają również pola Received: lines.
Nie są one zwykle wyświetlane przez programy pocztowe, ale mogą być bardzo pomocne w śledzeniu spamu.
Parsowanie odebrane: linie nagłówka
Podobnie jak list pocztowy przechodzi przez szereg urzędów pocztowych w drodze od nadawcy do odbiorcy, wiadomość e-mail jest przetwarzana i przekazywana przez kilka serwerów pocztowych.
Wyobraź sobie, że każdy urząd pocztowy umieszcza specjalną pieczęć na każdym liście. Pieczęć będzie dokładnie określać, kiedy list został otrzymany, skąd pochodzi i skąd został przesłany pocztą. Jeśli masz list, możesz określić dokładną ścieżkę podaną przez literę.
Dokładnie tak dzieje się z pocztą e-mail.
Otrzymano: linie do śledzenia
Gdy serwer pocztowy przetwarza wiadomość, dodaje do linii komunikatu specjalną linię Received :. Linia Received: zawiera, co najciekawsze,
- nazwa serwera i adres IP urządzenia, z którego serwer otrzymał wiadomość od i
- nazwa samego serwera pocztowego.
Linia Received: jest zawsze wstawiana u góry nagłówków wiadomości. Jeśli chcemy zrekonstruować podróż e-maila od nadawcy do odbiorcy, zaczynamy od najwyższej linii Otrzymane: (dlaczego to zrobimy) i idąc w dół, docieramy do ostatniego, czyli tam e-mail pochodzi.
Otrzymano: Line Forging
Spamerzy wiedzą, że zastosujemy dokładnie tę procedurę, aby znaleźć ich miejsce pobytu. Aby nas oszukać, mogą wstawić fałszywe Otrzymane: linie, które wskazują na kogoś, kto wysyła wiadomość.
Ponieważ każdy serwer pocztowy zawsze umieszcza swoją linię Received: u góry, sfałszowane nagłówki spamerów mogą znajdować się tylko w dolnej części łańcucha Received: line. Dlatego zaczynamy naszą analizę od góry i nie tylko wyprowadzamy punkt, w którym e-mail pochodzi z pierwszej linii "Otrzymano:" (na dole).
How To Tell for Forged Received: Header Line
Kute Otrzymane: linie wstawione przez spamerów, aby nas oszukać, będą wyglądały jak wszystkie inne otrzymane linie (chyba że oczywiście popełnią oczywisty błąd). Sam w sobie nie możesz powiedzieć fałszywej otrzymanej linii od prawdziwej.
To tutaj pojawia się jedna odmienna funkcja linii Received: Jak zauważyliśmy powyżej, każdy serwer nie tylko zauważy, kim jest, ale także, skąd odebrał wiadomość (w formie adresu IP).
Po prostu porównujemy, kto twierdzi, że serwer jest tym, na kogo serwer w łańcuchu mówi, że tak naprawdę jest. Jeśli te dwa elementy nie są zgodne, wcześniej odebrany wiersz został sfałszowany.
W tym przypadku, pochodzenie wiadomości e-mail jest tym, co serwer zaraz po sfałszowanej linii Received: ma do powiedzenia o tym, z kim otrzymał wiadomość.
Czy jesteś gotowy na przykład?
Przykładowy spam analizowany i śledzony
Teraz, gdy znamy podstawy teoretyczne, przeanalizujmy niechcianą wiadomość e-mail, aby zidentyfikować jej źródło w prawdziwym życiu.
Właśnie otrzymaliśmy przykładowy spam, który możemy wykorzystać do ćwiczeń.Oto linie nagłówka:
Otrzymano: od nieznanego (HELO 38.118.132.100) (62.105.106.207)przez mail1.infinology.com z SMTP; 16 listopada 2003 19:50:37 -0000Otrzymano: od 235.16.47.37 o 38.118.132.100 id; Niedz, 16 listopada 2003 13:38:22 -0600ID wiadomości:Od: "Reinaldo Gilliam"Odpowiedź: "Reinaldo Gilliam"Do: [email protected]Temat: Kategoria A Uzyskaj meds u potrzebujesz bbk lgvkalfnqnhData: niedziela, 16 listopada 2003 13:38:22 GMTX-Mailer: Internetowa usługa poczty (5.5.2650.21)Wersja MIME: 1.0Typ treści: wieloczęściowy / alternatywny;boundary = "9B_9 .._ C_2EA.0DD_23"Priorytet X: 3X-MSMail-Priority: Normal
Czy możesz podać adres IP, z którego pochodzi wiadomość e-mail?
Nadawca i Temat
Najpierw spójrz na - wykutą - linię From :. Spamer chce sprawić, by wyglądał tak, jakby wiadomość została wysłana z Yahoo! Konto pocztowe. Wraz z linią Reply-To: ten adres From: ma na celu skierowanie wszystkich wiadomości odbijających się i gniewnych odpowiedzi na nieistniejące konto Yahoo! Konto pocztowe.
Następnie Temat: ciekawa aglomeracja losowych znaków. Jest ledwie czytelna i oczywiście zaprojektowana, by oszukać filtry antyspamowe (każda wiadomość otrzymuje nieco inny zestaw losowych znaków), ale jest również dość umiejętnie spreparowana, aby mimo wszystko przekazać wiadomość.
Odebrane: Linie
Wreszcie linie Received:. Zacznijmy od najstarszych, Otrzymano: od 235.16.47.37 o 38.118.132.100 id; Niedz, 16 listopada 2003 13:38:22 -0600 . Nie ma w nim nazw hosta, ale dwa adresy IP: 38.118.132.100 twierdzi, że otrzymał wiadomość od 235.16.47.37. Jeśli jest to poprawne, 235.16.47.37 jest źródłem wiadomości e-mail, a my dowiemy się, do którego ISP należy ten adres IP, a następnie wyślij im raport o nadużyciu.
Zobaczmy, czy następny (i w tym przypadku ostatni) serwer w łańcuchu potwierdza pierwsze twierdzenia otrzymane: wiersz: Otrzymano: od nieznanego (HELO 38.118.142.100) (62.105.106.207) przez mail1.infinology.com z SMTP; 16 listopada 2003 19:50:37 -0000 .
Ponieważ mail1.infinology.com jest ostatnim serwerem w łańcuchu i rzeczywiście "naszym" serwerem wiemy, że możemy mu zaufać. Otrzymał wiadomość od "nieznanego" hosta, który twierdził, że ma adres IP 38.118.132.100 (używając komendy HELP SMTP). Jak dotąd jest to zgodne z tym, co powiedział poprzedni wiersz "Otrzymano".
Teraz zobaczmy, skąd nasz serwer pocztowy otrzymał wiadomość. Aby się tego dowiedzieć, w skrócie przyjrzymy się adresowi IP w nawiasie przez mail1.infinology.com . Jest to adres IP, z którego ustanowiono połączenie, i nie jest to 38.118.132.100. Nie, 62.105.106.207 to miejsce, z którego wysłano tę wiadomość.
Dzięki tym informacjom możesz teraz zidentyfikować dostawcę usług internetowych spamera i zgłosić do nich niechciane wiadomości e-mail, aby umożliwić usunięcie spamera z sieci.
