Spam slutar när det inte längre är lönsamt. Spammare ser deras vinster tumla om ingen köper från dem (för att du inte ens ser skräpposten). Det här är det enklaste sättet att bekämpa skräppost och säkert en av de bästa.
Klagomål om spam
Men du kan också påverka utgifterna för en spammares balansräkning. Om du klagar till spammarens Internetleverantör (ISP), kommer de att förlora sin anslutning och kanske måste betala böter (beroende på ISP: s acceptabla användningspolicy).
Eftersom spammare känner till och fruktar sådana rapporter försöker de gömma sig. Därför är det inte alltid lätt att hitta rätt Internetleverantör. Lyckligtvis finns det verktyg som SpamCop som gör rapportering av skräppost korrekt till rätt adress lätt.
Fastställa källan till spam
Hur hittar SpamCop rätt Internetleverantör att klaga på? Det tar en närmare titt på rubrikens rubrikrubriker. Dessa rubriker innehåller information om vilken sökväg ett e-postmeddelande tog.
SpamCop följer sökvägen till den punkt där e-postmeddelandet skickades från. Från denna punkt, även som IP-adress, kan det härleda spammarens Internetleverantör och skicka rapporten till den här Internetleverantörens missbruksavdelning.
Låt oss ta en närmare titt på hur det här fungerar.
Email: Header and Body
Varje e-postmeddelande består av två delar, kroppen och rubriken. Sidhuvudet kan betraktas som meddelandets kuvert, innehållande avsändarens, mottagarens, ämnets och övriga uppgifter. Kroppen innehåller den faktiska texten och bilagorna.
Vissa headerinformation som vanligtvis visas av ditt e-postprogram innehåller:
- Från: - Avsändarens namn och e-postadress.
- Till: - Mottagarens namn och e-postadress.
- Datum: - Datum då meddelandet skickades.
- Ämne: - Ämneslinjen.
Header Smide
Den faktiska leveransen av e-postmeddelanden beror inte på någon av dessa rubriker, de är bara bekvämlighet.
Vanligtvis kommer Fra: -linjen att skickas till avsändarens adress. Detta gör att du vet vem meddelandet är från och kan svara enkelt.
Spammare vill se till att du inte kan svara enkelt och säkert inte att du ska veta vem de är. Därför lägger de in fictiva e-postadresser i Från: raderna i sina skräppostmeddelanden.
Mottagen: Linjer
Så Från: -linjen är värdelös om vi vill bestämma den verkliga källan till ett mail. Lyckligtvis behöver vi inte förlita oss på det. Rubrikarna i varje e-postmeddelande innehåller också mottagna: rader.
Dessa visas vanligtvis inte via e-postprogram, men de kan vara till stor hjälp vid spårning av skräppost.
Parsing Received: Header Lines
Precis som ett brev skickas ett antal postkontor på väg från avsändare till mottagare, ett e-postmeddelande behandlas och vidarebefordras av flera mailservrar.
Tänk dig att varje postkontor sätter en särskild frimärke på varje brev. Stämpeln skulle säga exakt när brevet mottogs, var det kom ifrån och var det vidarebefordrades till postkontoret. Om du fick brevet kunde du bestämma exakt den väg som brevet tog.
Det här är exakt vad som händer med e-post.
Mottagna: Linjer för spårning
Eftersom en e-postserver behandlar ett meddelande lägger det till en särskild rad, mottagen: raden till meddelandets rubrik. Mottagen: rad innehåller, mest intressant,
- serverens namn och IP-adress på servern mottog meddelandet från och
- namnet på e-postservern själv.
Mottagen: Linjen är alltid infogad längst upp i meddelandehuvudena. Om vi vill rekonstruera en e-postresa från avsändare till mottagare börjar vi också på den högsta Mottagna: raden (varför vi gör det kommer att bli tydliga på ett ögonblick) och gå ner till vi har kommit fram till den sista, vilket är där e-posten härstammar från
Mottagen: Linje Smide
Spammare vet att vi kommer att tillämpa exakt denna procedur för att avgöra var de befinner sig. För att lura oss kan de infoga smidda Mottagna: Linjer som pekar på att någon annan skickar meddelandet.
Eftersom varje e-postserver alltid sätter sin mottagna: rad överst, kan spammarnas smidiga rubriker endast ligga längst ner i linjen Received:. Därför startar vi vår analys högst upp och tar inte bara upp den punkt där ett e-postmeddelande härstammar från den första mottagna: raden (längst ner).
Hur man berättar en smidad mottagen: Header Line
Den smidda Mottagna: Linjerna som spammare sätter in för att lura oss kommer att se ut som alla andra mottagna: linjer (såvida de inte gör ett uppenbart misstag, förstås). I sig kan du inte berätta en smidd Mottagen: rad från en äkta.
Här kommer en särskild egenskap av Received: linjer till spel. Som vi har noterat ovan kommer varje server inte bara att notera vem det är men också där det fick meddelandet från (i IP-adressform).
Vi jämför helt enkelt vem en server hävdar att vara med vilken servern en hak i kedjan säger att det verkligen är. Om de två inte matchar, har den tidigare Received: -linjen förfalskats.
I detta fall är ursprunget för e-posten vad servern direkt efter den smidda Mottagna: raden har att säga om vem den fick meddelandet från.
Är du redo för ett exempel?
Exempel Spam Analyserat och spårat
Nu när vi känner till den teoretiska grunden, låt oss analysera en skräppost för att identifiera dess ursprung fungerar i verkligheten.
Vi har just fått ett exemplariskt stycke spam som vi kan använda för motion.Här är rubriklinjerna:
Mottagen: från okänd (HELO 38.118.132.100) (62.105.106.207)via mail1.infinology.com med SMTP; 16 nov 2003 19:50:37 -0000Mottagen: från 235.16.47.37 med 38.118.132.100 id; Sön, 16 nov 2003 13:38:22 -0600Meddelande-ID:Från: "Reinaldo Gilliam"Svara-till: "Reinaldo Gilliam"Till: [email protected]Ämne: Kategori A Få de meds du behöver lgvkalfnqnh bbkDatum: sön, 16 nov 2003 13:38:22 GMTX-Mailer: Internet Mail Service (5.5.2650.21)MIME-version: 1.0Innehållstyp: multipart / alternativ;gräns = "9B_9 .._ C_2EA.0DD_23"X-prioritet: 3X-MSMail-Prioritet: Normal
Kan du tala om den IP-adress där e-posten härstammar?
Avsändare och ämne
Titta först på - smidda - Från: rad. Spammaren vill få det att se ut som om meddelandet skickades från en Yahoo! E-postkonto. Tillsammans med Svara-till: -linjen riktar sig denna Från: adress till att styra alla studsande meddelanden och arga svar på en icke-befintlig Yahoo! E-postkonto.
Därefter är ämnet: en nyfiken agglomerering av slumpmässiga tecken. Det är knappt läsbart och uppenbarligen utformat för att lura spamfilter (varje meddelande får en lite annorlunda uppsättning slumpmässiga tecken), men det är också ganska skickligt utformat för att få meddelandet tvärtom trots detta.
Mottagna: Linjer
Slutligen mottagna: linjerna. Låt oss börja med den äldsta, Mottagen: från 235.16.47.37 med 38.118.132.100 id; Sön, 16 nov 2003 13:38:22 -0600 . Det finns inga värdnamn i det, men två IP-adresser: 38.118.132.100 hävdar att de har fått meddelandet från 235.16.47.37. Om det här är korrekt, är 235.16.47.37 där e-posten härstammades, och vi skulle ta reda på vilken Internetleverantör den här IP-adressen tillhör, och skicka sedan en missionsrapport till dem.
Låt oss se om nästa (och i det här fallet sista) servern i kedjan bekräftar de första mottagna: radans påståenden: Mottagen: från okänd (HELO 38.118.142.100) (62.105.106.207) via mail1.infinology.com med SMTP; 16 nov 2003 19:50:37 -0000 .
Eftersom mail1.infinology.com är den sista servern i kedjan och faktiskt "vår" server vet vi att vi kan lita på det. Den har fått meddelandet från en "okänd" värd som hävdade att ha IP-adressen 38.118.132.100 (med kommandot SMTP HELO). Hittills ligger detta i linje med vad den tidigare Received: -linjen sa.
Nu får vi se var vår mail server fick meddelandet från. För att ta reda på, tar vi en titt på IP-adressen inom parentes omedelbart innan via mail1.infinology.com . Detta är den IP-adress som anslutningen upprättades från, och den är inte 38.118.132.100. Nej, 62.105.106.207 är var denna skräppost skickades från.
Med den här informationen kan du nu identifiera spammarens internetleverantör och anmäla oönskad e-post till dem så att de kan sparka spammaren från nätet.
