Спам закончится, когда он станет нерентабельным. Спамеры будут видеть, что их прибыль падает, если никто не покупает их (потому что вы даже не видите нежелательные электронные письма). Это самый простой способ борьбы со спамом, и, безусловно, один из лучших.
Жалобы на спам
Но вы также можете повлиять на сторону расходов на баланс спамера. Если вы подаете жалобу интернет-провайдеру спамера (ISP), они потеряют свое соединение и, возможно, должны заплатить штраф (в зависимости от допустимой политики использования интернет-провайдера).
Поскольку спамеры знают и боятся таких сообщений, они пытаются спрятаться. Вот почему найти правильного провайдера не всегда легко. К счастью, есть такие инструменты, как SpamCop, которые облегчают корректную рассылку спама на правильный адрес.
Определение источника спама
Как SpamCop находят правильного интернет-провайдера, чтобы жаловаться? Он внимательно изучает строки заголовков спам-сообщений. Эти заголовки содержат информацию о пути, по которому отправлено электронное письмо.
SpamCop следует по пути до момента, когда было отправлено электронное письмо. С этого момента, также известный как IP-адрес, он может получить интернет-провайдера спамера и отправить отчет в отдел злоупотребления этого провайдера.
Давайте подробнее рассмотрим, как это работает.
Электронная почта: заголовок и тело
Каждое сообщение электронной почты состоит из двух частей, тела и заголовка. Заголовок может рассматриваться как конверт сообщения, содержащий адрес отправителя, получателя, субъекта и другую информацию. Тело содержит фактический текст и вложения.
Некоторая информация заголовка, обычно отображаемая вашей почтовой программой, включает:
- От: - Имя отправителя и адрес электронной почты.
- Для того, чтобы: - Имя получателя и адрес электронной почты.
- Дата: - дата отправки сообщения.
- Предмет: - Строка темы.
Кузнечное дело
Фактическая доставка электронной почты не зависит от любого из этих заголовков, это просто удобство.
Обычно линия From:, например, будет отправлена на адрес отправителя. Это гарантирует, что вы знаете, от кого сообщение, и можете легко ответить.
Спамеры хотят убедиться, что вы не можете легко ответить, и, конечно же, не хотите, чтобы вы знали, кто они. Вот почему они вставляют фиктивные адреса электронной почты в строки From: их нежелательные сообщения.
Получено: Линии
Поэтому строка From: бесполезна, если мы хотим определить реальный источник электронной почты. К счастью, нам не нужно полагаться на это. Заголовки каждого сообщения электронной почты также содержат строки Received:.
Они обычно не отображаются программами электронной почты, но они могут быть очень полезны при отслеживании спама.
Выполнение анализа: строки заголовка
Так же, как почтовое письмо будет проходить через несколько почтовых отделений на пути от отправителя к получателю, электронное сообщение обрабатывается и пересылается несколькими почтовыми серверами.
Представьте, что каждое почтовое отделение помещает специальную печать на каждое письмо. Штамп скажет точно, когда письмо было получено, откуда оно и откуда оно было отправлено почтовым отделением. Если у вас есть письмо, вы можете определить точный путь, полученный буквой.
Это именно то, что происходит с электронной почтой.
Поступило в редакцию: Линии для трассировки
Когда почтовый сервер обрабатывает сообщение, он добавляет в заголовок сообщения специальную строку - строку Received:. Линия Received: содержит, самое интересное,
- имя сервера и IP-адрес устройства, сервер получил сообщение от и
- имя самого почтового сервера.
Строка Received: всегда вставлена в верхнюю часть заголовков сообщений. Если мы хотим восстановить поездку электронной почты от отправителя к получателю, мы также начинаем с самой верхней строки Received: (почему мы это делаем, это станет очевидным через мгновение) и пройдите наш путь вниз, пока мы не достигнем последнего, где есть письмо возникло.
Поступило в редакцию:
Спамеры знают, что мы применим именно эту процедуру, чтобы раскрыть их местонахождение. Чтобы нас обмануть, они могут вставлять поддельные строки Received:, которые указывают на то, что кто-то еще отправляет сообщение.
Поскольку каждый почтовый сервер всегда ставит свою строку Received: вверху, поддельные заголовки спамеров могут быть только в нижней части линии Received: line. Вот почему мы начинаем наш анализ вверху и не просто получаем точку, в которой электронное письмо возникло из первой строки Received: (внизу).
Как передать поддельные полученные: строка заголовка
Поддельные строки Received:, вставленные спамерами, чтобы обмануть нас, будут выглядеть, как и все другие строки Received: (если они не совершают очевидной ошибки, конечно). Само по себе вы не можете определить поддельную линию Received: от подлинной.
Здесь возникает одна отличительная черта линий Received:. Как мы уже отмечали выше, каждый сервер будет не только учитывать, кто он, но и откуда он получил сообщение (в форме IP-адреса).
Мы просто сравниваем, на что сервер утверждает, что сервер на одном уровне в цепочке говорит, что это действительно так. Если эти два не совпадают, более ранняя строка Received: была подделана.
В этом случае источником электронной почты является то, что сервер сразу после подделанной строки Received: должен сказать о том, от кого он получил сообщение.
Вы готовы к примеру?
Пример анализа спама и отслеживания
Теперь, когда мы знаем теоретическое обоснование, давайте проанализируем нежелательную электронную почту, чтобы определить ее происхождение в реальной жизни.
Мы только что получили примерный спам, который мы можем использовать для упражнений.Вот строки заголовка:
Поступило в редакцию: неизвестно (HELO 38.118.132.100) (62.105.106.207)по mail1.infinology.com с SMTP; 16.11.2003 19:50:37 -0000Поступило в редакцию: от 235.16.47.37 по 38.118.132.100 id; Вс, 16 ноя 2003 13:38:22 -0600Message-ID:От: "Рейнальдо Гиллиам"Ответ на: «Рейнальдо Гиллиам»Кому: [email protected]Тема: Категория A Получите лекарства, которые вам нужны lgvkalfnqnh bbkДата: Вс, 16 ноя 2003 13:38:22 GMTX-Mailer: служба электронной почты (5.5.2650.21)MIME-версия: 1.0Content-Type: multipart / alternative;граница = "9B_9 .._ C_2EA.0DD_23"X-приоритет: 3Приоритет X-MSMail: Обычный
Можете ли вы указать IP-адрес, на котором было отправлено письмо?
Отправитель и субъект
Сначала взгляните на подделанную линию From:. Спамер хочет сделать так, чтобы сообщение было отправлено с Yahoo! Почтовая учетная запись. Вместе с линией Reply-To: этот адрес From: направлен на то, чтобы направлять все отскакивающие сообщения и сердитые ответы на несуществующий Yahoo! Почтовая учетная запись.
Далее, Subject: представляет собой любопытную агломерацию случайных символов. Он едва различим и, очевидно, предназначен для обмана фильтров спама (каждое сообщение получает немного другой набор случайных символов), но он также довольно умело создан, чтобы передать сообщение, несмотря на это.
Полученные строки:
Наконец, строки Received:. Начнем с самого старого, Поступило в редакцию: от 235.16.47.37 по 38.118.132.100 id; Вс, 16 ноя 2003 13:38:22 -0600 , В нем нет имен хостов, но два IP-адреса: 38.118.132.100 утверждают, что получили сообщение от 235.16.47.37. Если это правильно, 235.16.47.37 - это то, откуда отправлено электронное письмо, и мы узнаем, к кому принадлежит этот IP-адрес, а затем отправляют ему отчет о злоупотреблениях.
Давайте посмотрим, подтверждает ли следующий (и в этом случае последний) сервер в цепочке первые строки строки: Получено: от неизвестно (HELO 38.118.142.100) (62.105.106.207) по mail1.infinology.com с SMTP; 16.11.2003 19:50:37 -0000 .
Поскольку mail1.infinology.com является последним сервером в цепочке и действительно «нашим» сервером, мы знаем, что можем доверять ему. Он получил сообщение от «неизвестного» хоста, который утверждал, что имеет IP-адрес 38.118.132.100 (используя команду SMTP HELO). До сих пор это соответствовало тому, что говорилось в предыдущей строке Received:.
Теперь посмотрим, откуда наш почтовый сервер получил сообщение. Чтобы узнать, мы сразу же рассмотрим IP-адрес в скобках по mail1.infinology.com , Это IP-адрес, с которого было установлено соединение, и это не 38.118.132.100. Нет, 62.105.106.207, откуда был отправлен этот кусок нежелательной почты.
С помощью этой информации вы можете идентифицировать интернет-провайдера спамера и сообщать им о нежелательной электронной почте, чтобы они могли удалять спамера с сети.
