Spam skončí, když už není rentabilní. Spamovéři uvidí, jak se jejich zisky ztrácejí, pokud jim nikdo nekupuje (protože ani nevidíte nevyžádané e-maily). Jedná se o nejjednodušší způsob, jak bojovat proti nevyžádané poště, a určitě je to jeden z nejlepších.
Stížnost na spam
Ale můžete ovlivnit i výdajovou stranu rozvahy nevyžádané pošty. Pokud se stěžujete na poskytovatele internetových služeb (ISP) odesílatele spamu, ztratí jejich připojení a možná bude muset zaplatit pokutu (v závislosti na přijatelné politice používání ISP).
Vzhledem k tomu, že posílající zprávy o spamu vědí a obávají se takových zpráv, snaží se skrýt. To je důvod, proč najít správného ISP není vždy snadné. Naštěstí existují nástroje, jako je SpamCop, které usnadňují hlášení spamu správně na správnou adresu.
Určení zdroje spamu
Jak SpamCop najde správného poskytovatele internetových služeb, aby si mohl stěžovat? Bližší pohled na řádky záhlaví spamové zprávy . Tyto hlavičky obsahují informace o cestě, kterou byl přijat e-mail.
SpamCop následuje cestu, dokud není odeslán e-mail. Od tohoto okamžiku, také známý jako adresa IP , může odvodit ISP odesílatele spamu a odeslat zprávu tomuto zneužívajícímu oddělení ISP.
Podívejme se blíže na to, jak to funguje.
Email: hlavička a tělo
Každá e-mailová zpráva se skládá ze dvou částí, těla a záhlaví. Hlavičku lze považovat za obálku zprávy, která obsahuje adresu odesílatele, příjemce, předmětu a další informace. Tělo obsahuje aktuální text a přílohy.
Některé informace o hlavičkách obvykle zobrazované vaším e-mailovým programem zahrnují:
- Z: - Jméno a e-mailová adresa odesílatele.
- Komu: - Jméno a e-mailová adresa příjemce.
- Datum: - datum, kdy byla zpráva odeslána.
- Předmět: - Předmět .
Zakládání záhlaví
Vlastní doručení e-mailů nezávisí na žádné z těchto záhlaví, jsou to jen pohodlí.
Linka Od: obvykle bude obvykle nastavena na adresu odesílatele. Tím zajistíte, abyste věděli, od koho je zpráva a můžete snadno odpovědět.
Spamovníci se chtějí ujistit, že nemůžete snadno odpovědět a rozhodně nechcete, abyste věděli, kdo jsou. Proto vkládají fiktivní e-mailové adresy do řádků Od: jejich nevyžádaných zpráv.
Obdrženo: Linky
Takže linka Od: je zbytečná, pokud chceme určit skutečný zdroj e-mailu. Naštěstí se na to nemůžeme spoléhat. Záhlaví každé e-mailové zprávy obsahuje také řádky Přijaté:.
Ty se obvykle nezobrazují prostřednictvím e-mailových programů, ale mohou být velmi užitečné při sledování spamu.
Parser Received: Header Lines
Stejně jako poštovní dopis bude procházet řadou pošt v cestě od odesílatele k příjemci, e-mailová zpráva je zpracovávána a předávána několika poštovními servery.
Představte si, že každý poštovní úřad uloží každé písmeno zvláštní razítko. Razítko by řeklo přesně, kdy byl dopis obdržen, odkud pocházel a kde jej předal poštovní úřad. Máte-li dopis, můžete určit přesnou cestu, kterou má dopis.
To je přesně to, co se děje s e-mailem.
Received: Linky pro sledování
Jako poštovní server zpracovává zprávu, přidá zvláštní řádek Received: do hlavičky zprávy. Řádek Received: obsahuje, nejvíce zajímavé,
- název serveru a adresu IP zařízení, které server přijal zprávu od a
- název samotného poštovního serveru .
Řádek Received: je vždy vložena do horní části záhlaví zprávy. Pokud chceme rekonstruovat cestu e-mailu od odesílatele k příjemci, začínáme i na nejvyšší položce Received: line (proč to uděláme), a jdeme dolů, dokud nepřijdeme na poslední, což je místo e-mail pochází.
Přijato: Lineování kování
Spamové vědí, že použijeme přesně tento postup k odhalení místa jejich pobytu. Abyste nás oklamali, mohou vložit vložené kované zásilky. Přijaté: řádky, které ukazují na někoho jiného, který posílá zprávu.
Vzhledem k tomu, že každý poštovní server vždy umístí svůj řádek Received: v horní části, mohou být hlavičky nevyžádané pošty umístěné pouze v dolní části řetězce Received: line. To je důvod, proč začneme naši analýzu na vrcholu a nemůžeme jen odvodit místo, odkud pocházel e-mail z prvního řádku Přijaté (v dolní části).
Jak se dozvědět o přijatých forged: Linka záhlaví
Falešné přijaté: řádky vložené spamery, aby nás oklamaly, budou vypadat jako všechny ostatní Received: lines (pokud samozřejmě samozřejmě nedopatří). Samo o sobě nemůžete říct padělaný Received: line od originálního.
Toto je místo, kde hraje jedna z charakteristických rysů linek Received: lines. Jak jsme si poznamenali výše, každý server si všimne, kdo to je, ale také odkud dostal zprávu z (ve formě IP adresy).
Jednoduše jsme porovnávali, kdo server tvrdí, že je s tím, co server jeden vroubek v řetězci říká, že to opravdu je. Pokud se tyto dvě nezhodují, dřívější čára Received: byla zfalšována.
V tomto případě je původ e-mailu to, co server okamžitě po padělané Přijaté: řádek má říct o tom, od koho to zpráva dostala.
Jste připraveni na příklad?
Příklad spamu analyzován a sledován
Nyní, když známe teoretické základy, uvidíme, jak analyzovat nevyžádanou poštu, abyste zjistili její původ, funguje v reálném životě.
Právě jsme obdrželi příkladný spam, který můžeme použít pro cvičení. Zde jsou řádky záhlaví:
Přijato: z neznámého (HELO 38.118.132.100) (62.105.106.207)
mail1.infinology.com s protokolem SMTP; 16 listopadu 2003 19:50:37 -0000
Přijato: od [235.16.47.37] podle 38.118.132.100 id; So, 16 Nov 2003 13:38:22 -0600
ID zprávy:
Od: "Reinaldo Gilliam"
Odpovědět na: "Reinaldo Gilliam"
Komu: ladedu@ladedu.com
Předmět: Kategorie A Získejte meds u need lgvkalfnqnh bbk
Datum: Sun, 16 Nov 2003 13:38:22 GMT
X-Mailer: služba Internet Mail (5.5.2650.21)
Verze MIME: 1.0
Obsahový typ: vícenásobný / alternativní;
hranice = "9B_9 .._ C_2EA.0DD_23"
Priorita X: 3
Priorita X-MSMail: Normální
Můžete říct adresu IP, odkud pochází e-mail?
Odesílatel a předmět
Nejprve se podívejte na - kované - z: řádek. Spamovatel chce, aby to vypadalo, jako by zpráva byla odeslána z Yahoo! Poštovní účet. Spolu s linkou Odpovědět na: Tato adresa Od: adresa je zaměřena na nasměrování všech poskakujících zpráv a rozzlobených odpovědí na neexistující Yahoo! Poštovní účet.
Dále, předmět: je zvědavá aglomerace náhodných postav. Je sotva čitelná a zjevně navržena tak, aby oklamala nevyžádané filtry (každá zpráva má poněkud jinou sadu náhodných znaků), ale je to také docela obratně vytvořeno, aby se dostalo poselství napříč tím.
Příjem: Linky
Nakonec přijali řádky. Začneme nejstarší, přijato: od [235.16.47.37] podle 38.118.132.100 id; So, 16 Nov 2003 13:38:22 -0600 . V něm nejsou žádné názvy hostitelů, ale dvě adresy IP: 38.118.132.100 tvrdí, že obdržely zprávu z 235.16.47.37. Pokud je to správné, je to místo, odkud pochází e-mail, a zjistíme, který ISP tuto IP adresu patří, a pošlete jim zprávu o zneužití .
Uvidíme, jestli další server (a v tomto případě poslední) v řetězci potvrdí první požadavky přijatých: řádků: přijatých: z neznámé (HELO 38.118.142.100) (62.105.106.207) mail1.infinology.com s SMTP; 16 listopadu 2003 19:50:37 -0000 .
Vzhledem k tomu, že mail1.infinology.com je poslední server řetězce a opravdu "náš" server, víme, že mu můžeme věřit. Obdržel zprávu od neznámého hostitele, který tvrdil, že má adresu IP 38.118.132.100 (pomocí příkazu SMTP HELO ). Zatím je to v souladu s tím, co předchozí linka přijala: řádek řekl.
Nyní uvidíme, odkud náš poštovní server dostal zprávu. Chcete-li zjistit, podívejte se na adresu IP v závorkách bezprostředně před tím mail1.infinology.com . Jedná se o adresu IP, na kterou bylo spojení vytvořeno, a není to 38.118.132.100. Ne, 62.105.106.207 je místo, kde byl odeslán tento nevyžádaný pošty.
S těmito informacemi nyní můžete identifikovat dodavatele nevyžádané pošty a nahlásit nevyžádanou poštu, aby mohli vykopat spammera ze sítě.