Spam avsluttes når det ikke lenger er lønnsomt. Spammere vil se deres fortjeneste tommel hvis ingen kjøper fra dem (fordi du ikke engang ser søppelpostene). Dette er den enkleste måten å bekjempe spam, og absolutt en av de beste.
Klager om spam
Men du kan også påvirke utgiftssiden til en spammers balanse. Hvis du klager til spammers Internett-leverandør (ISP), mister de forbindelsen og må kanskje betale bøter (avhengig av ISPs akseptable brukspolitikk).
Siden spammere kjenner og frykter slike rapporter, prøver de å gjemme seg. Det er derfor ikke alltid lett å finne den riktige leverandøren. Heldigvis finnes det verktøy som SpamCop som gjør rapportering av spam riktig til riktig adresse enkelt.
Bestemme kilden til spam
Hvordan finner SpamCop den rette Internett-leverandøren å klage til? Det tar en nærmere titt på overskriftslinjene for spammeldingen. Disse overskriftene inneholder informasjon om banen en e-post tok.
SpamCop følger banen til det punktet hvor e-posten ble sendt fra. Fra dette punktet, også kjent som en IP-adresse, kan det utlede spammers Internett-leverandør og sende rapporten til denne leverandørens misbruk avdeling.
La oss se nærmere på hvordan dette fungerer.
E-post: Header and Body
Hver e-postmelding består av to deler, kroppen og toppteksten. Overskriften kan betraktes som konvolutt av meldingen, som inneholder adressen til avsenderen, mottakeren, emnet og annen informasjon. Kroppen inneholder den faktiske teksten og vedleggene.
Enkelte headerinformasjon som vanligvis vises av e-postprogrammet ditt inkluderer:
- Fra: - Avsenderens navn og e-postadresse.
- Til: - Mottakerens navn og e-postadresse.
- Dato: - Datoen da meldingen ble sendt.
- Emne: - Emnelinjen.
Header Smi
Den faktiske levering av e-postmeldinger er ikke avhengig av noen av disse overskriftene, de er bare bekvemmelighet.
Vanligvis vil Fra: -linjen bli sendt til avsenderens adresse. Dette sørger for at du vet hvem meldingen kommer fra og kan svare lett.
Spammere vil sørge for at du ikke kan svare enkelt, og absolutt, vil ikke at du skal vite hvem de er. Derfor legger de inn fiktive e-postadresser i Fra: linjene i deres søppelpost.
Mottatt: Linjer
Så Fra: -linjen er ubrukelig hvis vi vil bestemme den virkelige kilden til en e-post. Heldigvis trenger vi ikke stole på det. Overskriftene til hver e-postmelding inneholder også mottatt: linjer.
Disse vises ikke vanligvis via e-postprogrammer, men de kan være svært nyttige når du sporer spam.
Parsing mottatt: Overskriftslinjer
Akkurat som postbrev vil gå gjennom en rekke postkontorer på vei fra avsender til mottaker, blir en e-postmelding behandlet og videresendt av flere postservere.
Tenk deg hvert postkontor å sette et spesielt frimærke på hvert brev. Frimerket ville si nøyaktig når brevet ble mottatt, hvor det kom fra og hvor det ble videresendt til postkontoret. Hvis du fikk brevet, kan du bestemme den nøyaktige banen som brevet tok.
Dette er akkurat hva som skjer med e-post.
Mottatt: Linjer for sporing
Som en postserver behandler en melding, legger den til en spesiell linje, mottatt: linjen til meldingsoverskriften. Mottatt: linjen inneholder, mest interessant,
- serverens navn og IP-adresse på maskinen serveren mottok meldingen fra og
- navnet på e-postserveren selv.
Mottatt: linjen er alltid satt øverst i meldingshodene. Hvis vi ønsker å rekonstruere en e-posts reis fra avsender til mottaker starter vi også på den øverste Mottatte: linjen (hvorfor vi gjør dette, vil det bli tydelig på et øyeblikk) og gå ned til vi kommer til den siste, som er der e-posten oppsto.
Mottatt: Linje smiing
Spammere vet at vi vil bruke nøyaktig denne prosedyren for å avdekke deres oppholdssted. For å lure oss, kan de sette inn smidde Mottatt: linjer som peker på at noen andre sender meldingen.
Siden hver e-postserver alltid vil sette sin Mottatte: linje øverst, kan spammers smidde overskrifter bare være nederst i mottatt: -linjekjeden. Det er derfor vi starter vår analyse øverst og ikke bare utlede punktet der en e-post stammer fra den første mottatte: linjen (nederst).
Slik forteller du en smidd mottatt: Header Line
Den smidde Mottatt: Linjer satt inn av spammere for å lure oss, vil se ut som alle andre Mottatte: linjer (med mindre de gjør en åpenbar feil, selvfølgelig). I seg selv kan du ikke fortelle en smidd Mottatt: linje fra en ekte.
Dette er hvor en distinkt funksjon av mottatte linjer kommer inn i spill. Som vi har nevnt ovenfor, vil hver server ikke bare merke hvem det er, men også hvor det ble meldingen fra (i IP-adresseskjema).
Vi sammenligner bare hvem en server hevder å være med hvilken serveren en hakk i kjeden sier det egentlig er. Hvis de to ikke samsvarer, har den tidligere mottatte: linjen blitt smidd.
I dette tilfellet er opprinnelsen til e-posten hva serveren umiddelbart etter den smidde Mottatte: linjen har å si om hvem den fikk meldingen fra.
Er du klar for et eksempel?
Eksempel Spam Analysert og sporet
Nå som vi kjenner til den teoretiske grunnlaget, la oss analysere en søppelpost for å identifisere opprinnelsen i virkeligheten.
Vi har nettopp fått et eksemplarisk stykke spam som vi kan bruke til trening.Her er overskriftslinjene:
Mottatt: fra ukjent (HELO 38.118.132.100) (62.105.106.207)via mail1.infinology.com med SMTP; 16. november 2003 19:50:37 -0000Mottatt: fra 235.16.47.37 med 38.118.132.100 id; Søn, 16. november 2003 13:38:22 -0600Message-ID:Fra: "Reinaldo Gilliam"Svar-til: "Reinaldo Gilliam"Til: [email protected]Emne: Kategori A Få medsene du trenger lgvkalfnqnh bbkDato: søndag, 16. november 2003 13:38:22 GMTX-Mailer: Internet Mail Service (5.5.2650.21)MIME-versjon: 1.0Innholdstype: multipart / alternativ;boundary = "9B_9 .._ C_2EA.0DD_23"X-prioritet: 3X-MSMail-prioritet: Normal
Kan du fortelle IP-adressen hvor e-posten kommer fra?
Avsender og Emne
Først, ta en titt på - smidd - Fra: linje. Spammeren vil få det til å se ut som om meldingen ble sendt fra en Yahoo! Postkonto. Sammen med svar-til-linjen, er denne fra: adressen rettet mot å lede alle hoppende meldinger og sint svar på en ikke-eksisterende Yahoo! Postkonto.
Neste, Emne: er en nysgjerrig agglomerasjon av tilfeldige tegn. Det er knapt leselig og åpenbart designet for å lure spamfiltre (hver melding får et litt annet sett med tilfeldige tegn), men det er også ganske dyktig utformet for å få meldingen til tross for dette.
Mottatte: Linjer
Til slutt mottas: linjene. La oss begynne med den eldste, Mottatt: fra 235.16.47.37 med 38.118.132.100 id; Søn, 16. november 2003 13:38:22 -0600 . Det er ingen vertsnavn i den, men to IP-adresser: 38.118.132.100 hevder å ha mottatt meldingen fra 235.16.47.37. Hvis dette er riktig, er 235.16.47.37 hvor e-posten oppsto, og vi vil finne ut hvilken ISP denne IP-adressen tilhører, og send deretter en misbrukrapport til dem.
La oss se om neste (og i dette tilfellet sist) server i kjeden bekrefter de første mottatte linjens krav: Mottatt: fra ukjent (HELO 38.118.142.100) (62.105.106.207) ved mail1.infinology.com med SMTP; 16. november 2003 19:50:37 -0000 .
Siden mail1.infinology.com er den siste serveren i kjeden og faktisk "vår" server, vet vi at vi kan stole på det. Den har mottatt meldingen fra en "ukjent" vert som hevdet å ha IP-adressen 38.118.132.100 (ved hjelp av kommandoen SMTP HELO). Så langt er dette i tråd med hva den tidligere mottatte linjen sa.
La oss nå se hvor postserveren fikk meldingen fra. For å finne ut, tar vi en titt på IP-adressen i parentes umiddelbart før ved mail1.infinology.com . Dette er IP-adressen forbindelsen ble opprettet fra, og den er ikke 38.118.132.100. Nei, 62.105.106.207 er hvor dette søppelpostet ble sendt fra.
Med denne informasjonen kan du nå identifisere spammers Internett-leverandør og rapportere uønsket e-post til dem slik at de kan sparke spammeren fra nettet.
