Спамът ще приключи, когато вече не е печеливш. Спамерите ще видят печалбите си да паднат, ако никой не ги купува (защото дори не виждате нежеланите имейли). Това е най-лесният начин за борба с спама, и със сигурност един от най-добрите.
Оплаквания за спам
Но можете също да повлияете и на разходната част на баланса на спамерите. Ако се оплаквате от доставчика на интернет услуги (ISP) на спамера, те ще загубят връзката си и може би ще трябва да платят глоба (в зависимост от приемливата политика за използване на Интернет доставчиците).
Тъй като спамерите знаят и се страхуват от такива доклади, те се опитват да се скрият. Ето защо намирането на подходящия ISP не винаги е лесно. За щастие, има инструменти като SpamCop, които правят докладването спам правилно на правилния адрес лесно.
Определяне на източника на спам
Как SpamCop намира правилния интернет доставчик, в който да се оплаче? Започва отблизо заглавията на съобщението за спам . Тези заглавки съдържат информация за пътя, който е имал имейл.
SpamCop следва пътя до точката, от която е изпратен имейлът. От този момент, познат също като IP адрес , той може да извлече ISP- то на спамера и да изпрати доклада до този отдел за злоупотреби на ISP.
Нека да разгледаме по-отблизо как работи.
Имейл: Header и Body
Всяко имейл съобщение се състои от две части, тялото и заглавката. Заглавието може да се разглежда като плика на съобщението, съдържащ адреса на подателя, получателя, предмета и друга информация. Тялото съдържа действителния текст и прикачените файлове.
Някои заглавна информация, обикновено показвана от програмата ви за електронна поща, включва:
- От: - Името и имейл адреса на подателя .
- До: - Името и имейл адреса на получателя.
- Дата: - Дата на изпращане на съобщението.
- Предмет: - Предметът .
Защита на главата
Действителната доставка на имейли не зависи от никоя от тези заглавки, те са просто удобство.
Обикновено отляво, например, ще бъде зададен на адреса на подателя. Това гарантира, че знаете кой е от съобщението и отговорете лесно.
Спамерите искат да сте сигурни, че не можете да отговорите лесно и със сигурност не искате да знаете кои са те. Ето защо вмъкват фиктивни имейл адреси в реда От: от техните нежелани съобщения.
Получени: Линии
Така че редът От: е безполезен, ако искаме да определим истинския източник на имейл. За щастие не трябва да разчитаме на това. Заглавията на всяко имейл съобщение съдържат и получените: линии.
Те обикновено не се показват чрез програми за електронна поща, но те могат да бъдат много полезни при проследяването на спам.
Получено получаване на параметрите: Линии за заглавки
Точно както пощенското писмо ще премине през няколко пощенски станции по пътя си от изпращач към получател, ще бъде обработено и изпратено имейл съобщение от няколко пощенски сървъра.
Представете си, че всяка пощенска станция поставя специална печат върху всяко писмо. Печатът би казал точно кога е получено писмото, откъде идва и къде е изпратено от пощата. Ако сте получили писмото, можете да определите точния път, който е взет от писмото.
Това е точно това, което се случва с имейла.
Получени: Линии за проследяване
Тъй като пощенският сървър обработва съобщение, той добавя специален ред, линия Received: към заглавката на съобщението. Получената линия съдържа, най-интересното,
- името на сървъра и IP адреса на устройството, сървърът получи съобщението от и
- името на самия пощенски сървър .
Линията Received: винаги е поставена в горната част на заглавията на съобщенията. Ако искаме да реконструираме пътуването на имейл от изпращач на получател, ние също започваме от най-горния Received: line (защо правим това, ще станем очевидни в един момент) и ще вървим надолу, докато не стигнем до последния, имейлът е възникнал.
Получено: линии коване
Спамерите знаят, че ще приложим точно тази процедура, за да открием местонахождението им. За да ни заблудят, те могат да вмъкнат подправени получени: линии, които сочат към някой друг, който изпраща съобщението.
Тъй като всеки сървър за електронна поща винаги ще постави линията "Получени:" в горната част, подправените заглавки на спамърите могат да бъдат само в долната част на веригата "Получена: линия". Ето защо ние започваме нашия анализ на върха и не просто извеждаме точката, в която имейлът произхожда от първия ред Received: (в долната част).
Как да разпознаем получената фалшива: Header Line
Фалшивите получени: линиите, вмъкнати от спамерите, за да ни заблудят, ще изглеждат като всички останали получени: линии (освен ако не правят очевидна грешка, разбира се). От само себе си, не можете да кажете фалшив получен: линия от истински.
Това е мястото, където се проявява една отличителна черта на получените: линии. Както отбелязахме по-горе, всеки сървър не само ще отбележи кой е, но и откъде е получил съобщението от (във формата на IP адрес).
Просто сравняваме кой сървър твърди, че е с това, което сървърът, който се вмъква във веригата, казва, че наистина е. Ако двете не съвпадат, по-ранната линия Received: е подправена.
В този случай произходът на имейла е това, което сървърът непосредствено след фалшивата линия Received: трябва да каже кой е получил съобщението от него.
Готови ли сте за пример?
Пример за спам, анализиран и проследен
Сега, когато познаваме теоретичните основи, нека видим как анализирането на нежелана електронна поща за идентифициране на произхода му в реалния живот.
Току-що получихме примерен спам, който можем да използваме за упражнения. Ето главните линии:
Получено: от неизвестно (HELO 38.118.132.100) (62.105.106.207)
от mail1.infinology.com с SMTP; 16 ноември 2003 19:50:37 -0000
Получено: от [235.16.47.37] от 38.118.132.100 id; Сряда, 16 ное 2003 13:38:22 -0600
Message-ID:
От: "Reinaldo Gilliam"
Отговорете на: "Reinaldo Gilliam"
До: ladedu@ladedu.com
Относно: Категория А Вземете медицината и се нуждаете от lgvkalfnqnh bbk
Дата: Sun, 16 Nov 2003 13:38:22 GMT
X-Mailer: Интернет пощенска услуга (5.5.2650.21)
MIME-версия: 1.0
Тип съдържание: многостранен / алтернативен;
граница = "9B_9 .._ C_2EA.0DD_23"
X-приоритет: 3
X-MSMail-Приоритет: Нормално
Можете ли да кажете на IP адреса, откъде идва електронната поща?
Изпращач и предмет
Първо, погледнете - ковано - от: линия. Спамерът иска да изглежда така, сякаш съобщението е изпратено от Yahoo! Поща. Заедно с линията "Отговор: да", този адрес От: адрес е насочен към насочване на всички подсказващи съобщения и ядосани отговори към несъществуващ Yahoo! Поща.
След това, Subject: е любопитна агломерация от случайни знаци. Това е едва четливо и очевидно е предназначено да заблуждава филтрите за спам (всяко съобщение получава малко по-различен набор от случайни знаци), но също така е доста умело изработено, за да получи посланието въпреки това.
Получените: Линии
И накрая, получените: линии. Да започнем с най-старата, получена: от [235.16.47.37] от 38.118.132.100 id; Сряда, 16 ное 2003 13:38:22 -0600 . Няма имена на хостове в него, но два IP адреса: 38.118.132.100 твърдят, че са получили съобщението от 235.16.47.37. Ако това е вярно, 235.16.47.37 е мястото, където е получен имейлът, и ще разберем кой ISP този IP адрес принадлежи, и след това да му изпратим отчет за злоупотреба .
Да видим дали следващият (и в този случай последен) сървър във веригата потвърждава първите вземания на получената линия: Получени: от неизвестен (HELO 38.118.142.100) (62.105.106.207) от mail1.infinology.com с SMTP; 16 ноември 2003 19:50:37 -0000 .
Тъй като mail1.infinology.com е последният сървър във веригата и наистина "нашият" сървър, ние знаем, че можем да му се доверим. Той е получил съобщението от "неизвестен" хост, който твърди, че има IP адрес 38.118.132.100 (използвайки командата SMTP HELO ). Досега това е в съответствие с това, което беше получено в предишната линия.
Сега нека видим откъде нашия пощенски сървър получи съобщението. За да разберете, ние разгледаме IP адреса в скоби непосредствено преди това от mail1.infinology.com . Това е IP адресът, от който е установена връзката, и не е 38.118.132.100. Не, 62,105,106,207 е мястото, където е изпратено това парче нежелана поща.
С тази информация вече можете да идентифицирате ISP-а на спамера и да съобщите на нежелания имейл до тях, за да могат да изстрелят спамерите от мрежата.