Spam skončí, když už nebude ziskový. Spammeři uvidí pokles jejich zisků, pokud od nich nikdo nenakupuje (protože ani nevyžádané e-maily nevidíte). Toto je nejjednodušší způsob, jak bojovat proti spamu, a určitě jeden z nejlepších.
Stížnost na spam
Výdajovou stranu rozvahy spammerů můžete ovlivnit také. Pokud si stěžujete u poskytovatele internetových služeb (ISP) odesílatele spamu, ztratí připojení a možná bude muset zaplatit pokutu (v závislosti na zásadách přijatelného používání poskytovatele internetových služeb).
Protože spammeři takové zprávy znají a bojí se jich, snaží se je skrývat. To je důvod, proč najít správného ISP není vždy snadné. Existují však nástroje jako SpamCop, které zjednodušují správné hlášení spamu na přesnou adresu.
Určení zdroje spamu
Jak SpamCop najde správného poskytovatele internetových služeb, u kterého si může stěžovat? Pozorně se podívá na řádky záhlaví spamové zprávy. Tato záhlaví obsahují informace o cestě, kterou e-mail šel.
SpamCop sleduje cestu až do bodu, odkud spammer odeslal e-mail. Z tohoto bodu, také známého jako IP adresa, může odvodit ISP spamera a odeslat zprávu oddělení zneužití tohoto ISP.
Pojďme se blíže podívat, jak to funguje.
Záhlaví a tělo e-mailu
Každá e-mailová zpráva se skládá ze dvou částí, těla a hlavičky. Záhlaví je jako e-mailová obálka obsahující adresu odesílatele, příjemce, předmět a další informace. Tělo obsahuje text a přílohy.
Některé informace v záhlaví, které se obvykle zobrazují ve vašem e-mailovém programu, zahrnují:
- Od: Jméno a e-mailová adresa odesílatele.
- Komu: Jméno a e-mailová adresa příjemce.
- Datum: Datum, kdy byla zpráva odeslána.
- Předmět: Předmět.
Kování hlavičky
Skutečné doručování e-mailů nezávisí na žádné z těchto hlaviček. Jsou prostě pohodlné.
Například řádek Od bude obvykle odeslán na adresu odesílatele, abyste věděli, od koho zpráva je, a mohli rychle odpovědět.
Spameři se chtějí ujistit, že nemůžete snadno odpovědět, a rozhodně nechtějí, abyste věděli, kdo jsou. To je důvod, proč vkládají fiktivní e-mailové adresy do řádků Od ve svých nevyžádaných zprávách.
Received Lines
Řádek From je k určení skutečného zdroje e-mailu k ničemu. Nemusíte se na to spoléhat. Záhlaví každé e-mailové zprávy také obsahuje přijaté řádky.
E-mailové programy je obvykle nezobrazují, ale mohou být užitečné při sledování spamu.
Analýza přijatých řádků záhlaví
Stejně jako poštovní dopis projde na své cestě od odesílatele k příjemci několika poštami, i e-mailová zpráva je zpracována a přeposlána několika poštovními servery.
Představte si, že každá pošta dává na každý dopis jedinečné razítko. Na razítku by bylo přesně uvedeno, kdy byla pošta přijata, odkud přišla a kam ji pošta přeposlala. Pokud jste dopis dostali, mohli byste určit přesnou cestu dopisu.
To je přesně to, co se stane s e-mailem.
Přijaté řádky pro sledování
Jak poštovní server zpracovává zprávu, přidává do hlavičky zprávy konkrétní řádek. Řádek Received obsahuje název serveru a IP adresu zařízení, ze kterého server přijal zprávu, a název poštovního serveru.
Řádek Received je vždy v horní části záhlaví zprávy. Chcete-li rekonstruovat cestu e-mailu od odesílatele k příjemci, začněte na nejvyšším řádku Přijato a přejděte dolů k poslednímu, odkud e-mail pochází.
Received Line Forging
Spameři vědí, že lidé používají tento postup, aby odhalili místo svého pobytu. Mohou vložit padělané řádky přijatých zpráv, které ukazují na někoho jiného, kdo posílá zprávu, aby oklamali zamýšleného příjemce.
Vzhledem k tomu, že každý poštovní server vždy umístí svůj řádek Received na začátek, mohou být falešná záhlaví spammerů pouze na konci řetězce Received. To je důvod, proč byste měli začít s analýzou nahoře a ne pouze odvodit bod, kde e-mail pochází z prvního řádku přijatých zpráv (dole).
Jak poznat podvržený řádek přijatého záhlaví
Padělané přijaté řádky vložené spammery vypadají jako všechny ostatní přijaté řádky (pokud neudělají zjevnou chybu). Sama o sobě nerozeznáte padělanou Received linku od té pravé, což je místo, kde vstupuje do hry jeden výrazný rys Received linek. Každý server zaznamená, kdo to je a odkud zprávu dostal (ve tvaru IP adresy).
Porovnejte to, co server tvrdí, že je, s tím, co tvrdí server o jeden zářez v řetězci. Pokud se tyto dva neshodují, dřívější je podvržený řádek přijatých zpráv.
V tomto případě je původem e-mailu to, co server umístil bezprostředně po zfalšovaném Received.
Příklad analýzy a sledování spamu
Teď, když známe teoretické základy, pojďme analyzovat nevyžádaný e-mail, abychom identifikovali jeho původ v reálném životě.
Právě jsme obdrželi ukázkový kus spamu, který můžeme použít ke cvičení. Zde jsou řádky záhlaví:
Přijato: od neznámého (HELO 38.118.132.100) (62.105.106.207) prostřednictvím mail1.infinology.com s SMTP; 16. listopadu 2003 19:50:37 -0000 Přijato: od [235.16.47.37] o 38.118.132.100 id; Ne, 16. listopadu 2003 13:38:22 -0600 ID zprávy: Od: "Reinaldo Gilliam" Odpovědět: "Reinaldo Gilliam" Komu: [email protected] Předmět: Kategorie A Získejte léky, které potřebujete lgvkalfnqnh bbk Datum: Ne, 16. listopadu 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME verze: 1.0 Content-Type: multipart/ alternative; boundary="9B_9._C_2EA.0DD_23" Priorita X: 3 Priorita X-MSMail: Normální
Můžete sdělit IP adresu, odkud e-mail pochází?
Odesílatel a předmět
Nejprve se podívejte na podvržený řádek From. Spammer chce, aby to vypadalo, že zpráva přišla z Yahoo! Poštovní účet. S řádkem Odpovědět-Komu je cílem této adresy odesílat všechny doskakující zprávy a naštvané odpovědi na neexistující Yahoo! E-mailový účet.
Dále, Předmět je zvláštní nahromadění náhodných postav. Je stěží čitelný a navržený tak, aby oklamal spamové filtry (každá zpráva má trochu jinou sadu náhodných znaků). Přesto je to také docela zručně vytvořené tak, aby i přes to šířilo poselství.
The Received Lines
Nakonec řádky Received. Začněme nejstarší, Přijato: od [235.16.47.37] od 38.118.132.100 id; Ne, 16. listopadu 2003 13:38:22 -0600. Nejsou v něm žádné názvy hostitelů, ale dvě adresy IP: 38.118.132.100 tvrdí, že přijal zprávu z 235.16.47.37. Pokud je to správné, e-mail pochází z 235.16.47.37 a my bychom zjistili, kterému ISP tato IP adresa patří, a pak mu pošleme hlášení o zneužití.
Uvidíme, zda další (a v tomto případě poslední) server v řetězci potvrdí nároky prvního řádku Received: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) mail1.infinology.com s SMTP; 16. listopadu 2003 19:50:37 -0000.
Vzhledem k tomu, že mail1.infinology.com je poslední server v řetězci a skutečně „náš“server, víme, že mu můžeme věřit. Přijal zprávu od "neznámého" hostitele, který tvrdí, že má IP adresu 38.118.132.100 (pomocí příkazu SMTP HELO). Zatím je to v souladu s tím, co říkal předchozí řádek Received.
Nyní se podívejme, odkud náš poštovní server zprávu obdržel. Chcete-li to zjistit, podívejte se na IP adresu v závorkách bezprostředně předtím na mail1.infinology.com. Toto je adresa IP, ze které bylo navázáno připojení, a není to 38.118.132.100. Ne, odkud byla tato nevyžádaná pošta odeslána z 62.105.106.207.
S těmito informacemi nyní můžete identifikovat ISP spamera a nahlásit mu nevyžádaný e-mail, abyste spammera vykopli ze sítě.
