Спамът ще приключи, когато вече не е печеливш. Спамерите ще видят печалбите си да паднат, ако никой не ги купува (защото дори не виждате нежеланите имейли). Това е най-лесният начин за борба с спама, и със сигурност един от най-добрите.
Оплаквания за спам
Но можете също да повлияете и на разходната част на баланса на спамерите. Ако се оплаквате от доставчика на интернет услуги (ISP) на спамера, те ще загубят връзката си и може би ще трябва да платят глоба (в зависимост от приемливата политика за използване на Интернет доставчиците).
Тъй като спамерите знаят и се страхуват от такива доклади, те се опитват да се скрият. Ето защо намирането на подходящия ISP не винаги е лесно. За щастие, има инструменти като SpamCop, които правят докладването спам правилно на правилния адрес лесно.
Определяне на източника на спам
Как SpamCop намира правилния интернет доставчик, в който да се оплаче? Започва отблизо заглавията на съобщението за спам. Тези заглавки съдържат информация за пътя, който е имал имейл.
SpamCop следва пътя до точката, от която е изпратен имейлът. От този момент, познат също като IP адрес, той може да извлече ISP-то на спамера и да изпрати доклада до този отдел за злоупотреби на ISP.
Нека да разгледаме по-отблизо как работи.
Имейл: Header и Body
Всяко имейл съобщение се състои от две части, тялото и заглавката. Заглавието може да се разглежда като плика на съобщението, съдържащ адреса на подателя, получателя, субекта и друга информация. Тялото съдържа действителния текст и прикачените файлове.
Някои заглавна информация, обикновено показвана от програмата ви за електронна поща, включва:
- От: - Името и имейл адреса на подателя.
- Да се: - Името и имейл адресът на получателя.
- Дата: - Дата на изпращане на съобщението.
- Предмет: - Обектът на темата.
Защита на главата
Действителната доставка на имейли не зависи от никоя от тези заглавки, те са просто удобство.
Обикновено редът От:: ще бъде изпратен на адреса на подателя. Това гарантира, че знаете кой е от съобщението и отговорете лесно.
Спамерите искат да се уверят, че не можете да отговорите лесно и със сигурност не искате да знаете кои са те. Ето защо вмъкват фиктивни имейл адреси в реда От: от техните нежелани съобщения.
Получени: Линии
Така че редът От: е безполезен, ако искаме да определим истинския източник на имейл. За щастие не трябва да разчитаме на това. Заглавията на всяко имейл съобщение съдържат също и получените: линии.
Те обикновено не се показват чрез програми за електронна поща, но те могат да бъдат много полезни при проследяването на спам.
Получено получаване на параметрите: Линии за заглавки
Точно както пощенското писмо ще премине през няколко пощенски станции по пътя си от изпращач към получател, ще бъде обработено и изпратено имейл съобщение от няколко пощенски сървъра.
Представете си, че всяка пощенска станция поставя специална печат върху всяко писмо. Печатът би казал точно кога е получено писмото, откъде идва и къде е изпратено от пощата. Ако сте получили писмото, можете да определите точния път, който е взет от писмото.
Това е точно това, което се случва с имейла.
Получени: Линии за проследяване
Тъй като пощенският сървър обработва съобщение, той добавя специален ред, линия Received: към заглавката на съобщението. Получената линия съдържа, най-интересното,
- името на сървъра и IP адреса на устройството, сървърът получи съобщението от и
- името на самия пощенски сървър.
Линията Received: винаги е поставена в горната част на заглавията на съобщенията. Ако искаме да реконструираме пътуването на имейл от изпращач на получател, ние също започваме от най-горния Received: line (защо правим това, ще станем очевидни в един момент) и ще вървим надолу, докато не стигнем до последния, имейлът е възникнал.
Получено: линии коване
Спамерите знаят, че ще приложим точно тази процедура, за да открием местонахождението им. За да ни заблудят, те могат да вмъкнат подправени получени: линии, които сочат към някой друг, който изпраща съобщението.
Тъй като всеки сървър за електронна поща винаги ще постави линията "Получени:" в горната част, подправените заглавки на спамърите могат да бъдат само в долната част на веригата "Получена: линия". Ето защо ние започваме нашия анализ на върха и не просто извеждаме точката, в която имейлът произхожда от първия ред Received: (в долната част).
Как да разпознаем получената фалшива: Header Line
Фалшивите получени: линиите, вмъкнати от спамерите, за да ни заблудят, ще изглеждат като всички останали получени: линии (освен ако не правят очевидна грешка, разбира се). От само себе си, не можете да кажете фалшив получен: линия от истински.
Това е мястото, където се проявява една отличителна черта на получените: линии. Както отбелязахме по-горе, всеки сървър не само ще отбележи кой е, но и откъде е получил съобщението от (във формата на IP адрес).
Просто сравняваме кой сървър твърди, че е с това, което сървърът, който се вмъква във веригата, казва, че наистина е. Ако двете не съвпадат, по-ранната линия Received: е подправена.
В този случай произходът на имейла е това, което сървърът непосредствено след фалшивата линия Received: трябва да каже кой е получил съобщението от него.
Готови ли сте за пример?
Пример за спам, анализиран и проследен
Сега, когато познаваме теоретичните основи, нека анализираме нежелана поща, за да идентифицираме произхода му в реалния живот.
Току-що получихме примерен спам, който можем да използваме за упражнения.Ето главните линии:
Получено: от неизвестно (HELO 38.118.132.100) (62.105.106.207)от mail1.infinology.com с SMTP; 16 ноември 2003 19:50:37 -0000Получено: от 235.16.47.37 от 38.118.132.100 id; Сряда, 16 ное 2003 13:38:22 -0600Message-ID:От: "Reinaldo Gilliam"Отговорете на: "Reinaldo Gilliam"До: [email protected]Относно: Категория А Вземете медицината и се нуждаете от lgvkalfnqnh bbkДата: Sun, 16 Nov 2003 13:38:22 GMTX-Mailer: Интернет пощенска услуга (5.5.2650.21)MIME-версия: 1.0Тип съдържание: многостранен / алтернативен;граница = "9B_9 .._ C_2EA.0DD_23"X-приоритет: 3X-MSMail-Приоритет: Нормално
Можете ли да кажете на IP адреса, откъде идва електронната поща?
Изпращач и предмет
Първо, погледнете - ковано - от: линия. Спамерът иска да изглежда така, сякаш съобщението е изпратено от Yahoo! Поща. Заедно с линията "Отговор: да", този адрес От: адрес е насочен към насочване на всички подсказващи съобщения и ядосани отговори към несъществуващ Yahoo! Поща.
След това, Subject: е любопитна агломерация от случайни знаци. Това е едва четливо и очевидно е предназначено да заблуждава филтрите за спам (всяко съобщение получава малко по-различен набор от случайни знаци), но също така е доста умело изработено, за да получи посланието въпреки това.
Получените: Линии
И накрая, получените: линии. Да започнем с най-старите, Получено: от 235.16.47.37 от 38.118.132.100 id; Сряда, 16 ное 2003 13:38:22 -0600 , Няма имена на хостове в него, но два IP адреса: 38.118.132.100 твърдят, че са получили съобщението от 235.16.47.37. Ако това е вярно, 235.16.47.37 е мястото, където е получен имейлът, и ще разберем кой ISP този IP адрес принадлежи, и след това да му изпратим отчет за злоупотреба.
Да видим дали следващият (и в този случай последния) сървър във веригата потвърждава първите получени вземания: Получено: от неизвестен (HELO 38.118.142.100) (62.105.106.207) от mail1.infinology.com с SMTP; 16 ноември 2003 19:50:37 -0000 .
Тъй като mail1.infinology.com е последният сървър във веригата и наистина "нашият" сървър, ние знаем, че можем да му се доверим. Той е получил съобщението от "неизвестен" хост, който твърди, че има IP адрес 38.118.132.100 (използвайки командата SMTP HELO). Досега това е в съответствие с това, което беше получено в предишната линия.
Сега нека видим откъде нашия пощенски сървър получи съобщението. За да разберете, ние разгледаме IP адреса в скоби непосредствено преди от mail1.infinology.com , Това е IP адресът, от който е установена връзката, и не е 38.118.132.100. Не, 62,105,106,207 е мястото, където е изпратено това парче нежелана поща.
С тази информация вече можете да идентифицирате ISP-а на спамера и да съобщите на нежелания имейл до тях, за да могат да изстрелят спамерите от мрежата.
