Spam zakończy się, gdy przestanie być opłacalny. Spamerzy zobaczą, jak spadają ich zyski, jeśli nikt od nich nie kupi (ponieważ nawet nie widzisz wiadomości-śmieci). To najprostszy sposób na walkę ze spamem i na pewno jeden z najlepszych.
Narzekanie na spam
Możesz również wpływać na stronę wydatków w bilansie spamera. Jeśli złożysz skargę do dostawcy usług internetowych (ISP) spamera, utraci on połączenie i może być zmuszony zapłacić grzywnę (w zależności od akceptowalnych zasad użytkowania dostawcy usług internetowych).
Ponieważ spamerzy znają i boją się takich zgłoszeń, starają się ukryć. Dlatego znalezienie odpowiedniego dostawcy usług internetowych nie zawsze jest łatwe. Istnieją jednak narzędzia, takie jak SpamCop, które upraszczają prawidłowe zgłaszanie spamu pod właściwy adres.
Określanie źródła spamu
Jak SpamCop znajduje właściwego dostawcę usług internetowych, do którego można złożyć skargę? Dokładnie przygląda się wierszom nagłówka wiadomości spamowej. Te nagłówki zawierają informacje o ścieżce, jaką przebył e-mail.
SpamCop podąża ścieżką aż do punktu, z którego spamer wysłał wiadomość e-mail. Od tego momentu, znany również jako adres IP, może uzyskać dostawcę usług internetowych spamera i wysłać zgłoszenie do działu nadużyć tego dostawcy usług internetowych.
Przyjrzyjmy się bliżej, jak to działa.
Nagłówek i treść wiadomości e-mail
Każda wiadomość e-mail składa się z dwóch części, treści i nagłówka. Nagłówek przypomina kopertę e-mail zawierającą adres nadawcy, odbiorcę, temat i inne informacje. Treść zawiera tekst i załączniki.
Niektóre informacje nagłówka zwykle wyświetlane przez program pocztowy obejmują:
- Od: Imię i nazwisko nadawcy oraz adres e-mail.
- Do: Nazwa i adres e-mail odbiorcy.
- Data: Data wysłania wiadomości.
- Temat: Wiersz tematu.
Kucie nagłówka
Rzeczywiste dostarczanie e-maili nie zależy od żadnego z tych nagłówków. Są po prostu wygodne.
Zazwyczaj linia Od, na przykład, zostanie wysłana na adres nadawcy, dzięki czemu wiesz, od kogo pochodzi wiadomość i możesz szybko odpowiedzieć.
Spamerzy chcą mieć pewność, że nie będziesz mógł łatwo odpowiedzieć, a już na pewno nie chcą, abyś wiedział, kim są. Dlatego wstawiają fikcyjne adresy e-mail w wierszach Od swoich wiadomości-śmieci.
Odebrane linie
Wiersz Od jest bezużyteczny przy określaniu prawdziwego źródła wiadomości e-mail. Nie musisz na nim polegać. Nagłówki każdej wiadomości e-mail zawierają również wiersze Odebrane.
Programy pocztowe zwykle ich nie wyświetlają, ale mogą być przydatne w śledzeniu spamu.
Przetwarzanie otrzymanych wierszy nagłówka
Podobnie jak list pocztowy przechodzi przez kilka urzędów pocztowych w drodze od nadawcy do odbiorcy, wiadomość e-mail jest przetwarzana i przekazywana przez kilka serwerów pocztowych.
Wyobraź sobie, że każdy urząd pocztowy umieszcza unikalny znaczek na każdym liście. Znaczek wskazywałby dokładnie, kiedy przesyłka została odebrana, skąd pochodziła i dokąd została przekazana przez pocztę. Jeśli dostałeś list, możesz określić dokładną ścieżkę, jaką obrał list.
To jest dokładnie to, co dzieje się z pocztą e-mail.
Odebrane wiersze do śledzenia
Jako serwer pocztowy przetwarza wiadomość, dodaje określoną linię do nagłówka wiadomości. Wiersz Received zawiera nazwę serwera i adres IP komputera, z którego serwer otrzymał wiadomość, oraz nazwę serwera pocztowego.
Wiersz Odebrane zawsze znajduje się na górze nagłówka wiadomości. Aby zrekonstruować drogę wiadomości e-mail od nadawcy do odbiorcy, zacznij od najwyższej linii Odebrane i przejdź do ostatniej, z której pochodzi wiadomość e-mail.
Kucie linii otrzymanej
Spamerzy wiedzą, że ludzie stosują tę procedurę, aby odkryć swoje miejsce pobytu. Mogą wstawiać sfałszowane wiersze Received, które wskazują na kogoś innego wysyłającego wiadomość, aby oszukać zamierzonego odbiorcę.
Ponieważ każdy serwer pocztowy zawsze umieszcza swoją linię Received na górze, sfałszowane nagłówki spamerów mogą znajdować się tylko na dole łańcucha linii Received. Dlatego powinieneś rozpocząć analizę od góry, a nie tylko wyprowadzać punkt, w którym wiadomość e-mail pochodzi z pierwszej linii Otrzymane (na dole).
Jak rozpoznać sfałszowany odebrany nagłówek
Sfałszowane wiersze Received wstawiane przez spamerów wyglądają jak wszystkie inne wiersze Received (chyba że popełniają oczywisty błąd). Sam w sobie nie można odróżnić sfałszowanej linii Received od autentycznej, w której w grę wchodzi jedna odrębna cecha linii Received. Każdy serwer odnotowuje, kim jest i skąd otrzymał wiadomość (w formie adresu IP).
Porównaj, za co podaje się serwer, z tym, co podaje serwer o pierwsze wycięcie w łańcuchu. Jeśli te dwa nie pasują, wcześniejszy jest sfałszowaną linią Odebrane.
W tym przypadku źródłem wiadomości e-mail jest to, co serwer umieścił bezpośrednio po sfałszowanym Odebranych.
Przykład analizowanego i śledzonego spamu
Teraz, gdy znamy podstawy teoretyczne, przeanalizujmy wiadomości-śmieci, aby zidentyfikować ich pochodzenie w prawdziwym życiu.
Właśnie otrzymaliśmy przykładowy spam, który możemy wykorzystać do ćwiczeń. Oto wiersze nagłówka:
Otrzymano: od nieznanych (HELO 38.118.132.100) (62.105.106.207) przez mail1.infinology.com z SMTP; 16 listopada 2003 19:50:37 -0000 Otrzymano: od [235.16.47.37] przez 38.118.132.100 id; Niedziela, 16 listopada 2003 13:38:22 -0600 Identyfikator wiadomości: Od: „Reinaldo Gilliam” Odpowiedz do: „Reinaldo Gilliam” Do: [email protected] Temat: Kategoria A Zdobądź leki, których potrzebujesz lgvkalfnqnh bbk Data: Niedziela, 16 listopada 2003 13:38:22 GMT X-Mailer: Usługa poczty internetowej (5.5.2650.21) Wersja MIME: 1.0 Typ treści: wieloczęściowy/ alternatywny; X-Priority: 3 X-MSMail-Priority: Normal
Czy możesz określić adres IP, z którego pochodzi wiadomość e-mail?
Nadawca i temat
Najpierw spójrz na sfałszowaną linię From. Spamer chce, aby wyglądało to tak, jakby wiadomość pochodziła z Yahoo! Konto pocztowe. Dzięki wierszowi Odpowiedz, ten adres Od ma na celu skierowanie wszystkich odrzuconych wiadomości i gniewnych odpowiedzi do nieistniejącego Yahoo! Konto pocztowe.
Następnie Temat to ciekawa kumulacja losowych postaci. Jest ledwo czytelny i zaprojektowany, aby oszukać filtry antyspamowe (każda wiadomość otrzymuje nieco inny zestaw losowych znaków). Mimo to jest również dość umiejętnie spreparowany, aby mimo to przekazać wiadomość.
Odbierane linie
Na koniec wiersze Odebrane. Zacznijmy od najstarszego, Otrzymane: od [235.16.47.37] przez 38.118.132.100 id; Niedziela, 16 listopada 2003 13:38:22 -0600. Nie ma w nim nazw hostów, ale dwa adresy IP: 38.118.132.100 twierdzi, że otrzymał wiadomość z 235.16.47.37. Jeśli to prawda, 235.16.47.37 to miejsce, z którego pochodzi wiadomość e-mail, i dowiemy się, do którego dostawcy usług internetowych należy ten adres IP, a następnie wyślemy do niego zgłoszenie nadużycia.
Sprawdźmy, czy następny (i w tym przypadku ostatni) serwer w łańcuchu potwierdza roszczenia pierwszego wiersza Odebrane: Otrzymano: od nieznanego (HELO 38.118.142.100) (62.105.106.207) przez mail1.infinology.com z SMTP; 16 listopada 2003 19:50:37 -0000.
Ponieważ mail1.infinology.com jest ostatnim serwerem w łańcuchu i rzeczywiście „naszym” serwerem, wiemy, że możemy mu zaufać. Odebrał wiadomość od „nieznanego” hosta twierdzącego, że ma adres IP 38.118.132.100 (za pomocą polecenia SMTP HELO). Jak dotąd jest to zgodne z tym, co powiedział poprzedni wiersz Otrzymane.
Teraz zobaczmy, skąd nasz serwer pocztowy otrzymał wiadomość. Aby się dowiedzieć, spójrz na adres IP w nawiasach bezpośrednio przed mail1.infinology.com. Jest to adres IP, z którego nawiązano połączenie, a nie 38.118.132.100. Nie, 62.105.106.207 to miejsce, z którego wysłano tę wiadomość-śmieci.
Dzięki tym informacjom możesz teraz zidentyfikować dostawcę usług internetowych spamera i zgłosić mu niechcianą wiadomość e-mail, aby wyrzucić spamera z sieci.
