Спамът ще приключи, когато вече не носи печалба. Спамерите ще видят как печалбите им падат, ако никой не купува от тях (защото дори не виждате нежеланите имейли). Това е най-лесният начин за борба със спама и със сигурност един от най-добрите.
Оплакване за спам
Можете да повлияете и на разходната страна на баланса на спамъра. Ако се оплачете на доставчика на интернет услуги (ISP) на спамъра, той ще загуби връзката си и може да трябва да плати глоба (в зависимост от приемливата политика за използване на доставчика).
Тъй като спамърите знаят и се страхуват от подобни доклади, те се опитват да се скрият. Ето защо намирането на подходящия интернет доставчик не винаги е лесно. Съществуват обаче инструменти като SpamCop, които опростяват правилното докладване на спам на точния адрес.
Определяне на източника на спам
Как SpamCop намира правилния интернет доставчик, на когото да се оплаче? Разглежда внимателно заглавните редове на спам съобщението. Тези заглавки съдържат информация за пътя, по който е изминал имейлът.
SpamCop следва пътя до точката, от която спамерът е изпратил имейла. От този момент, известен още като IP адрес, той може да извлече ISP на спамъра и да изпрати доклада до отдела за злоупотреби на този ISP.
Нека да разгледаме по-отблизо как работи това.
Заглавка и тяло на имейла
Всяко имейл съобщение се състои от две части, тяло и заглавка. Заглавката е като имейл плика, съдържащ адреса на подателя, получателя, темата и друга информация. Тялото съдържа текста и прикачените файлове.
Някоя информация в заглавката, която обикновено се показва от вашата имейл програма, включва:
- От: Името и имейл адреса на подателя.
- До: Името и имейл адресът на получателя.
- Дата: Датата на изпращане на съобщението.
- Тема: Темата.
Коване на заглавки
Действителната доставка на имейли не зависи от тези заглавки. Просто са удобни.
Обикновено редът От, например, ще бъде изпратен до адреса на подателя, така че да знаете от кого е съобщението и да можете да отговорите бързо.
Спамерите искат да са сигурни, че не можете да отговорите лесно и със сигурност не искат да знаете кои са те. Ето защо те вмъкват фиктивни имейл адреси в редовете От на своите нежелани съобщения.
Получени линии
Редът From е безполезен при определяне на истинския източник на имейл. Не е нужно да разчитате на това. Заглавките на всяко имейл съобщение също съдържат получени редове.
Програмите за електронна поща обикновено не ги показват, но могат да бъдат полезни при проследяване на спам.
Разбор на получените заглавни редове
Точно както едно пощенско писмо преминава през няколко пощенски служби по пътя си от подател до получател, едно имейл съобщение се обработва и препраща от няколко пощенски сървъра.
Представете си, че всяка пощенска служба поставя уникален печат върху всяко писмо. Печатът казваше точно кога е получена пощата, откъде идва и къде е препратена от пощата. Ако сте получили писмото, можете да определите точния път, изминат от писмото.
Точно това се случва с имейла.
Получени редове за проследяване
Докато пощенският сървър обработва съобщение, той добавя конкретен ред към заглавката на съобщението. Редът Received съдържа името на сървъра и IP адреса на машината, от която сървърът е получил съобщението, и името на сървъра за електронна поща.
Редът Received е винаги в горната част на заглавката на съобщението. За да възстановите пътя на имейл от подател до получател, започнете от най-горния ред Получено и слезте надолу до последния, откъдето е произходът на имейла.
Получено изковаване на линии
Спамерите знаят, че хората прилагат тази процедура, за да разкрият местонахождението им. Те могат да вмъкнат подправени получени редове, които сочат към някой друг, изпращащ съобщението, за да заблудят желания получател.
Тъй като всеки пощенски сървър винаги ще поставя своя ред Received най-отгоре, подправените заглавки на спамърите могат да бъдат само в долната част на веригата Received line. Ето защо трябва да започнете анализа си отгоре, а не просто да извлечете точката, от която е произлязъл имейл, от първия ред Получени (в долната част).
Как да познаете фалшифициран получен заглавен ред
Подправените получени редове, вмъкнати от спамърите, изглеждат като всички останали получени редове (освен ако не направят очевидна грешка). Само по себе си не можете да различите фалшива линия Received от истинска, което е мястото, където една отличителна характеристика на линиите Received влиза в игра. Всеки сървър отбелязва кой е и откъде е получил съобщението (под формата на IP адрес).
Сравнете това, което сървърът твърди, че е, с това, което сървърът на едно ниво по-нагоре във веригата казва, че е. Ако двете не съвпадат, по-ранната е подправена получена линия.
В този случай произходът на имейла е това, което сървърът е поставил веднага след фалшивото съобщение Received.
Пример за анализиран и проследен спам
Сега, след като знаем теоретичната основа, нека анализираме нежелан имейл, за да идентифицираме произхода му в реалния живот.
Току-що получихме примерен спам, който можем да използваме за упражнение. Ето заглавните редове:
Получено: от неизвестен (HELO 38.118.132.100) (62.105.106.207) от mail1.infinology.com с SMTP; 16 ноември 2003 19:50:37 -0000 Получено: от [235.16.47.37] от 38.118.132.100 id; Sun, 16 Nov 2003 13:38:22 -0600 ИД на съобщение: От: "Reinaldo Gilliam" Отговор до: "Reinaldo Gilliam" До: [email protected] Тема: Категория A Вземете лекарствата, от които се нуждаете lgvkalfnqnh bbk Дата: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Интернет пощенска услуга (5.5.2650.21) MIME-версия: 1.0 Тип съдържание: multipart/ alternative; boundary="9B_9._C_2EA.0DD_23" X-Приоритет: 3 X-MSMail-Приоритет: Нормален
Можете ли да кажете IP адреса, откъдето идва имейлът?
Подател и Тема
Първо, вижте подправения ред От. Разпространителят на спам иска да изглежда така, сякаш съобщението идва от Yahoo! Пощенски акаунт. С линията Reply-To този адрес From има за цел да насочи всички отхвърлящи съобщения и гневни отговори към несъществуващ Yahoo! Пощенски акаунт.
След това, Темата е любопитно натрупване на произволни знаци. Той е едва четлив и е предназначен да заблуди спам филтрите (всяко съобщение получава малко по-различен набор от произволни знаци). Все пак, той също е доста умело изработен, за да предаде посланието въпреки това.
Получените линии
Накрая, получените редове. Да започнем с най-стария, Получен: от [235.16.47.37] от 38.118.132.100 id; Неделя, 16 ноември 2003 г. 13:38:22 -0600. В него няма имена на хостове, но два IP адреса: 38.118.132.100 твърди, че е получил съобщението от 235.16.47.37. Ако това е вярно, 235.16.47.37 е мястото, откъдето идва имейлът, и ще разберем на кой интернет доставчик принадлежи този IP адрес, след което ще му изпратим сигнал за злоупотреба.
Да видим дали следващият (и в този случай последен) сървър във веригата потвърждава твърденията на първата получена линия: Получено: от неизвестен (HELO 38.118.142.100) (62.105.106.207) от mail1.infinology.com с SMTP; 16 ноември 2003 г. 19:50:37 -0000.
Тъй като mail1.infinology.com е последният сървър във веригата и наистина „нашият“сървър, знаем, че можем да му се доверим. Той е получил съобщението от "неизвестен" хост, който твърди, че има IP адрес 38.118.132.100 (с помощта на командата SMTP HELO). Досега това е в съответствие с казаното в предишния ред Received.
Сега да видим откъде нашият мейл сървър е получил съобщението. За да разберете, погледнете IP адреса в скоби непосредствено преди mail1.infinology.com. Това е IP адресът, от който е установена връзката и не е 38.118.132.100. Не, 62.105.106.207 е мястото, откъдето е изпратено това нежелано писмо.
С тази информация вече можете да идентифицирате интернет доставчика на спамъра и да му докладвате нежелания имейл, за да изгоните спамъра от мрежата.
