A spam megszűnik, ha már nem lesz nyereséges. A spammerek nyeresége csökkenni fog, ha senki sem vásárol tőlük (mert még a kéretlen e-maileket sem látja). Ez a legegyszerűbb módja a spam elleni küzdelemnek, és minden bizonnyal az egyik legjobb.
Panasz a spam miatt
Befolyásolhatja a spamküldők mérlegének kiadási oldalát is. Ha panaszt tesz a spamküldő internetszolgáltatójánál (ISP), akkor megszakad a kapcsolata, és előfordulhat, hogy bírságot kell fizetnie (az internetszolgáltató elfogadható használati szabályzatától függően).
Mivel a spammerek ismerik és félnek az ilyen jelentésektől, megpróbálnak elrejtőzni. Ezért nem mindig könnyű megtalálni a megfelelő internetszolgáltatót. Vannak azonban olyan eszközök, mint például a SpamCop, amelyek leegyszerűsítik a spamek helyes, a pontos címre történő jelentését.
A spam forrásának meghatározása
Hogyan találja meg a SpamCop a megfelelő internetszolgáltatót, akinél panaszt tehet? Alaposan megvizsgálja a spam üzenet fejléceit. Ezek a fejlécek információkat tartalmaznak az e-mail elérési útjáról.
SpamCop követi az utat egészen addig a pontig, ahonnan a spamküldő elküldte az e-mailt. Ettől kezdve az IP-címként is ismert ponttól származtathatja a spamküldő ISP-jét, és elküldheti a jelentést az internetszolgáltató visszaélési osztályának.
Nézzük meg közelebbről, hogyan működik ez.
E-mail fejléc és törzs
Minden e-mail üzenet két részből áll, a törzsből és a fejlécből. A fejléc olyan, mint az e-mail boríték, amely tartalmazza a feladó címét, a címzettet, a tárgyat és egyéb információkat. A törzs tartalmazza a szöveget és a mellékleteket.
A levelezőprogram által általában megjelenített fejlécinformációk a következők:
- From: A feladó neve és e-mail címe.
- Címzett: A címzett neve és e-mail címe.
- Dátum: Az üzenet elküldésének dátuma.
- Tárgy: A tárgysor.
Fejléc-kovácsolás
Az e-mailek tényleges kézbesítése nem függ ezektől a fejlécektől. Egyszerűen kényelmesek.
Általában például a Feladó sort a rendszer a feladó címére küldi el, így tudja, kitől származik az üzenet, és gyorsan válaszolhat.
A spammerek biztosak akarnak lenni abban, hogy ne tudjanak könnyen válaszolni, és egyáltalán nem akarják, hogy tudja, kik ők. Ezért írnak be fiktív e-mail címeket kéretlen üzeneteik Feladó soraiba.
Fogadott sorok
A Feladó sor használhatatlan az e-mail valódi forrásának meghatározásában. Nem kell rá támaszkodnod. Minden e-mail fejlécében a Fogadott sorok is szerepelnek.
Az e-mail programok általában nem jelenítik meg ezeket, de hasznosak lehetnek a spam nyomon követésében.
Fogadott fejlécsorok elemzése
Ahogy egy postai levél több postahivatalon megy keresztül a feladótól a címzettig, az e-mail üzeneteket több levelezőszerver dolgozza fel és továbbítja.
Képzeld el, hogy minden posta egyedi bélyeget helyez minden egyes levélre. A bélyegzőn pontosan szerepelne, hogy mikor érkezett a levél, honnan jött, és hova továbbította a posta. Ha megkapta a levelet, meg tudja határozni a levél pontos útvonalát.
Pontosan ez történik az e-mailekkel.
Fogadott sorok a nyomkövetéshez
Miközben a levelezőszerver feldolgozza az üzenetet, egy adott sort ad hozzá az üzenet fejlécéhez. A Fogadott sor tartalmazza annak a gépnek a szervernevét és IP-címét, amelyről a szerver kapta az üzenetet, valamint a levelezőszerver nevét.
A Fogadott sor mindig az üzenet fejlécének tetején található. Az e-mail feladótól a címzettig terjedő útjának rekonstruálásához kezdje a legfelső Fogadott sorral, és menjen le az utolsóig, amely az e-mail származási helye.
Fogadott vonalkovácsolás
A spammerek tudják, hogy az emberek ezt az eljárást alkalmazzák hollétük felderítésére. Előfordulhat, hogy hamis fogadott sorokat szúrnak be, amelyek arra mutatnak, hogy valaki más küldje el az üzenetet, hogy megtévessze a címzettet.
Mivel minden levelezőszerver mindig a Fogadott sorát helyezi a tetejére, a spammerek hamisított fejlécei csak a Fogadott sor láncának alján lehetnek. Ezért érdemes felülről kezdenie az elemzést, és nem csak azt a pontot levezetni, ahol az e-mail indult az első Fogadott sorból (alul).
Hogyan mondhatjuk meg a hamisított fogadott fejlécsort
A spammerek által beszúrt hamisított fogadott sorok úgy néznek ki, mint az összes többi fogadott sor (hacsak nem követnek el nyilvánvaló hibát). Önmagában nem lehet megkülönböztetni a hamisított fogadott vonalat az eredetitől, mivel ez az, ahol a Fogadott sorok egy külön jellemzője lép működésbe. Minden szerver feljegyzi, hogy ki az, és honnan kapta az üzenetet (IP-cím formájában).
Hasonlítsa össze azt, amit egy kiszolgáló állít magáról, azzal, amit a lánc egy pontjával feljebb lévő szerver mond. Ha a kettő nem egyezik, a korábbi egy hamisított fogadott sor.
Ebben az esetben az e-mail eredete az, amit a kiszolgáló közvetlenül a hamis fogadott üzenet után helyezett.
Példa spam elemzése és nyomon követése
Most, hogy ismerjük az elméleti alapokat, elemezzünk egy kéretlen e-mailt, hogy azonosítsuk eredetét a való életben.
Most kaptunk egy példaértékű spamet, amelyet edzésre használhatunk. Itt vannak a fejlécek:
Érkezett: ismeretlentől (HELO 38.118.132.100) (62.105.106.207) mail1.infinology.com-on SMTP-vel; 2003. november 16. 19:50:37 -0000 Beérkezett: [235.16.47.37] írta: 38.118.132.100 id; V, 2003. november 16. 13:38:22 -0600 Üzenetazonosító: Feladó: "Reinaldo Gilliam" Válasz-Címzett: "Reinaldo Gilliam" Címzett: [email protected] Tárgy: A kategória Szerezze be a szükséges gyógyszereket lgvkalfnqnh bbk Dátum: V., 2003. november 16., 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-verzió: 1.0 Tartalom-típus: többrészes/ alternatív; boundary="9B_9._C_2EA.0DD_23" X-Priority: 3 X-MSMail-Priority: Normal
Meg tudja mondani az IP-címet, ahonnan az e-mail származik?
Feladó és tárgy
Először is nézze meg a hamisított From sort. A spamküldő azt szeretné elérni, hogy az üzenet egy Yahoo! Levelezési fiók. A Válasz-Címzett sorral ez a Feladó cím célja, hogy minden visszapattanó üzenetet és dühös választ egy nem létező Yahoo! Levelezési fiók.
Következő, a Tárgy véletlenszerű karakterek furcsa halmaza. Alig olvasható, és a spamszűrők megtévesztésére tervezték (minden üzenet egy kicsit eltérő véletlenszerű karakterkészletet kap). Ennek ellenére meglehetősen ügyesen kidolgozott, hogy ennek ellenére átadja az üzenetet.
A fogadott vonalak
Végül a Fogadott sorok. Kezdjük a legrégebbivel, Beérkezett: [235.16.47.37]-től 38.118.132.100 id; V, 2003. november 16. 13:38:22 -0600. Gazdanevek nincsenek benne, de két IP-cím: a 38.118.132.100 azt állítja, hogy a 235.16.47.37 címről kapta az üzenetet. Ha ez igaz, akkor az e-mail a 235.16.47.37 címről származik, és megtudjuk, melyik internetszolgáltatóhoz tartozik ez az IP-cím, majd visszaélési jelentést küldünk nekik.
Nézzük meg, hogy a lánc következő (és ebben az esetben az utolsó) szervere megerősíti-e az első Beérkezett sor állításait: Érkezett: ismeretlentől (HELO 38.118.142.100) (62.105.106.207) a mail1.infinology.com címmel SMTP; 2003. november 16. 19:50:37 -0000.
Mivel a mail1.infinology.com az utolsó szerver a láncban, sőt a "mi" szerverünk, tudjuk, hogy megbízhatunk benne. Az üzenetet egy "ismeretlen" gazdagéptől kapta, amely azt állítja, hogy az IP-címe 38.118.132.100 (az SMTP HELO paranccsal). Eddig ez összhangban van azzal, amit az előző Fogadott sor mondott.
Most lássuk, honnan kapta a levelezőszerverünk az üzenetet. Ennek megtudásához nézze meg a közvetlenül előtte lévő zárójelben lévő IP-címet a mail1.infinology.com címen. Ez az az IP-cím, amelyről a kapcsolat létrejött, és nem 38.118.132.100. Nem, a 62.105.106.207 címről küldték ezt a kéretlen levelet.
Ezzel az információval immár azonosíthatja a spamküldő internetszolgáltatóját, és jelentheti neki a kéretlen e-mailt, hogy kirúgja a spamküldőt a hálózatról.
