Spam vil avsluttes når det ikke lenger er lønnsomt. Spammere vil se fortjenesten falle hvis ingen kjøper fra dem (fordi du ikke engang ser søppelpostene). Dette er den enkleste måten å bekjempe spam på, og absolutt en av de beste.
Klager over søppelpost
Du kan også påvirke utgiftssiden til en spammers balanse. Hvis du klager til nettsøppelleverandørens internettleverandør (ISP), vil de miste forbindelsen og kan måtte betale en bot (avhengig av nettleverandørens retningslinjer for akseptabel bruk).
Siden spammere kjenner til og frykter slike rapporter, prøver de å gjemme seg. Derfor er det ikke alltid lett å finne den rette Internett-leverandøren. Det finnes imidlertid verktøy som SpamCop som forenkler rapportering av søppelpost på riktig måte til den nøyaktige adressen.
Bestemme kilden til søppelpost
Hvordan finner SpamCop den rette Internett-leverandøren å klage til? Den tar en nærmere titt på spammeldingens overskriftslinjer. Disse overskriftene inneholder informasjon om banen en e-post tok.
SpamCop følger banen til punktet som spammeren sendte e-posten fra. Fra dette punktet, også kjent som en IP-adresse, kan den utlede spammerens ISP og sende rapporten til denne ISPens misbruksavdeling.
La oss se nærmere på hvordan dette fungerer.
E-posthode og brødtekst
Hver e-postmelding består av to deler, brødteksten og overskriften. Overskriften er som e-postkonvolutten som inneholder avsenderens adresse, mottakeren, emnet og annen informasjon. Brødteksten har teksten og vedleggene.
Noen overskriftsinformasjon som vanligvis vises av e-postprogrammet ditt inkluderer:
- Fra: Avsenderens navn og e-postadresse.
- To: Mottakerens navn og e-postadresse.
- Dato: Datoen da meldingen ble sendt.
- Subject: Emnelinjen.
Header Forging
Den faktiske leveringen av e-poster avhenger ikke av noen av disse overskriftene. De er bare praktiske.
Vanligvis vil fra-linjen for eksempel bli sendt til avsenderens adresse slik at du vet hvem meldingen er fra og kan svare raskt.
Spammere vil sørge for at du ikke kan svare enkelt, og vil absolutt ikke at du skal vite hvem de er. Det er derfor de setter inn fiktive e-postadresser i Fra-linjene i søppelmeldingene sine.
Mottatte linjer
Fra-linjen er ubrukelig når det gjelder å fastslå den virkelige kilden til en e-post. Du trenger ikke stole på det. Overskriftene til hver e-postmelding inneholder også mottatte linjer.
E-postprogrammer viser vanligvis ikke disse, men de kan være nyttige for å spore spam.
Parsing av mottatte topptekstlinjer
Akkurat som et postbrev vil gå gjennom flere postkontorer på vei fra avsender til mottaker, blir en e-postmelding behandlet og videresendt av flere e-postservere.
Se for deg at hvert postkontor setter et unikt stempel på hvert brev. Frimerket ville si nøyaktig når posten ble mottatt, hvor den kom fra, og hvor den ble videresendt av postkontoret. Hvis du fikk brevet, kan du finne den nøyaktige banen bokstaven tar.
Dette er nøyaktig hva som skjer med e-post.
Mottatte linjer for sporing
Når en e-postserver behandler en melding, legger den til en bestemt linje i meldingens overskrift. Mottatt-linjen inneholder servernavnet og IP-adressen til maskinen serveren mottok meldingen fra, og navnet på e-postserveren.
Mottatt-linjen er alltid øverst i meldingshodet. For å rekonstruere en e-posts reise fra avsender til mottaker, start på den øverste Mottatt-linjen og gå ned til den siste, som er der e-posten kom fra.
Received Line Forging
Spammere vet at folk bruker denne prosedyren for å avdekke hvor de befinner seg. De kan sette inn falske Mottatte linjer som peker på at noen andre sender meldingen for å lure den tiltenkte mottakeren.
Siden hver e-postserver alltid vil sette sin Mottatt-linje øverst, kan spammernes forfalskede overskrifter bare være nederst i Mottatt-linjekjeden. Dette er grunnen til at du bør starte analysen på toppen og ikke bare utlede punktet der en e-post stammer fra den første Mottatte linjen (nederst).
Hvordan fortelle en forfalsket mottatt topptekstlinje
De forfalskede Mottatte linjene som er satt inn av spammere ser ut som alle de andre Mottatte linjene (med mindre de gjør en åpenbar feil). I seg selv kan du ikke skille en forfalsket Mottatt linje fra en ekte, som er der en distinkt funksjon ved Mottatte linjer kommer inn i bildet. Hver server noterer hvem den er og hvor den fikk meldingen fra (i IP-adresseform).
Sammenlign hva en server hevder å være med hva serveren et hakk opp i kjeden sier den er. Hvis de to ikke stemmer overens, er den tidligere en forfalsket Mottatt linje.
I dette tilfellet er opprinnelsen til e-posten det serveren plasserte umiddelbart etter det forfalskede Mottatt sier.
Eksempel på søppelpost analysert og sporet
Nå som vi vet det teoretiske grunnlaget, la oss analysere en søppelpost for å identifisere opprinnelsen i det virkelige liv.
Vi har nettopp mottatt en eksemplarisk spam som vi kan bruke til trening. Her er overskriftslinjene:
Mottatt: fra ukjent (HELO 38.118.132.100) (62.105.106.207) av mail1.infinology.com med SMTP; 16 Nov 2003 19:50:37 -0000 Mottatt: fra [235.16.47.37] av 38.118.132.100 id; Søn, 16. nov. 2003 13:38:22 -0600 Meldings-ID: Fra: "Reinaldo Gilliam" Svar-Til: "Reinaldo Gilliam" Til: [email protected] Emne: Kategori A Få medisinene du trenger lgvkalfnqnh bbk Dato: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-versjon: 1.0 Content-Type: multipart/ alternative; boundary="9B_9._C_2EA.0DD_23" X-Priority: 3 X-MSMail-Priority: Normal
Kan du fortelle IP-adressen hvor e-posten stammer fra?
Avsender og emne
Først, se på den smidde Fra-linjen. Spammeren ønsker å få det til å se ut som om meldingen kom fra en Yahoo! E-postkonto. Med svar-til-linjen har denne fra-adressen som mål å sende alle tilbakemeldinger og sinte svar til en ikke-eksisterende Yahoo! E-postkonto.
Deretter er emnet en merkelig samling av tilfeldige tegn. Den er knapt lesbar og designet for å lure spamfiltre (hver melding får et litt annet sett med tilfeldige tegn). Likevel er den også ganske dyktig utformet for å få frem budskapet til tross for dette.
De mottatte linjene
Til slutt, de mottatte linjene. La oss begynne med den eldste, Mottatt: fra [235.16.47.37] av 38.118.132.100 id; Søn, 16. nov. 2003 13:38:22 -0600. Det er ingen vertsnavn i den, men to IP-adresser: 38.118.132.100 hevder å ha mottatt meldingen fra 235.16.47.37. Hvis dette er riktig, er 235.16.47.37 der e-posten kommer fra, og vi vil finne ut hvilken ISP denne IP-adressen tilhører, og deretter sende en misbruksrapport til dem.
La oss se om den neste (og i dette tilfellet siste) serveren i kjeden bekrefter den første Mottatt-linjens påstander: Mottatt: fra ukjent (HELO 38.118.142.100) (62.105.106.207) av mail1.infinology.com med SMTP; 16. nov. 2003 19:50:37 -0000.
Siden mail1.infinology.com er den siste serveren i kjeden og faktisk "vår" server, vet vi at vi kan stole på den. Den har mottatt meldingen fra en "ukjent" vert som hevder å ha IP-adressen 38.118.132.100 (ved hjelp av SMTP HELO-kommandoen). Så langt er dette i tråd med det forrige Mottatt-linjen sa.
La oss nå se hvor e-postserveren vår fikk meldingen fra. For å finne ut, se på IP-adressen i parentes umiddelbart før av mail1.infinology.com. Dette er IP-adressen tilkoblingen ble opprettet fra, og den er ikke 38.118.132.100. Nei, 62.105.106.207 er hvor denne søppelposten ble sendt fra.
Med denne informasjonen kan du nå identifisere spammerens ISP og rapportere den uønskede e-posten til dem for å sparke spammeren av nettet.