Spam sa skončí, keď už nie je zisková. Spameri si uvidia svoje zisky, keď nikto z nich nekupuje (pretože ani nevidíte nevyžiadané e-maily). To je najjednoduchší spôsob, ako bojovať proti spamu a určite jedným z najlepších.
Sťažuje sa na spam
Môžete však ovplyvniť aj výdavkovú stranu bilancie spamera. Ak sa sťažujete na poskytovateľa internetových služieb (ISP) poskytovateľa nevyžiadanej pošty, stratí ich spojenie a možno bude musieť zaplatiť pokutu (v závislosti od prijateľnej politiky používania ISP).
Keďže spameri vedia a obávajú sa takýchto správ, pokúšajú sa skrývať. Preto nájsť správneho ISP nie je vždy jednoduché. Našťastie existujú nástroje, ako je SpamCop, ktoré robia správne hlásenie spamu na správnu adresu.
Určenie zdroja nevyžiadanej pošty
Ako SpamCop nájde správneho poskytovateľa internetových služieb na sťažnosť? Pozorne sa pozeráte na riadky hlavičky spamovej správy . Tieto hlavičky obsahujú informácie o ceste, ktorú dostal e-mail.
Služba SpamCop sleduje cestu až do miesta odoslania e-mailu. Z tohto hľadiska, tiež známy ako adresa IP , môže odvodiť ISP poskytovateľa nevyžiadanej pošty a poslať správu tomuto oddeleniu zneužívania ISP.
Poďme sa bližšie pozrieť na to, ako to funguje.
Email: Header a Body
Každá e-mailová správa sa skladá z dvoch častí, tela a hlavičky. Hlavička sa môže považovať za obálku správy obsahujúcu adresu odosielateľa, príjemcu, predmet a ďalšie informácie. Telo obsahuje skutočný text a prílohy.
Niektoré informácie o hlavičke, ktoré sa zvyčajne zobrazujú v e-mailovom programe,
- Od: - meno a e-mailová adresa odosielateľa.
- Komu: - Meno a e-mailová adresa príjemcu.
- Dátum: - Dátum odoslania správy.
- Predmet: - Subject line .
Zakladanie hlavičiek
Skutočné doručenie e-mailov nezávisí od žiadnej z týchto hlavičiek, sú to len pohodlie.
Zvyčajne bude riadok Od: nastavený na adresu odosielateľa. To znamená, že viete, od koho je správa a ktorá môže ľahko odpovedať.
Spameri sa chcú ubezpečiť, že nemôžete ľahko odpovedať, a určite nechcete, aby ste vedeli, kto sú. Preto vkladajú fiktívne e-mailové adresy do riadkov Od: ich nevyžiadaných správ.
Prijaté: Linky
Takže linka Od: je zbytočná, ak chceme určiť skutočný zdroj e-mailu. Našťastie sa na to nemôžeme spoliehať. Záhlavie každej e-mailovej správy obsahuje aj riadky Prijaté:.
Tie sa zvyčajne nezobrazujú prostredníctvom e-mailových programov, ale môžu byť veľmi užitočné pri sledovaní spamu.
Parser received: Header Lines
Rovnako ako poštový list bude prechádzať viacerými poštami na ceste od odosielateľa k príjemcovi, e-mailová správa je spracovaná a posielaná niekoľkými poštovými servermi.
Predstavte si, že každá pošta dá osobitnú pečiatku na každý list. Pečiatka by presne povedala, kedy bol list prijatý, odkiaľ pochádza a kde ju poslala pošta. Ak dostanete list, môžete určiť presnú cestu, ktorú má list.
To je presne to, čo sa deje s e-mailom.
Prijaté: Linky na sledovanie
Keďže poštový server spracováva správu, pridá do riadku správy osobitný riadok Received:. Riadok Received: obsahuje najzaujímavejšie,
- názov servera a adresa IP zariadenia, ktorý server prijal správu od a
- názov samotného poštového servera .
Riadok Prijaté: vždy je umiestnený v hornej časti hlavičky správy. Ak chceme rekonštruovať cestu e-mailu od odosielateľa k príjemcovi, začneme aj v najvyššej položke Received: line (prečo to robíme zrejmé) a vydržíme sa dolu, kým sa nedostaneme na poslednú, čo je miesto e-mail vznikol.
Prijaté: Kovanie na línie
Spameri vedia, že použijeme presne tento postup na odhalenie miesta ich pobytu. Aby sme nás oklamali, môžu vložiť falošné prijaté: riadky, ktoré ukazujú na niekoho iného, ktorý poslal správu.
Keďže každý poštový server bude vždy umiestňovať riadok Received: v hornej časti, hlavičky nevyžiadanej pošty môžu byť len v spodnej časti reťazca Received: line. To je dôvod, prečo začneme našu analýzu na začiatku a nie len odvodiť miesto, kde e-mail pochádza z prvého riadku Prijaté: v dolnej časti.
Ako poznať prijatú kovanú: hlavičku
Falošné prijaté: riadky vložené spammi, aby nás oklamali, budú vyzerať ako všetky ostatné Prijaté: riadky (pokiaľ samozrejme nespôsobia samozrejme chybu). Samo o sebe nemôžete povedať falošnú prijatú: linku z pravého.
To je miesto, kde jedna odlišná funkcia prijímaných: liniek vstupuje do hry. Ako sme si všimli vyššie, každý server si bude nielen všimnúť, kto je, ale aj odkiaľ dostal správu z (vo forme IP adresy).
Jednoducho porovnávame, kto tvrdí, že server je s tým, čo server jeden zárez v reťazci hovorí, že to naozaj je. Ak sa tieto dva nezhodujú, skoršia línia Received: bola sfalšovaná.
V tomto prípade je pôvodom e-mailu to, čo server ihneď po tom, čo sa v dôsledku falošného Prijaté: musí povedať o tom, od koho dostal správu.
Ste pripravení na príklad?
Príklad spamu analyzovaný a sledovaný
Teraz, keď poznáme teoretickú základňu, uvidíme, ako analyzovať nevyžiadanú e-mailovú adresu, aby sme zistili jej pôvod, funguje v reálnom živote.
Práve sme dostali príkladný spam, ktorý môžeme použiť na cvičenie. Tu sú riadky hlavičky:
Prijaté: z neznámeho (HELO 38.118.132.100) (62.105.106.207)
mail1.infinology.com s protokolom SMTP; 16. novembra 2003 19:50:37 -0000
Doručené: od [235.16.47.37] podľa 38.118.132.100 id; Ne, 16 Nov 2003 13:38:22 -0600
ID správy:
Od: "Reinaldo Gilliam"
Odpovedať na: "Reinaldo Gilliam"
Komu: ladedu@ladedu.com
Predmet: Kategória A Získajte informácie o liekoch a potrebujete lgvkalfnqnh bbk
Dátum: Sun, 16 Nov 2003 13:38:22 GMT
X-Mailer: služba Internet Mail (5.5.2650.21)
Verzia MIME: 1.0
Content-Type: multipart / alternative;
hranica = "9B_9 .._ C_2EA.0DD_23"
Priorita X: 3
Priorita X-MSMail: Normálna
Môžete uviesť adresu IP, odkiaľ pochádza e-mail?
Odosielateľ a predmet
Po prvé, pozrite sa na - kované - z: riadok. Spammer chce, aby vyzeralo, ako keby bola správa odoslaná z Yahoo! Poštový účet. Spolu s riadkom Odpovedať na: Táto adresa Od: adresa je zameraná na nasmerovanie všetkých posielaných správ a rozhnevaných odpovedí na neexistujúci Yahoo! Poštový účet.
Ďalej, predmet: je zvedavá aglomerácia náhodných postáv. Je sotva čitateľná a samozrejme určená na oklamanie spamových filtrov (každé hlásenie má trochu inú sériu náhodných znakov), ale aj napriek tomu je tiež celkom šikovne vytvorené, aby ste dostali správu.
Prijaté: Linky
Nakoniec, prijaté riadky. Začíname s najstarším, prijaté: od [235.16.47.37] podľa 38.118.132.100 id; Ne, 16 Nov 2003 13:38:22 -0600 . V ňom nie sú žiadne názvy hostiteľov, ale dve IP adresy: 38.118.132.100 tvrdí, že dostali správu z 235.16.47.37. Ak je to tak, 235.16.47.37 je miesto, odkiaľ pochádza e-mail, a zistili sme, ktorému poskytovateľovi tejto IP adresy patrí, potom pošlite správu o zneužitiu .
Pozrime sa, či nasledujúci (a v tomto prípade posledný) server v reťazci potvrdzuje prvé prijaté požiadavky: Prijaté: z neznámeho (HELO 38.118.142.100) (62.105.106.207) mail1.infinology.com s SMTP; 16. novembra 2003 19:50:37 -0000 .
Vzhľadom k tomu, mail1.infinology.com je posledný server v reťazci a naozaj "náš" server vieme, že mu môžeme dôverovať. Dostal správu od "neznámeho" hostiteľa, ktorý tvrdí, že má adresu IP 38.118.132.100 (pomocou príkazu SMTP HELO ). Zatiaľ je to v súlade s tým, čo predchádzajúce prijaté: linka povedal.
Teraz sa pozrime, odkiaľ náš poštový server dostal správu. Ak chcete zistiť, pozrime sa na IP adresu v zátvorkách bezprostredne pred mail1.infinology.com . Toto je IP adresa, z ktorej bola spojenie založená, a nie je 38.118.132.100. Nie, 62.105.106.207 je miesto, odkiaľ ste poslali túto nevyžiadanú poštu.
Pomocou týchto informácií môžete teraz identifikovať ISP poskytovateľa nevyžiadanej pošty a nahlásiť im nevyžiadaný e-mail, aby mohli kopať spamera z siete.