Спам закінчиться, коли він перестане приносити прибуток. Спаммери побачать, що їх прибуток впаде, якщо ніхто не купить у них (тому що ви навіть не бачите небажаних листів). Це найпростіший спосіб боротьби зі спамом і, безумовно, один з кращих.
- Скаржитися на спам
- Визначення джерела спаму
- Електронна пошта: заголовок і тіло
- Ковка заголовка
- Отримано: Лінії
- Отриманий синтаксичний аналіз: рядки заголовка
- Отримано: Лінії для трасування
- Отримано: Line Forging
- Як повідомити підроблене отримане: рядок заголовка
- Приклад спаму, проаналізований і відстежений
- Відправник і Тема
Скаржитися на спам
Але ви також можете вплинути на видаткову частину балансу спамера. Якщо ви поскаржитеся провайдеру інтернет-послуг (ISP) спаммеру, він втратить з'єднання і, можливо, повинен буде заплатити штраф (залежно від політики допустимого використання ISP).
Оскільки спамери знають і бояться таких повідомлень, вони намагаються приховати. Ось чому знайти відповідного провайдера не завжди легко. На щастя, є такі інструменти, як SpamCop, які дозволяють легко повідомляти про спам за потрібною адресою.
Визначення джерела спаму
Як SpamCop знаходить відповідного інтернет-провайдера для скарг? Він уважно розглядає рядки заголовка спам-повідомлення. Ці заголовки містять інформацію про шлях електронної пошти.
SpamCop слід по шляху до точки відправлення листа. З цього моменту, також відомий як IP-адреса, він може отримати провайдера-спамера і відправити звіт у відділ зловживань цього провайдера.
Розгляньмо детальніше, як це працює.
Електронна пошта: заголовок і тіло
Кожне повідомлення електронної пошти складається з двох частин: тіла і заголовка. Заголовок може розглядатися як конверт повідомлення, що містить адресу відправника, одержувача, тему та іншу інформацію. Тіло містить фактичний текст і вкладення.
Певна інформація заголовка, яка зазвичай відображається вашою поштовою програмою, включає:
- Від: ім'я відправника і адреса електронної пошти.
- Кому: ім'я отримувача та адреса електронної пошти.
- Дата: дата надсилання повідомлення.
- Тема: сюжетна лінія.
Ковка заголовка
Реальна доставка листів не залежить від цих заголовків, вони просто зручні.
Зазвичай, наприклад, рядок From: надсилається на адресу відправника. Це гарантує, що ви знаєте, від кого це повідомлення, і можете легко відповісти.
Спамери хочуть переконатися, що ви не можете відповісти легко, і, звичайно, не хочете, щоб ви знали, хто вони. Ось чому вони вставляють фіктивні адреси електронної пошти в рядки From: своїх небажаних повідомлень.
Отримано: Лінії
Тому рядок From: марна, якщо ми хочемо визначити реальне джерело електронного листа. На щастя, нам не потрібно на це покладатися. Заголовки кожного повідомлення електронної пошти також містять рядки Received:.
Зазвичай вони не відображаються поштовими програмами, але можуть бути дуже корисні для відстеження спаму.
Отриманий синтаксичний аналіз: рядки заголовка
Так само, як поштовий лист проходитиме через кілька поштових відділень на шляху від відправника до одержувача, поштове повідомлення обробляється та пересилається кількома поштовими серверами.
Уявіть, що кожне поштове відділення ставить спеціальний штамп на кожен лист. На марці буде зазначено, коли саме було отримано лист, звідки він прийшов і куди він був відправлений поштовим відділенням. Якщо ви отримали лист, ви можете визначити точний шлях, по якому йде лист.
Це саме те, що відбувається з електронною поштою.
Отримано: Лінії для трасування
Коли поштовий сервер обробляє повідомлення, він додає спеціальний рядок, рядок Received: до заголовка повідомлення. Рядок Received: містить, що найцікавіше, ім'я сервера і IP-адреса комп'ютера, на який сервер отримав повідомлення від імені самого поштового сервера.
Рядок Received: завжди вставляється вгорі заголовків повідомлень. Якщо ми хочемо відновити шлях відправлення електронної пошти від відправника до одержувача, ми також починаємо з самого верхнього рядка Received: (чому ми це робимо, стане ясно через мить) і йдемо вниз до тих пір, поки не досягнемо останнього, де лист відправлено.
Отримано: Line Forging
Спамери знають, що ми будемо застосовувати саме цю процедуру, щоб розкрити їх місцезнаходження. Щоб обдурити нас, вони можуть вставити підроблені рядки Received:, що вказують на когось іншого, що надсилає повідомлення.
Оскільки кожен поштовий сервер завжди розміщує свій рядок Received: вгорі, підроблені заголовки спаммерів можуть знаходитися тільки внизу ланцюжка рядків Received:. Ось чому ми починаємо наш аналіз зверху, а не просто виводимо точку, з якої отримано електронний лист з першого рядка Received: (внизу).
Як повідомити підроблене отримане: рядок заголовка
Підроблені рядки Received:, вставлені спамерами, щоб обдурити нас, будуть виглядати як всі інші рядки Received: (якщо, звичайно, вони не допустять очевидної помилки). Саме собою, ви не можете відрізнити підроблений рядок Received: від справжньої.
Ось де в гру вступає одна особливість лінії Received: Як ми вже зазначали вище, кожен сервер буде не тільки зазначати, хто він, але і звідки він отримав повідомлення (у формі IP-адреси).
Ми просто порівнюємо, ким є сервер, з тим, що сервер на одну сходинку в ланцюжку говорить, що це дійсно так. Якщо ці два значення не збігаються, раніше отриманий рядок Received був підроблений.
У цьому випадку джерелом електронної пошти є те, що сервер відразу після підробленого рядка Received: повинен сказати про те, від кого він отримав повідомлення.
Ви готові до прикладу?
Приклад спаму, проаналізований і відстежений
Тепер, коли ми знаємо теоретичну основу, давайте проаналізуємо небажаний електронний лист, щоб визначити його походження в реальному житті.
Ми щойно отримали зразок спаму, який ми можемо використовувати для тренувань. Ось рядки заголовка:
Отримано: від невідомого (HELO 38.118.132.100) (62.105.106.207)
за mail1.infinology.com з SMTP; 16 листопада 2003 р. 19:50:37 -000
0Получено: від [235.16.47.37] за номером 38.118.132.100; Неділя, 16 листопада 2003 13:38:22 - 0600 Ідентифікаторспільнення
:Від: «Reinaldo Gilliam»
Відповідь: «Reinaldo Gillia
m» Кому: ladedu @ ladedu
Тема: Категорія A Отримати ліки, які вам потрібні lgvkalfnqn
h bbkДата: Неділя, 16 листопада 2003 13:38:2
2 GMTX-Mailer: служба Інтернет-пошти (5.5.265
0.21) MIME-версія
: 1.0Тип контенту: складений/альтернативний
; border = "9B_9.._ C_2EA.0D
D_23"X-Priori
ty: 3X-MSMail-Priority: Normal
Чи можете ви сказати IP-адресу, звідки прийшов лист?
Відправник і Тема
По-перше, погляньте на - підроблений - From: line. Спамер хоче, щоб це виглядало так, ніби повідомлення було відправлено з Yahoo! Поштовий акаунт.