Spam se završava kada više nije profitabilan. Spameri će videti da im se gubi profit ako niko ne kupi od njih (zato što čak ni ne vidite elektronske poruke). Ovo je najlakši način za borbu protiv neželjene pošte i svakako jedan od najboljih.
Žalba na spam
Ali možete uticati i na troškove spammerovog bilansa stanja. Ako se žalite spammerovom Internet provajderu (ISP), oni će izgubiti vezu i možda moraju platiti novčanu kaznu (u zavisnosti od prihvatljive politike korišćenja internetske provajdera).
Pošto spameri znaju i strahuju od takvih izveštaja, pokušavaju da se sakriju. Zato pronalaženje pravog ISP-a nije uvek lako. Na sreću, postoje alati poput SpamCop-a koji lako izveštavaju spam na pravu adresu.
Određivanje izvora spama
Kako SpamCop pronalazi prave internetske provajdere na koje se može žaliti? Potrebno je pažljivo pogledati linije zaglavlja spam poruke . Ovi zaglavlja sadrže informacije o putanji koju je primio e-pošta.
SpamCop prati putanju do tačke na kojoj je poslata e-pošta. Od ovog trenutka, takođe poznat kao IP adresa , može izvući spamerovog internet provajdera i poslati izvještaj ovoj službi za zloupotrebu.
Hajde da pogledamo kako to funkcioniše.
Email: Header and Body
Svaka e-poruka se sastoji od dva dela, tela i zaglavlja. Glava se može smatrati omotom poruke koja sadrži adresu pošiljaoca, primaoca, subjekta i drugih informacija. Telo sadrži aktuelni tekst i priloge.
Neke informacije o zaglavlju koje obično prikazuje vaš email program uključuje:
- Od: - Ime pošiljaoca i adresa e-pošte .
- Za: - ime primaoca i imejl adresu.
- Datum: - Datum kada je poruka poslata.
- Predmet: - Predmet .
Heading Forging
Prava isporuka e-pošte ne zavisi od bilo kojeg od ovih zaglavlja, oni su samo pogodnost.
Obično, linija From: će, na primer, biti podešena na adresu pošiljaoca. Ovo znači da znate od koga se nalazi poruka i može lako odgovoriti.
Spameri žele da se uverite da ne možete lako odgovoriti i svakako ne želite da znate ko su. Zbog toga oni ubacuju fiktivne adrese e-pošte u liniju svojih linija.
Primljeno: Linije
Dakle, linija From: je beskorisna ako želimo da odredimo pravi izvor e-pošte. Na sreću, ne treba da se oslanjamo na to. Zaglavlja svake e-poruke takođe sadrže Primljeni: linije.
Ove se obično ne prikazuju programi putem e-pošte, ali oni mogu biti od velike pomoći u pronalaženju neželjene pošte.
Primljeno razdvajanje: Header Lines
Kao i poštansko pismo će proći kroz nekoliko pošta na putu od pošiljaoca do primaoca, e-mail poruku obrađuje i prosleđuje više mail servera.
Zamislite da svaka pošta stavlja poseban pečat na svako slovo. Pečat bi rekao tačno kada je pismo primljeno, odakle je došlo i odakle ga je prosledila pošta. Ako ste dobili pismo, mogli ste odrediti tačan put koji je pismo preuzelo.
Upravo to se događa sa e-poštom.
Primljeno: Linije za praćenje
Pošto server za poštu obrađuje poruku, on dodaje posebnu liniju, Primljeno: na naslov poruke. Primljeno: linija sadrži, najinteresantnije,
- ime servera i IP adresa mašine na koju je server primio poruku od i
- naziv samog mail servera .
Linija Primljeno: uvijek je umetnuta na vrh zaglavlja poruka. Ako želimo da rekonstruišemo putovanje putem e-pošte od pošiljaoca do primaoca, takođe počinjemo na najvišoj Primljeni: liniji (zašto to učinimo, postaće očigledan za trenutak) i prošetamo dole sve dok ne dođemo do poslednjeg, e-mail je pokrenut.
Primljeno: kovanje linija
Spameri znaju da ćemo primeniti upravo ovu proceduru kako bismo otkrili svoje lokacije. Da nas prevare, oni mogu ubaciti kovane Primljene: linije koje ukazuju na neku drugu koja šalje poruku.
Pošto svaki poštan server uvek stavlja svoju Primljenu liniju na vrhu, falsifikovane zaglavlja spammera mogu biti samo na dnu lanca linija Primljeni: Zbog toga započinjemo našu analizu na vrhu i ne izvodimo tačku gdje je e-pošta potekla iz prve primljene: linije (na dnu).
Kako saznati falsifikovano primljeno: linija zaglavlja
Falsifikovani primljeni: linije koje su ubacili spameri da nas prevare izgledali će kao i svi drugi primljeni: linije (naravno, osim ako oni čine očiglednu grešku). Sam po sebi, ne možete reći falsifikovanu Primljenu: liniju iz istog.
Ovde se pojavljuje jedna posebna karakteristika Received: linija. Kao što smo već napomenuli, svaki server neće primjetiti samo ko je, već i odakle je poruka dobila (u obliku IP adrese).
Jednostavno smo upoređivali sa kojim serverima tvrdi da je sa onim što server urezuje u lancu kaže da je stvarno. Ako se ova dva ne podudarata, ranija Received: linija je falsifikovana.
U ovom slučaju poreklo e-pošte je ono što server odmah nakon falsifikovanog Primljeno: linija mora reći o tome od koga je dobila poruku.
Da li ste spremni za primer?
Primjer Spam Analiziran i Traced
Sada kada poznajemo teorijsku podršku, da vidimo kako analizirati neželjenu e-poštu kako bi identifikovali svoje poreklo u stvarnom životu.
Upravo smo dobili primjer neželjene pošte koje možemo koristiti za vežbanje. Evo glavnih linija:
Primljeno: iz nepoznate (HELO 38.118.132.100) (62.105.106.207)
mail1.infinology.com sa SMTP; 16 stu 2003 19:50:37 -0000
Primljeno: od [235.16.47.37] do 38.118.132.100 id; Sun, 16 Nov 2003 13:38:22 -0600
Message-ID:
Od: "Reinaldo Gilliam"
Odgovor: "Reinaldo Gilliam"
Za: ladedu@ladedu.com
Tema: Kategorija A Dobijte meds u need lgvkalfnqnh bbk
Datum: Sun, 16 Nov 2003 13:38:22 GMT
X-Mailer: Internet Mail Servis (5.5.2650.21)
MIME-verzija: 1.0
Content-Type: multipart / alternativa;
granica = "9B_9 .._ C_2EA.0DD_23"
X-Prioritet: 3
X-MSMail-Prioritet: Normalno
Da li možete da kažete IP adresu u kojoj je poruka počela?
Sender i Subject
Prvo, pogledajte - kovani - Od: linija. Spamer želi da izgleda kao da je poruka poslata sa Yahoo! Mail nalog. Zajedno sa Reply-To: linijom, ova adresa Od: ima za cilj da usmerava sve odbijene poruke i ljute odgovore na nepostojeću Yahoo! Mail nalog.
Zatim, Tema: zanimljiva aglomeracija slučajnih znakova. Jedva je čitljiv i očigledno dizajniran da prevari nepoželjne filtere (svaka poruka dobija malo drugačiji skup naključnih karaktera), ali je i prilično vešto napravljena da prenese poruku uprkos tome.
Primljeno: Linije
Konačno, Primljeno: linije. Počnimo sa najstarijim, Primljeno: od [235.16.47.37] do 38.118.132.100 id; Sun, 16 Nov 2003 13:38:22 -0600 . U njemu nema imena domaćina, ali dvije IP adrese: 38.118.132.100 tvrdi da je primila poruku iz 235.16.47.37. Ako je to tačno, 235.16.47.37 je odakle je došla e-pošta, a mi ćemo saznati od kojeg ISP-a pripada ova IP adresa, a zatim im pošaljete izveštaj o zloupotrebi .
Da vidimo da li sledeći (i posljednji posljednji) server u lancu potvrdi prve zahtjeve primljene: linije: Primljeno: iz nepoznate (HELO 38.118.142.100) (62.105.106.207) putem mail1.infinology.com sa SMTP; 16 stu 2003 19:50:37 -0000 .
Pošto je mail1.infinology.com poslednji server u lancu i zapravo "naš" server, znamo da možemo to vjerovati. Primio je poruku od "nepoznatog" domaćina koji je tvrdio da ima IP adresu 38.118.132.100 (koristeći komandu SMTP HELO ). Do sada je to u skladu sa onim što je prethodno primio.
Da vidimo odakle je naš mail server dobio poruku. Da biste saznali, pogledamo IP adresu u zagradama odmah prije mail1.infinology.com . Ovo je IP adresa sa kojom je uspostavljena veza, a nije 38.118.132.100. Ne, 62.105.106.207 je odakle je ovaj komad neželjene pošte poslat.
Sa ovim informacijama, sada možete identifikovati spammerovog ISP-a i prijaviti neželjenu e-poštu njima, tako da mogu da pokrenu spamera sa mreže.