Спам закончится, когда он перестанет приносить прибыль. Спаммеры увидят, что их прибыль упадет, если никто не купит у них (потому что вы даже не видите нежелательных писем). Это самый простой способ борьбы со спамом и, безусловно, один из лучших.
- Жаловаться на спам
- Определение источника спама
- Электронная почта: заголовок и тело
- Ковка заголовка
- Получено: Линии
- Полученный синтаксический анализ: строки заголовка
- Получено: Линии для трассировки
- Получено: Линия ковки
- Как сообщить поддельное полученное: строка заголовка
- Пример спама проанализирован и отслежен
- Отправитель и Тема
- Получено: Линии
Жаловаться на спам
Но вы также можете повлиять на расходную часть баланса спамера. Если вы пожалуетесь провайдеру интернет-услуг (ISP) спаммера, он потеряет соединение и, возможно, должен будет заплатить штраф (в зависимости от политики допустимого использования ISP).
Поскольку спамеры знают и боятся таких сообщений, они пытаются скрыться. Вот почему найти подходящего интернет-провайдера не всегда легко. К счастью, есть такие инструменты, как SpamCop, которые позволяют легко сообщать о спаме по нужному адресу.
Определение источника спама
Как SpamCop находит подходящего интернет-провайдера для жалоб? Он внимательно рассматривает строки заголовка спам-сообщения. Эти заголовки содержат информацию о пути электронной почты.
SpamCop следует по пути до точки отправления письма. С этого момента, также известный как IP-адрес, он может получить провайдера спамера и отправить отчет в отдел злоупотреблений этого провайдера.
Давайте подробнее рассмотрим, как это работает.
Электронная почта: заголовок и тело
Каждое сообщение электронной почты состоит из двух частей: тела и заголовка. Заголовок может рассматриваться как конверт сообщения, содержащий адрес отправителя, получателя, тему и другую информацию. Тело содержит фактический текст и вложения.
Некоторая информация заголовка, обычно отображаемая вашей почтовой программой, включает:
- От: имя отправителя и адрес электронной почты.
- Кому : имя получателя и адрес электронной почты.
- Дата : дата отправки сообщения.
- Тема . Строка темы.
Ковка заголовка
Фактическая доставка писем не зависит от этих заголовков, они просто удобны.
Обычно, например, строка From: отправляется на адрес отправителя. Это гарантирует, что вы знаете, от кого это сообщение, и можете легко ответить.
Спамеры хотят убедиться, что вы не можете легко ответить, и, конечно, не хотите, чтобы вы знали, кто они. Вот почему они вставляют фиктивные адреса электронной почты в строки From: своих нежелательных сообщений.
Получено: Линии
Поэтому строка From: бесполезна, если мы хотим определить реальный источник электронного письма. К счастью, нам не нужно на это полагаться. Заголовки каждого сообщения электронной почты также содержат строки Received :.
Обычно они не отображаются почтовыми программами, но могут быть очень полезны для отслеживания спама.
Полученный синтаксический анализ: строки заголовка
Так же, как почтовое письмо будет проходить через несколько почтовых отделений на пути от отправителя к получателю, почтовое сообщение обрабатывается и пересылается несколькими почтовыми серверами.
Представьте, что каждое почтовое отделение ставит специальный штамп на каждое письмо. На марке будет указано, когда именно было получено письмо, откуда оно пришло и куда оно было отправлено почтовым отделением. Если вы получили письмо, вы можете определить точный путь, по которому идет письмо.
Это именно то, что происходит с электронной почтой.
Получено: Линии для трассировки
Когда почтовый сервер обрабатывает сообщение, он добавляет специальную строку, строку Received: к заголовку сообщения. Строка Received: содержит, что наиболее интересно, имя сервера и IP-адрес компьютера, на который сервер получил сообщение от имени самого почтового сервера.
Строка Received: всегда вставляется вверху заголовков сообщений. Если мы хотим восстановить путь отправления электронной почты от отправителя к получателю, мы также начинаем с самой верхней строки Received: (почему мы это делаем, станет ясно через мгновение) и идем вниз до тех пор, пока не достигнем последнего, где письмо отправлено.
Получено: Линия ковки
Спамеры знают, что мы будем применять именно эту процедуру, чтобы раскрыть их местонахождение. Чтобы обмануть нас, они могут вставить поддельные строки Received:, указывающие на кого-то другого, отправляющего сообщение.
Поскольку каждый почтовый сервер всегда помещает свою строку Received: вверху, поддельные заголовки спаммеров могут находиться только внизу цепочки строк Received :. Вот почему мы начинаем наш анализ сверху, а не просто выводим точку, из которой получено электронное письмо из первой строки Received: (внизу).
Как сообщить поддельное полученное: строка заголовка
Поддельные строки Received:, вставленные спамерами, чтобы обмануть нас, будут выглядеть как все остальные строки Received: (если, конечно, они не совершают очевидную ошибку). Само собой, вы не можете отличить поддельную строку Received: от подлинной.
Вот где в игру вступает одна особенность линии Received:Как мы отмечали выше, каждый сервер будет не только отмечать, кто он, но и откуда он получил сообщение (в форме IP-адреса).
Мы просто сравниваем, кем является сервер, с тем, что сервер на одну ступеньку в цепочке говорит, что это действительно так. Если эти два значения не совпадают, ранее полученная строка Received была подделана.
В этом случае источником электронной почты является то, что сервер сразу после фальсифицированной строки Received: должен сказать, от кого он получил сообщение.
Вы готовы к примеру?
Пример спама проанализирован и отслежен
Теперь, когда мы знаем теоретическое обоснование, давайте проанализируем нежелательное письмо, чтобы определить его происхождение в реальной жизни.
Мы только что получили образец спама, который мы можем использовать для тренировок. Вот строки заголовка:
Получено: от неизвестного (HELO 38.118.132.100) (62.105.106.207)
по mail1.infinology.com с SMTP; 16 ноября 2003 г. 19:50:37 -0000
Получено: от [235.16.47.37] по номеру 38.118.132.100; Воскресенье, 16 ноября 2003 13:38:22 -0600
Идентификатор сообщения:
От: «Рейнальдо Гиллиам»
Ответ: «Рейнальдо Гиллиам»
Кому: ladedu @ ladedu.com
Тема: Категория A Получите лекарства, которые вам нужны lgvkalfnqnh bbk
Дата: Sun, 16 ноября 2003 13:38:22 GMT
X-Mailer: Служба Интернет-почты (5.5.2650.21 )
MIME-версия: 1.0
Тип содержимого: многочастный/альтернативный;
border = “9B_9 .._ C_2EA.0DD_23”
X-приоритет: 3
X -MSMail-Priority: Normal
Можете ли вы сказать IP-адрес, откуда пришло письмо?
Отправитель и Тема
Во-первых, взгляните на – подделанная – From: линия. Спамер хочет, чтобы это выглядело так, как будто сообщение было отправлено с Yahoo! Почтовый аккаунт. Вместе со строкой Reply-To: этот адрес From: предназначен для направления всех прыгающих сообщений и гневных ответов на несуществующий Yahoo! Почтовый аккаунт.
Далее тема: любопытная агломерация случайных символов. Оно едва читаемо и явно предназначено для обмана спам-фильтров (каждое сообщение получает несколько иной набор случайных символов), но, несмотря на это, оно также очень умело разработано, чтобы донести сообщение.
Получено: Линии
Наконец, получены: строки. Давайте начнем с самого старого сообщения Received: from [235.16.47.37] с идентификатором 38.118.132.100; Воскресенье, 16 ноября 2003 13:38:22 -0600 . В нем нет имен хостов, но два IP-адреса: 38.118.132.100 утверждает, что получил сообщение от 235.16.47.37. Если это верно, 235.16.47.37 – это то место, откуда пришло электронное письмо, и мы выясним, к какому интернет-провайдеру принадлежит этот IP-адрес, а затем отправим им сообщение о нарушении.
Давайте посмотрим, подтвердит ли следующий (и в данном случае последний) сервер в цепочке первые утверждения строки Received:: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) mail1.infinology.com с SMTP ; 16 ноября 2003 г. 19:50:37 -0000 .
Так как mail1.infinology.com является последним сервером в цепочке и, действительно, «нашим» сервером, мы знаем, что можем ему доверять. Он получил сообщение от «неизвестного» хоста, который утверждал, что имеет IP-адрес 38.118.132.100 (с помощью команды SMTP HELO). Пока что это соответствует тому, что говорилось в предыдущей строке Received :.
Теперь давайте посмотрим, откуда наш почтовый сервер получил сообщение. Чтобы выяснить это, мы посмотрим на IP-адрес в скобках непосредственно перед mail1.infinology.com . Это IP-адрес, с которого было установлено соединение, и это не 38.118.132.100. Нет, 62.105.106.207 – это то место, откуда была отправлена эта нежелательная почта.
С помощью этой информации вы теперь можете идентифицировать провайдера-спамера и сообщить ему незапрошенную электронную почту, чтобы он мог выгнать спамера из сети.