Какие заголовки писем могут рассказать вам о происхождении спама

Спам закончится, когда он перестанет приносить прибыль. Спаммеры увидят, что их прибыль упадет, если никто не купит у них (потому что вы даже не видите нежелательных писем). Это самый простой способ борьбы со спамом и, безусловно, один из лучших.

Жаловаться на спам

Но вы также можете повлиять на расходную часть баланса спамера. Если вы пожалуетесь провайдеру интернет-услуг (ISP) спаммера, он потеряет соединение и, возможно, должен будет заплатить штраф (в зависимости от политики допустимого использования ISP).

Поскольку спамеры знают и боятся таких сообщений, они пытаются скрыться. Вот почему найти подходящего интернет-провайдера не всегда легко. К счастью, есть такие инструменты, как SpamCop, которые позволяют легко сообщать о спаме по нужному адресу.

Определение источника спама

Как SpamCop находит подходящего интернет-провайдера для жалоб? Он внимательно рассматривает строки заголовка спам-сообщения. Эти заголовки содержат информацию о пути электронной почты.

SpamCop следует по пути до точки отправления письма. С этого момента, также известный как IP-адрес, он может получить провайдера спамера и отправить отчет в отдел злоупотреблений этого провайдера.

Давайте подробнее рассмотрим, как это работает.

Электронная почта: заголовок и тело

Каждое сообщение электронной почты состоит из двух частей: тела и заголовка. Заголовок может рассматриваться как конверт сообщения, содержащий адрес отправителя, получателя, тему и другую информацию. Тело содержит фактический текст и вложения.

Некоторая информация заголовка, обычно отображаемая вашей почтовой программой, включает:

  • От: имя отправителя и адрес электронной почты.
  • Кому : имя получателя и адрес электронной почты.
  • Дата : дата отправки сообщения.
  • Тема . Строка темы.

Ковка заголовка

Фактическая доставка писем не зависит от этих заголовков, они просто удобны.

Обычно, например, строка From: отправляется на адрес отправителя. Это гарантирует, что вы знаете, от кого это сообщение, и можете легко ответить.

Спамеры хотят убедиться, что вы не можете легко ответить, и, конечно, не хотите, чтобы вы знали, кто они. Вот почему они вставляют фиктивные адреса электронной почты в строки From: своих нежелательных сообщений.

Получено: Линии

Поэтому строка From: бесполезна, если мы хотим определить реальный источник электронного письма. К счастью, нам не нужно на это полагаться. Заголовки каждого сообщения электронной почты также содержат строки Received :.

Обычно они не отображаются почтовыми программами, но могут быть очень полезны для отслеживания спама.

Полученный синтаксический анализ: строки заголовка

Так же, как почтовое письмо будет проходить через несколько почтовых отделений на пути от отправителя к получателю, почтовое сообщение обрабатывается и пересылается несколькими почтовыми серверами.

Представьте, что каждое почтовое отделение ставит специальный штамп на каждое письмо. На марке будет указано, когда именно было получено письмо, откуда оно пришло и куда оно было отправлено почтовым отделением. Если вы получили письмо, вы можете определить точный путь, по которому идет письмо.

Это именно то, что происходит с электронной почтой.

Получено: Линии для трассировки

Когда почтовый сервер обрабатывает сообщение, он добавляет специальную строку, строку Received: к заголовку сообщения. Строка Received: содержит, что наиболее интересно, имя сервера и IP-адрес компьютера, на который сервер получил сообщение от имени самого почтового сервера.

Строка Received: всегда вставляется вверху заголовков сообщений. Если мы хотим восстановить путь отправления электронной почты от отправителя к получателю, мы также начинаем с самой верхней строки Received: (почему мы это делаем, станет ясно через мгновение) и идем вниз до тех пор, пока не достигнем последнего, где письмо отправлено.

Получено: Линия ковки

Спамеры знают, что мы будем применять именно эту процедуру, чтобы раскрыть их местонахождение. Чтобы обмануть нас, они могут вставить поддельные строки Received:, указывающие на кого-то другого, отправляющего сообщение.

Поскольку каждый почтовый сервер всегда помещает свою строку Received: вверху, поддельные заголовки спаммеров могут находиться только внизу цепочки строк Received :. Вот почему мы начинаем наш анализ сверху, а не просто выводим точку, из которой получено электронное письмо из первой строки Received: (внизу).

Как сообщить поддельное полученное: строка заголовка

Поддельные строки Received:, вставленные спамерами, чтобы обмануть нас, будут выглядеть как все остальные строки Received: (если, конечно, они не совершают очевидную ошибку). Само собой, вы не можете отличить поддельную строку Received: от подлинной.

Вот где в игру вступает одна особенность линии Received:Как мы отмечали выше, каждый сервер будет не только отмечать, кто он, но и откуда он получил сообщение (в форме IP-адреса).

Мы просто сравниваем, кем является сервер, с тем, что сервер на одну ступеньку в цепочке говорит, что это действительно так. Если эти два значения не совпадают, ранее полученная строка Received была подделана.

В этом случае источником электронной почты является то, что сервер сразу после фальсифицированной строки Received: должен сказать, от кого он получил сообщение.

Вы готовы к примеру?

Пример спама проанализирован и отслежен

Теперь, когда мы знаем теоретическое обоснование, давайте проанализируем нежелательное письмо, чтобы определить его происхождение в реальной жизни.

Мы только что получили образец спама, который мы можем использовать для тренировок. Вот строки заголовка:

Получено: от неизвестного (HELO 38.118.132.100) (62.105.106.207)
по mail1.infinology.com с SMTP; 16 ноября 2003 г. 19:50:37 -0000
Получено: от [235.16.47.37] по номеру 38.118.132.100; Воскресенье, 16 ноября 2003 13:38:22 -0600
Идентификатор сообщения:
От: «Рейнальдо Гиллиам»
Ответ: «Рейнальдо Гиллиам»
Кому: ladedu @ ladedu.com
Тема: Категория A Получите лекарства, которые вам нужны lgvkalfnqnh bbk
Дата: Sun, 16 ноября 2003 13:38:22 GMT
X-Mailer: Служба Интернет-почты (5.5.2650.21 )
MIME-версия: 1.0
Тип содержимого: многочастный/альтернативный;
border = “9B_9 .._ C_2EA.0DD_23”
X-приоритет: 3
X -MSMail-Priority: Normal

Можете ли вы сказать IP-адрес, откуда пришло письмо?

Отправитель и Тема

Во-первых, взгляните на – подделанная – From: линия. Спамер хочет, чтобы это выглядело так, как будто сообщение было отправлено с Yahoo! Почтовый аккаунт. Вместе со строкой Reply-To: этот адрес From: предназначен для направления всех прыгающих сообщений и гневных ответов на несуществующий Yahoo! Почтовый аккаунт.

Далее тема: любопытная агломерация случайных символов. Оно едва читаемо и явно предназначено для обмана спам-фильтров (каждое сообщение получает несколько иной набор случайных символов), но, несмотря на это, оно также очень умело разработано, чтобы донести сообщение.

Получено: Линии

Наконец, получены: строки. Давайте начнем с самого старого сообщения Received: from [235.16.47.37] с идентификатором 38.118.132.100; Воскресенье, 16 ноября 2003 13:38:22 -0600 . В нем нет имен хостов, но два IP-адреса: 38.118.132.100 утверждает, что получил сообщение от 235.16.47.37. Если это верно, 235.16.47.37 – это то место, откуда пришло электронное письмо, и мы выясним, к какому интернет-провайдеру принадлежит этот IP-адрес, а затем отправим им сообщение о нарушении.

Давайте посмотрим, подтвердит ли следующий (и в данном случае последний) сервер в цепочке первые утверждения строки Received:: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) mail1.infinology.com с SMTP ; 16 ноября 2003 г. 19:50:37 -0000 .

Так как mail1.infinology.com является последним сервером в цепочке и, действительно, «нашим» сервером, мы знаем, что можем ему доверять. Он получил сообщение от «неизвестного» хоста, который утверждал, что имеет IP-адрес 38.118.132.100 (с помощью команды SMTP HELO). Пока что это соответствует тому, что говорилось в предыдущей строке Received :.

Теперь давайте посмотрим, откуда наш почтовый сервер получил сообщение. Чтобы выяснить это, мы посмотрим на IP-адрес в скобках непосредственно перед mail1.infinology.com . Это IP-адрес, с которого было установлено соединение, и это не 38.118.132.100. Нет, 62.105.106.207 – это то место, откуда была отправлена ​​эта нежелательная почта.

С помощью этой информации вы теперь можете идентифицировать провайдера-спамера и сообщить ему незапрошенную электронную почту, чтобы он мог выгнать спамера из сети.

Оцените статью
Solutics.ru
Добавить комментарий