Spam sal eindig wanneer dit nie meer winsgewend is nie. Spammers sal sien dat hul winste tuimel as niemand van hulle koop nie (omdat jy nie eens die junk e-posse sien nie). Dit is die maklikste manier om spam te bestry, en beslis een van die beste.
Kla oor Spam
Maar jy kan ook die uitgaweskant van 'n spammer se balansstaat beïnvloed. As jy kla aan die internetverskaffer van die spammer se internetverskaffer, sal hulle hul verbinding verloor en moet hulle dalk boete betaal (afhangende van die ISP se aanvaarbare gebruiksbeleid).
Aangesien spammers sulke verslae ken en vrees, probeer hulle om weg te steek. Daarom is dit nie altyd maklik om die regte ISP te vind nie. Gelukkig is daar gereedskap soos SpamCop wat die rapportering van gemorspos korrek tot die regte adres maklik maak.
Bepaling van die Bron van Spam
Hoe vind SpamCop die regte ISP om te kla? Dit kyk nou na die strokieslyne van die strooiposboodskap . Hierdie opskrifte bevat inligting oor die pad wat 'n e-pos geneem het.
SpamCop volg die pad tot by die punt waar die e-pos gestuur is. Vanuit hierdie punt, ook bekend as 'n IP-adres , kan dit die spammer se ISP aflei en die verslag aan die ISP se misbruikdepartement stuur.
Kom ons kyk nou hoe dit werk.
Epos: Opskrif en Liggaam
Elke e-pos boodskap bestaan uit twee dele, die liggaam en die kop. Die kop kan as die koevert van die boodskap beskou word, met die adres van die sender, die ontvanger, die onderwerp en ander inligting. Die liggaam bevat die werklike teks en die aanhangsels.
Sekere hoofinligting wat gewoonlik deur u e-posprogram vertoon word, sluit in:
- Van: - Die sender se naam en e-posadres .
- Aan: - Die ontvanger se naam en e-posadres.
- Datum: - Die datum waarop die boodskap gestuur is.
- Onderwerp: - Die onderwerplyn .
Header Smeden
Die eintlike aflewering van e-posse is nie afhanklik van enige van hierdie opskrifte nie, dit is net gerief.
Gewoonlik word die Van: -reël byvoorbeeld ingestel op die adres van die sender. Dit maak seker jy weet wie die boodskap vandaan kom en kan maklik antwoord.
Spammers wil seker maak dat jy nie maklik kan antwoord nie, en wil beslis nie hê jy moet weet wie hulle is nie. Daarom voeg hulle fiktiewe e-posadresse in die Van: reëls van hul junk boodskappe.
Ontvang: Lijnen
Dus is die From: -lyn nutteloos as ons die regte bron van 'n e-pos wil bepaal. Gelukkig hoef ons nie daarop staat te maak nie. Die opskrifte van elke e-posboodskap bevat ook Ontvang: lyne.
Dit word gewoonlik nie deur e-posprogramme vertoon nie, maar dit kan baie help met die opspoor van spam.
Parseer Ontvang: Opskriflyne
Net soos 'n posbrief deur 'n aantal poskantore gaan, van sender na ontvanger, word 'n e-posboodskap verwerk en deur verskeie pos bedieners gestuur.
Stel jou voor dat elke poskantoor op elke brief 'n spesiale stempel sit. Die stempel sal presies sê wanneer die brief ontvang is, waar dit vandaan kom en waar dit na die poskantoor gestuur is. As jy die brief het, kan jy die presiese pad wat deur die brief geneem is, bepaal.
Dit is presies wat met e-pos gebeur.
Ontvang: Lijnen vir Tracing
As 'n e-pos bediener ' n boodskap verwerk, voeg dit 'n spesiale reël, die Ontvang: lyn by die boodskap se koptekst. Die Received: reël bevat, interessantstens,
- die bediener naam en IP adres van die masjien waarop die bediener die boodskap ontvang het van en
- die naam van die pos bediener self.
Die Received: reël word altyd bo-aan die boodskapkoppe ingevoeg. As ons 'n e-pos se reis van sender na ontvanger wil rekonstrueer, begin ons ook by die hoogste ontvangste lyn (hoekom ons dit doen, sal dit op 'n oomblik duidelik word) en loop af tot ons by die laaste een aangekom het, wat is waar die e-pos het ontstaan.
Ontvang: Lyn Smeed
Spammers weet dat ons presies hierdie prosedure sal toepas om hul verblyfplek te ontbloot. Om ons te mislei, kan hulle vervalste Ontvang: lyne wat daarop dui dat iemand anders die boodskap stuur.
Aangesien elke posbediener altyd die Received: -reël aan die bokant sal sit, kan die spammers se gesmee hoofde slegs onderaan die Received: -reëlketting wees. Daarom begin ons ons analise bo-aan en kry nie net die punt waar 'n e-pos ontstaan het van die eerste Ontvang: lyn (onderaan) nie.
Hoe om 'n vervalste ontvangs te ontvang: Opskriflyn
Die vervalste Ontvang: lyne wat deur spammers ingevoeg is om ons te mislei, sal lyk soos al die ander Ontvang: lyne (tensy hulle natuurlik 'n duidelike fout maak). Op sigself kan jy nie 'n gesmeerde Ontvangslyn van 'n regte een vertel nie.
Dit is waar een kenmerk van Received: lyne in die spel kom. Soos ons hierbo genoem het, sal elke bediener nie net let op wie dit is nie, maar ook waar dit die boodskap ontvang het (in IP-adres vorm).
Ons vergelyk eenvoudig met wie 'n bediener beweer dat die bediener een in die ketting insteek, sê dit is regtig. As die twee nie ooreenstem nie, is die vroeër Ontvang: lyn gesmee.
In hierdie geval is die oorsprong van die e-pos wat die bediener onmiddellik na die gesmeerde Ontvangste-lyn moet sê oor wie die boodskap ontvang het.
Is jy gereed vir 'n voorbeeld?
Voorbeeld Spam geanaliseer en opgespoor
Noudat ons die teoretiese onderbou ken, kom ons kyk hoe 'n rommel e-pos ontleed om sy oorsprong in die werklike lewe te identifiseer.
Ons het pas 'n voorbeeld van spam ontvang wat ons vir oefening kan gebruik. Hier is die opskrif lyne:
Ontvang: van onbekend (HELO 38.118.132.100) (62.105.106.207)
via mail1.infinology.com met SMTP; 16 Nov 2003 19:50:37 -0000
Ontvang: van [235.16.47.37] deur 38.118.132.100 id; So, 16 Nov 2003 13:38:22 -0600
Boodskap-ID:
Van: "Reinaldo Gilliam"
Antwoord-na: "Reinaldo Gilliam"
Aan: ladedu@ladedu.com
Onderwerp: Kategorie A Kry die meds wat jy nodig het lgvkalfnqnh bbk
Datum: So, 16 Nov 2003 13:38:22 GMT
X-Mailer: Internet Mail Service (5.5.2650.21)
MIME-weergawe: 1.0
Inhoud-Type: multipart / alternatief;
grens = "9B_9 .._ C_2EA.0DD_23"
X-Prioriteit: 3
X-MSMail-Prioriteit: Normaal
Kan jy die IP-adres waar die e-pos ontstaan het, vertel?
Afsender en Vak
Kyk eers na die - gesmee - Van: lyn. Die spammer wil dit laat lyk asof die boodskap van 'n Yahoo! Pos rekening Saam met die antwoord-na: -lyn is hierdie Van: adres daarop gemik om alle bonsende boodskappe te stuur en kwaad antwoorde op 'n nie-bestaande Yahoo! Pos rekening
Volgende, die onderwerp: is 'n nuuskierige agglomerasie van ewekansige karakters. Dit is skaars leesbaar en is vanselfsprekend ontwerp om spamfilters te laat val (elke boodskap kry 'n effens verskillende stel ewekansige karakters), maar dit is ook baie vaardig om die boodskap te kry ten spyte hiervan.
Die Ontvang: Lines
Ten slotte, die Ontvang: lyne. Kom ons begin met die oudste, Ontvang: vanaf [235.16.47.37] deur 38.118.132.100 id; So, 16 Nov 2003 13:38:22 -0600 . Daar is geen host name in nie, maar twee IP-adresse: 38.118.132.100 beweer dat die boodskap vanaf 235.16.47.37 ontvang is. As dit korrek is, is 235.16.47.37 waar die e-pos ontstaan het, en ons sal uitvind watter ISP hierdie IP-adres behoort, en stuur dan 'n misbruikverslag aan hulle.
Kom ons kyk of die volgende (en in hierdie geval laaste) bediener in die ketting die eerste eise van Received: line bevestig: Ontvang: van onbekend (HELO 38.118.142.100) (62.105.106.207) deur mail1.infinology.com met SMTP; 16 Nov 2003 19:50:37 -0000 .
Aangesien mail1.infinology.com die laaste bediener in die ketting is en inderdaad "ons" bediener weet ons dat ons dit kan vertrou. Dit het die boodskap ontvang van 'n "onbekende" gasheer wat beweer het die IP-adres 38.118.132.100 (met die SMTP HELO-opdrag ). Tot dusver is dit in lyn met wat die vorige Received: -lyn gesê het.
Kom ons kyk nou waar ons pos bediener die boodskap gekry het. Om uit te vind, kyk ons na die IP-adres tussen hakies onmiddellik deur mail1.infinology.com . Dit is die IP-adres waaruit die verbinding ontstaan het, en dit is nie 38.118.132.100. Nee, 62.105.106.207 is waar hierdie stuk gemorspos gestuur is.
Met hierdie inligting kan jy nou die spammer se ISP identifiseer en die ongevraagde e-pos aan hulle rapporteer sodat hulle die spammer van die net kan skop.