Spam skončí, keď už nebude ziskový. Spameri uvidia, že ich zisky klesnú, ak od nich nikto nenakupuje (pretože ani nevyžiadané e-maily nevidíte). Toto je najjednoduchší spôsob boja proti spamu a určite jeden z najlepších.
Sťažnosť na spam
Môžete ovplyvniť aj stranu výdavkov súvahy odosielateľa spamu. Ak sa sťažujete poskytovateľovi internetových služieb (ISP) odosielateľa spamu, stratí pripojenie a možno bude musieť zaplatiť pokutu (v závislosti od pravidiel prijateľného používania poskytovateľa internetových služieb).
Keďže spameri poznajú takéto správy a obávajú sa ich, snažia sa ich skrývať. To je dôvod, prečo nájsť správneho ISP nie je vždy jednoduché. Existujú však nástroje ako SpamCop, ktoré zjednodušujú správne nahlasovanie spamu na presnú adresu.
Určenie zdroja spamu
Ako SpamCop nájde správneho ISP, ktorému sa má sťažovať? Pozorne sa pozrie na riadky hlavičky spamovej správy. Tieto hlavičky obsahujú informácie o ceste, ktorou e-mail prešiel.
SpamCop sleduje cestu až do bodu, z ktorého odosielateľ spamu odoslal e-mail. Od tohto bodu, tiež známeho ako IP adresa, môže odvodiť ISP spamera a poslať správu oddeleniu zneužívania tohto ISP.
Pozrime sa bližšie, ako to funguje.
Hlavička a telo e-mailu
Každá e-mailová správa sa skladá z dvoch častí, tela a hlavičky. Hlavička je ako e-mailová obálka obsahujúca adresu odosielateľa, príjemcu, predmet a ďalšie informácie. Telo obsahuje text a prílohy.
Niektoré informácie v hlavičke, ktoré sa zvyčajne zobrazujú vo vašom e-mailovom programe, zahŕňajú:
- Od: Meno a e-mailová adresa odosielateľa.
- Komu: Meno a e-mailová adresa príjemcu.
- Dátum: Dátum odoslania správy.
- Subject: Predmet.
Kovanie hlavičky
Skutočné doručovanie e-mailov nezávisí od žiadnej z týchto hlavičiek. Sú jednoducho pohodlné.
Zvyčajne sa napríklad riadok Od odošle na adresu odosielateľa, aby ste vedeli, od koho správa je, a mohli rýchlo odpovedať.
Spameri sa chcú uistiť, že nemôžete ľahko odpovedať, a určite nechcú, aby ste vedeli, kto sú. To je dôvod, prečo vkladajú fiktívne e-mailové adresy do riadkov Od vo svojich nevyžiadaných správach.
Received Lines
Riadok From je zbytočný na určenie skutočného zdroja e-mailu. Netreba sa na to spoliehať. Hlavičky každej e-mailovej správy tiež obsahujú riadky Received.
E-mailové programy ich zvyčajne nezobrazujú, ale môžu byť užitočné pri sledovaní spamu.
Analýza prijatých riadkov hlavičky
Rovnako ako poštový list prejde na svojej ceste od odosielateľa k príjemcovi cez niekoľko pošt, aj e-mailovú správu spracuje a prepošle niekoľko poštových serverov.
Predstavte si, že každá pošta dáva na každý list jedinečnú pečiatku. Na pečiatke by bolo presne uvedené, kedy bola pošta prijatá, odkiaľ prišla a kam ju pošta preposlala. Ak ste dostali list, mohli by ste určiť presnú cestu listu.
To je presne to, čo sa stane s e-mailom.
Prijaté riadky na sledovanie
Keď poštový server spracováva správu, pridáva do hlavičky správy konkrétny riadok. Riadok Received obsahuje názov servera a IP adresu zariadenia, z ktorého server prijal správu, a názov poštového servera.
Riadok Received je vždy v hornej časti hlavičky správy. Ak chcete zrekonštruovať cestu e-mailu od odosielateľa k príjemcovi, začnite v najvrchnejšom riadku Prijaté a prejdite nadol k poslednému, odkiaľ e-mail pochádza.
Received Line Forging
Spameri vedia, že ľudia používajú tento postup, aby odhalili svoje miesto pobytu. Môžu vložiť falošné riadky prijaté, ktoré poukazujú na niekoho iného, kto odosiela správu, aby oklamali zamýšľaného príjemcu.
Keďže každý poštový server vždy umiestni svoj riadok Received navrch, falošné hlavičky spamerov môžu byť iba na konci reťazca riadkov Received. To je dôvod, prečo by ste mali začať s analýzou v hornej časti a nie len odvodiť bod, v ktorom e-mail pochádza z prvého riadku prijatých správ (dole).
Ako rozpoznať sfalšovaný riadok prijatej hlavičky
Sfalšované prijaté riadky vložené spamermi vyzerajú ako všetky ostatné prijaté riadky (pokiaľ neurobia zjavnú chybu). Sama o sebe nerozoznáte falošnú Received linku od tej pravej, čo je miesto, kde vstupuje do hry jedna výrazná vlastnosť Received liniek. Každý server zaznamená, kto to je a odkiaľ správu dostal (vo forme IP adresy).
Porovnajte to, čo server tvrdí, že je, s tým, čo tvrdí server o jeden zárez vyššie v reťazci. Ak sa tieto dva nezhodujú, skorší je sfalšovaný riadok prijatých správ.
V tomto prípade je pôvodom e-mailu to, čo server umiestnil bezprostredne po sfalšovanom prijatí.
Príklad analýzy a sledovania spamu
Teraz, keď poznáme teoretické základy, poďme analyzovať nevyžiadanú poštu, aby sme identifikovali jej pôvod v reálnom živote.
Práve sme dostali ukážkový kus spamu, ktorý môžeme použiť na cvičenie. Tu sú riadky hlavičky:
Prijaté: od neznámeho (HELO 38.118.132.100) (62.105.106.207) prostredníctvom mail1.infinology.com s SMTP; 16. novembra 2003 19:50:37 -0000 Prijaté: od [235.16.47.37] podľa 38.118.132.100 id; Ne, 16. novembra 2003 13:38:22 -0600 ID správy: Od: "Reinaldo Gilliam" Odpovedať: "Reinaldo Gilliam" Komu: [email protected] Predmet: Kategória A Získajte lieky, ktoré potrebujete lgvkalfnqnh bbk Dátum: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-Version: 1.0 Content-Type: multipart/ alternative; boundary="9B_9._C_2EA.0DD_23" X-Priorita: 3 X-MSMail-Priorita: Normal
Môžete povedať IP adresu, odkiaľ e-mail pochádza?
Odosielateľ a predmet
Najprv sa pozrite na sfalšovaný riadok From. Spamer chce, aby to vyzeralo, že správa prišla z Yahoo! Poštový účet. S riadkom Reply-To je cieľom tejto adresy odosielateľa smerovať všetky poskakujúce správy a nahnevané odpovede na neexistujúce Yahoo! E-mailový účet.
Ďalej, Predmet je zvláštne nahromadenie náhodných postáv. Je sotva čitateľný a je navrhnutý tak, aby oklamal spamové filtre (každá správa má trochu inú sadu náhodných znakov). Napriek tomu je tiež celkom zručne vytvorený tak, aby posolstvo šíril.
The Received Lines
Nakoniec, riadky Received. Začnime s najstarším, Prijaté: z [235.16.47.37] do 38.118.132.100 id; Ne, 16. november 2003 13:38:22 -0600. Nie sú v ňom žiadne názvy hostiteľov, ale dve adresy IP: 38.118.132.100 tvrdí, že prijal správu z adresy 235.16.47.37. Ak je to správne, e-mail pochádza z adresy 235.16.47.37 a my by sme zistili, ktorému ISP patrí táto IP adresa, a potom mu pošleme hlásenie o zneužití.
Uvidíme, či ďalší (a v tomto prípade posledný) server v reťazci potvrdí nároky prvého riadku Prijaté: Prijaté: od neznámeho (HELO 38.118.142.100) (62.105.106.207) prostredníctvom mail1.infinology.com s SMTP; 16. november 2003 19:50:37 -0000.
Keďže mail1.infinology.com je posledný server v reťazci a skutočne „náš“server, vieme, že mu môžeme dôverovať. Prijal správu od „neznámeho“hostiteľa, ktorý tvrdí, že má IP adresu 38.118.132.100 (pomocou príkazu SMTP HELO). Zatiaľ je to v súlade s predchádzajúcim riadkom Received.
Teraz sa pozrime, odkiaľ náš poštový server dostal správu. Ak to chcete zistiť, pozrite si IP adresu v zátvorkách bezprostredne predtým na mail1.infinology.com. Toto je adresa IP, z ktorej bolo nadviazané spojenie, a nie je to 38.118.132.100. Nie, z 62.105.106.207 bola odoslaná táto nevyžiadaná pošta.
S týmito informáciami teraz môžete identifikovať poskytovateľa internetových služieb odosielateľa spamu a nahlásiť mu nevyžiadaný e-mail, aby ste ho vyhnali zo siete.
