Το spam θα τελειώσει όταν δεν είναι πλέον κερδοφόρο. Οι spammers θα δουν τα κέρδη τους να πέφτουν, αν κανείς δεν αγοράζει από αυτά (γιατί δεν βλέπετε καν τα μηνύματα ανεπιθύμητης αλληλογραφίας). Αυτός είναι ο ευκολότερος τρόπος για την καταπολέμηση των ανεπιθύμητων μηνυμάτων, και σίγουρα ένα από τα καλύτερα.
Καταγγέλλοντας το Spam
Αλλά μπορείτε επίσης να επηρεάσετε την πλευρά των εξόδων του ισοζυγίου του αποστολέα, επίσης. Εάν παραπονεθείτε στον παροχέα υπηρεσιών Internet (ISP) του spammer, θα χάσουν τη σύνδεσή τους και ίσως χρειαστεί να πληρώσουν πρόστιμο (ανάλογα με την αποδεκτή πολιτική χρήσης του ISP).
Δεδομένου ότι οι spammers γνωρίζουν και φοβούνται αυτές τις αναφορές, προσπαθούν να κρυφτούν. Αυτός είναι ο λόγος για τον οποίο η εύρεση του σωστού ISP δεν είναι πάντα εύκολη. Ευτυχώς, υπάρχουν εργαλεία όπως το SpamCop που κάνουν την αναφορά ανεπιθύμητων μηνυμάτων σωστά στη σωστή διεύθυνση εύκολη.
Προσδιορισμός της πηγής ανεπιθύμητης αλληλογραφίας
Πώς μπορεί να εντοπίσει ο SpamCop το σωστό ISP; Λαμβάνει μια προσεκτική ματιά στις γραμμές κεφαλίδας του μηνύματος spam . Αυτές οι κεφαλίδες περιέχουν πληροφορίες σχετικά με τη διαδρομή που έχει λάβει ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Το SpamCop ακολουθεί τη διαδρομή μέχρι το σημείο αποστολής του μηνύματος ηλεκτρονικού ταχυδρομείου. Από αυτό το σημείο, επίσης γνωστό ως διεύθυνση IP , μπορεί να αντλήσει τον ISP του spammer και να στείλει την αναφορά σε αυτό το τμήμα κατάχρησης του ISP.
Ας ρίξουμε μια πιο προσεκτική ματιά στο πώς λειτουργεί αυτό.
Email: Κεφαλίδα και σώμα
Κάθε μήνυμα ηλεκτρονικού ταχυδρομείου αποτελείται από δύο μέρη, το σώμα και την κεφαλίδα. Η κεφαλίδα μπορεί να θεωρηθεί ως ο φάκελος του μηνύματος, που περιέχει τη διεύθυνση του αποστολέα, του παραλήπτη, του θέματος και άλλων πληροφοριών. Το σώμα περιέχει το κείμενο και τα συνημμένα.
Ορισμένες πληροφορίες κεφαλίδας που συνήθως εμφανίζονται από το πρόγραμμα ηλεκτρονικού ταχυδρομείου σας περιλαμβάνουν:
- Από: - Το όνομα και η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα.
- Προς: - Το όνομα και τη διεύθυνση ηλεκτρονικού ταχυδρομείου του παραλήπτη.
- Ημερομηνία: - Η ημερομηνία αποστολής του μηνύματος.
- Θέμα: - Η γραμμή θέματος .
Κεφαλίδα Σφυρηλάτηση
Η πραγματική παράδοση μηνυμάτων ηλεκτρονικού ταχυδρομείου δεν εξαρτάται από καμία από αυτές τις κεφαλίδες, είναι απλώς ευκολία.
Συνήθως, η γραμμή Από: για παράδειγμα, θα οριστεί στη διεύθυνση του αποστολέα. Αυτό εξασφαλίζει ότι γνωρίζετε από ποιον είναι το μήνυμα και πορείτε να απαντήσετε εύκολα.
Οι spammers θέλουν να σιγουρευτούν ότι δεν μπορείτε να απαντήσετε εύκολα και σίγουρα δεν θέλετε να ξέρετε ποιοι είναι. Αυτός είναι ο λόγος για τον οποίο εισάγουν πλασματικές διευθύνσεις ηλεκτρονικού ταχυδρομείου στις γραμμές Από: τα μηνύματα ανεπιθύμητης αλληλογραφίας τους.
Λήψη: Γραμμές
Επομένως, η γραμμή Από: είναι άχρηστη αν θέλουμε να προσδιορίσουμε την πραγματική πηγή ενός μηνύματος ηλεκτρονικού ταχυδρομείου. Ευτυχώς, δεν πρέπει να το επικαλεστούμε. Οι κεφαλίδες κάθε μηνύματος ηλεκτρονικού ταχυδρομείου περιέχουν επίσης τις παραληφθείσες γραμμές.
Αυτά συνήθως δεν εμφανίζονται με προγράμματα ηλεκτρονικού ταχυδρομείου, αλλά μπορούν να σας βοηθήσουν πολύ στην ανίχνευση ανεπιθύμητων μηνυμάτων.
Ανάλυση ανάλυσης: Γραμμές κεφαλίδας
Ακριβώς όπως μια ταχυδρομική επιστολή θα περάσει από πολλά ταχυδρομεία στο δρόμο της από τον αποστολέα στον παραλήπτη, ένα μήνυμα ηλεκτρονικού ταχυδρομείου επεξεργάζεται και διαβιβάζεται από πολλούς διακομιστές αλληλογραφίας.
Φανταστείτε κάθε ταχυδρομείο που βάζει μια ειδική σφραγίδα σε κάθε γράμμα. Η σφραγίδα θα έλεγε ακριβώς πότε έγινε η παραλαβή της επιστολής, από πού ήλθε και από πού διαβιβάστηκε από το ταχυδρομείο. Εάν πήρατε το γράμμα, θα μπορούσατε να προσδιορίσετε την ακριβή πορεία που ακολουθεί το γράμμα.
Αυτό ακριβώς συμβαίνει με το ηλεκτρονικό ταχυδρομείο.
Λήψη: Γραμμές για την ανίχνευση
Δεδομένου ότι ο διακομιστής αλληλογραφίας επεξεργάζεται ένα μήνυμα, προσθέτει μια ειδική γραμμή, τη γραμμή Received: στην κεφαλίδα του μηνύματος. Η γραμμή Received: περιέχει, το πιο ενδιαφέρον,
- το όνομα του διακομιστή και τη διεύθυνση IP του μηχανήματος, ο διακομιστής έλαβε το μήνυμα από και
- το όνομα του ίδιου του διακομιστή αλληλογραφίας .
Η γραμμή Λήψη: εισάγεται πάντα στην κορυφή των κεφαλίδων μηνυμάτων. Αν θέλουμε να ανοικοδομήσουμε το ταξίδι ενός ηλεκτρονικού ταχυδρομείου από τον αποστολέα στον παραλήπτη, ξεκινάμε και από την κορυφαία γραμμή Received: line (γιατί το κάνουμε αυτό θα γίνει φανερό σε μια στιγμή) και περπατάμε προς τα κάτω μέχρι να φτάσουμε στο τελευταίο, το μήνυμα προέλευσης.
Λήψη: Σφυρηλάτηση γραμμής
Οι spammers γνωρίζουν ότι θα εφαρμόσουμε ακριβώς αυτή τη διαδικασία για να αποκαλύψουμε τον τόπο τους. Για να μας ξεγελάσουν, μπορούν να εισάγουν σφυρηλατημένα Ληφθείσες: γραμμές που δείχνουν σε κάποιον άλλο που στέλνει το μήνυμα.
Δεδομένου ότι κάθε διακομιστής αλληλογραφίας θα τοποθετεί πάντα τη γραμμή Received: στην κορυφή, οι σφυρηλατημένες κεφαλίδες των spammers μπορούν να βρίσκονται στο κάτω μέρος της αλυσίδας Received: line. Αυτός είναι ο λόγος για τον οποίο ξεκινάμε την ανάλυσή μας στην κορυφή και δεν προκύπτει απλώς το σημείο από το οποίο προέρχεται ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την πρώτη γραμμή Received: (στο κάτω μέρος).
Πώς να πείτε ένα σφυρηλατημένο έλαβε: Γραμμή κεφαλίδας
Οι σφυρηλατημένες παραληφθείσες γραμμές: οι γραμμές που εισήγαγαν οι spammers για να μας ξεγελάσουν θα μοιάζουν με όλες τις άλλες παραληφθείσες γραμμές (εκτός εάν κάνουν προφανές λάθος, βέβαια). Από μόνο του, δεν μπορείτε να πείτε μια πλαστή Received: γραμμή από μια γνήσια.
Αυτό είναι όπου ένα ξεχωριστό χαρακτηριστικό του Received: lines μπαίνει στο παιχνίδι. Όπως σημειώσαμε παραπάνω, κάθε server δεν θα σημάνει μόνο ποιος είναι, αλλά και από πού πήρε το μήνυμα από (σε μορφή διεύθυνσης IP).
Συγκρίνουμε απλώς ποιος ένας διακομιστής ισχυρίζεται ότι είναι με αυτό που ο διακομιστής ένας εγκοπή στην αλυσίδα λέει ότι είναι πραγματικά. Εάν τα δύο δεν ταιριάζουν, η γραμμή της προηγούμενης παραληφθείσας γραμμής έχει παραποιηθεί.
Σε αυτή την περίπτωση, η προέλευση του μηνύματος ηλεκτρονικού ταχυδρομείου είναι αυτό που ο διακομιστής αμέσως μετά τη σφυρηλατημένη γραμμή Received: line έχει να πει για ποιον έλαβε το μήνυμα.
Είστε έτοιμοι για ένα παράδειγμα;
Παράδειγμα ανεπιθύμητου λογισμικού που έχει αναλυθεί και εντοπιστεί
Τώρα που γνωρίζουμε τη θεωρητική υποστήριξη, ας δούμε πώς η ανάλυση ενός μηνύματος ανεπιθύμητης αλληλογραφίας για τον προσδιορισμό της προέλευσής της λειτουργεί στην πραγματική ζωή.
Μόλις λάβαμε ένα υποδειγματικό κομμάτι spam που μπορούμε να χρησιμοποιήσουμε για άσκηση. Ακολουθούν οι γραμμές κεφαλίδας:
Λήψη: από άγνωστο (HELO 38.118.132.100) (62.105.106.207)
από mail1.infinology.com με SMTP; 16 Νοε 2003 19:50:37 -0000
Λήψη: από [235.16.47.37] κατά 38.118.132.100 id; Κυρ, 16 Νοεμβρίου 2003 13:38:22 -0600
Αναγνωριστικό μηνύματος:
Από: "Reinaldo Gilliam"
Απάντηση σε: "Reinaldo Gilliam"
Προς: ladedu@ladedu.com
Θέμα: Κατηγορία A Πάρτε το φάρμακο που χρειάζεστε για να πάρετε το lbvkalfnqnh bbk
Ημερομηνία: Κυρ, 16 Νοε 2003 13:38:22 GMT
X-Mailer: Υπηρεσία αλληλογραφίας Internet (5.5.2650.21)
MIME-Έκδοση: 1.0
Τύπος περιεχομένου: πολλαπλό / εναλλακτικό.
όριο = "9Β_9 .._ C_2EA.0DD_23"
Προτεραιότητα X: 3
X-MSMail-Προτεραιότητα: Κανονική
Μπορείτε να πείτε τη διεύθυνση IP από την οποία προέκυψε το μήνυμα ηλεκτρονικού ταχυδρομείου;
Αποστολέας και Θέμα
Πρώτον, ρίξτε μια ματιά στο - σφυρηλατημένο - Από: γραμμή. Ο spammer θέλει να φανεί σαν να στάλθηκε το μήνυμα από ένα Yahoo! Λογαριασμός αλληλογραφίας. Μαζί με τη γραμμή Απάντηση σε:, αυτή η διεύθυνση Από: διεύθυνση έχει ως στόχο να κατευθύνει όλα τα μηνύματα αναπήδησης και τις θυμωμένες απαντήσεις σε ένα μη υπάρχον Yahoo! Λογαριασμός αλληλογραφίας.
Στη συνέχεια, το Θέμα: είναι μια περίεργη συστοιχία τυχαίων χαρακτήρων. Είναι ελάχιστα ευανάγνωστο και προφανώς σχεδιασμένο για να ξεγελάσει τα φίλτρα ανεπιθύμητης αλληλογραφίας (όλα τα μηνύματα παίρνουν ένα ελαφρώς διαφορετικό σύνολο τυχαίων χαρακτήρων), αλλά είναι επίσης αρκετά επιδέξια κατασκευασμένο για να πάρει το μήνυμα σε όλη αυτή την κατάσταση.
Οι παραληφθέντες: Γραμμές
Τέλος, οι γραμμές Received:. Ας ξεκινήσουμε με το παλαιότερο, Ληφθείσα: από [235.16.47.37] από 38.118.132.100 id; Κυρ, 16 Νοεμβρίου 2003 13:38:22 -0600 . Δεν υπάρχουν ονόματα κεντρικού υπολογιστή σε αυτό, αλλά δύο διευθύνσεις IP: 38.118.132.100 ισχυρίζεται ότι έλαβε το μήνυμα από 235.16.47.37. Εάν αυτό είναι σωστό, το 235.16.47.37 είναι το σημείο προέλευσης του ηλεκτρονικού ταχυδρομείου και θα μάθουμε σε ποιον ISP ανήκει αυτή η διεύθυνση IP και στη συνέχεια στείλτε μια αναφορά κατάχρησης σε αυτούς.
Ας δούμε αν ο επόμενος (και στην τελευταία περίπτωση) διακομιστής στην αλυσίδα επιβεβαιώνει τους ισχυρισμούς του πρώτου Received: line: Λήψη: από άγνωστο (HELO 38.118.142.100) (62.105.106.207) από mail1.infinology.com με SMTP. 16 Νοε 2003 19:50:37 -0000 .
Δεδομένου ότι το mail1.infinology.com είναι ο τελευταίος διακομιστής στην αλυσίδα και μάλιστα "ο" μας εξυπηρετητής γνωρίζουμε ότι μπορούμε να το εμπιστευθούμε. Έλαβε το μήνυμα από έναν "άγνωστο" κεντρικό υπολογιστή που ισχυρίστηκε ότι διέθετε τη διεύθυνση IP 38.118.132.100 (χρησιμοποιώντας την εντολή SMTP HELO ). Μέχρι στιγμής, αυτό συμβαδίζει με το τι έλαβε η προηγούμενη Received: line.
Τώρα ας δούμε από πού έλαβε το μήνυμα από το διακομιστή αλληλογραφίας μας. Για να μάθετε, ρίχνουμε μια ματιά στη διεύθυνση IP σε παρένθεση αμέσως πριν από το mail1.infinology.com . Αυτή είναι η διεύθυνση IP από την οποία δημιουργήθηκε η σύνδεση και δεν είναι 38.118.132.100. Όχι, 62.105.106.207 είναι όπου αποστέλλεται αυτό το κομμάτι ανεπιθύμητης αλληλογραφίας.
Με αυτές τις πληροφορίες, μπορείτε τώρα να εντοπίσετε τον ISP του spammer και να αναφέρετε το ανεπιθύμητο μήνυμα ηλεκτρονικού ταχυδρομείου σ 'αυτούς ώστε να μπορούν να κλωτσήσουν τον spammer από το δίκτυο.