Hvilke e-mailoverskrifter kan fortælle dig om oprindelsen af ​​spam

Spam afsluttes, når det ikke længere er rentabelt. Spammere vil se deres overskud tommel, hvis ingen køber fra dem (fordi du ikke engang ser junk e-mails). Dette er den nemmeste måde at bekæmpe spam på, og bestemt en af ​​de bedste.

Klager om spam

Men du kan også påvirke udgiftssiden af ​​en spammers balance. Hvis du klager til spammers internetudbyder (ISP), mister de deres forbindelse og må måske betale en bøde (afhængigt af internetudbyderens acceptable brugspolitik).

Da spammere kender og frygter sådanne rapporter, forsøger de at skjule. Derfor er det ikke altid nemt at finde den rigtige internetudbyder. Heldigvis findes der værktøjer som SpamCop, der gør rapportering af spam korrekt til den rigtige adresse let.

Bestemmelse af Spam-kilde

Hvordan finder SpamCop den rigtige internetudbyder til at klage over? Det tager et tæt kig på spam-meddelelsens overskriftslinjer . Disse overskrifter indeholder oplysninger om den vej, en e-mail tog.

SpamCop følger stien til det punkt, hvor e-mailen blev sendt fra. Fra dette punkt, også kendt som en IP-adresse , kan den udlede spammers internetudbyder og sende rapporten til denne internetudbyder misbrugsafdeling.

Lad os se nærmere på hvordan dette virker.

Email: Hoved og krop

Hver e-mail-besked består af to dele, kroppen og overskriften. Overskriften kan betragtes som meddelelsens konvolut, der indeholder afsenderens adresse, modtageren, emnet og andre oplysninger. Kroppen indeholder den faktiske tekst og bilagene.

Nogle headeroplysninger, der normalt vises i dit e-mail-program, omfatter:

Header Smedning

Den faktiske levering af e-mails afhænger ikke af nogen af ​​disse overskrifter, de er bare bekvemmelighed.

Normalt vil Fra: linjen blive indstillet til afsenderens adresse. Dette sikrer, at du ved, hvem beskeden kommer fra og kan svare nemt.

Spammere ønsker at sikre, at du ikke kan svare nemt, og helt sikkert ikke vil have dig til at vide, hvem de er. Derfor indsætter de fiktive emailadresser i Fra: linjerne i deres junk-meddelelser.

Modtaget: Linjer

Så Fra: -linjen er ubrugelig, hvis vi vil bestemme den rigtige kilde til en email. Heldigvis behøver vi ikke stole på det. Overskrifterne i hver e-mail besked indeholder også Received: lines.

Disse vises normalt ikke ved e-mail-programmer, men de kan være meget nyttige til sporing af spam.

Parsing modtaget: Overskriftslinjer

Ligesom postbrevet går gennem en række posthuse på vej fra afsender til modtager, behandles og sendes en mailbesked af flere mail-servere.

Forestil dig hvert posthus at lægge et særligt frimærke på hvert brev. Frimærket vil sige præcis, da brevet blev modtaget, hvor det stammer fra, og hvor det blev videresendt til posthuset. Hvis du fik brevet, kunne du bestemme den nøjagtige sti, der blev taget af brevet.

Dette er præcis hvad der sker med e-mail.

Modtaget: Linjer til sporing

Da en mail-server behandler en besked, tilføjer den en særlig linje, modtaget: linjen til meddelelsens overskrift. Received: linjen indeholder, mest interessant,

Received: linjen er altid indsat øverst i meddelelsesoverskrifterne. Hvis vi ønsker at rekonstruere en e-mails rejse fra afsender til modtager, starter vi også ved den øverste Modtaget: linje (hvorfor vi gør det bliver tydeligt i et øjeblik) og går ned til vi er kommet til den sidste, der er hvor e-mailen stammer fra

Modtaget: Linje Smedning

Spammere ved, at vi vil anvende nøjagtigt denne procedure for at afdække deres opholdssted. For at narre os, kan de indsætte forfalskede Modtaget: Linjer der peger på, at en anden sender meddelelsen.

Da hver mailserver altid sætter sin Received: linje øverst, kan spammers smidede overskrifter kun være nederst i linjen Received:. Det er derfor, vi starter vores analyse øverst og ikke bare udlede det punkt, hvor en email stammer fra den første modtaget: linje (nederst).

Sådan fortæller du en smedet modtaget: Header Line

Den smedede Modtaget: Linjer indsat af spammere for at narre os, vil ligne alle de andre Modtagne: linjer (medmindre de selvfølgelig gør en åbenbar fejl). I sig selv kan du ikke fortælle en forfalsket Modtaget: linje fra en ægte.

Her kommer et særligt træk ved Received: linjer til spil. Som vi har bemærket ovenfor, vil hver server ikke kun notere hvem den er, men også hvor den fik beskeden fra (i IP-adresseformular).

Vi sammenligner simpelthen, hvem en server hævder at være med, hvad den server, der hakker i kæden, siger, at det virkelig er. Hvis de to ikke stemmer overens, er den tidligere modtaget: linje blevet forfalsket.

I dette tilfælde er oprindelsen af ​​e-mailen, hvad serveren umiddelbart efter den forfalskede Received: linje har at sige om, hvem den fik beskeden fra.

Er du klar til et eksempel?

Eksempel Spam Analyseret og Sporet

Nu da vi kender den teoretiske underbygning, lad os se, hvordan analysere en uønsket e-mail for at identificere dens oprindelse, fungerer i virkeligheden.

Vi har netop modtaget et eksemplarisk stykke spam, som vi kan bruge til motion. Her er overskriften linjer:

Modtaget: Fra ukendt (HELO 38.118.132.100) (62.105.106.207)
ved mail1.infinology.com med SMTP; 16 nov 2003 19:50:37 -0000
Modtaget: fra [235.16.47.37] ved 38.118.132.100 id; Søn, 16 nov 2003 13:38:22 -0600
Message-ID:
Fra: "Reinaldo Gilliam"
Svar til: "Reinaldo Gilliam"
Til: ladedu@ladedu.com
Emne: Kategori A Få de meds, du har brug for lgvkalfnqnh bbk
Dato: søn, 16 nov 2003 13:38:22 GMT
X-Mailer: Internet Mail Service (5.5.2650.21)
MIME-Version: 1.0
Indholdstype: multipart / alternativ;
grænse = "9B_9 .._ C_2EA.0DD_23"
X-prioritet: 3
X-MSMail-prioritet: Normal

Kan du fortælle den IP-adresse, hvor e-mailen stammer fra?

Afsender og Emne

Først skal du kigge på - smedet - Fra: linje. Spammeren ønsker at få det til at se ud som om meddelelsen blev sendt fra en Yahoo! Mail-konto. Sammen med svar-til-linjen er denne fra: adresse rettet mod at lede alle hoppende beskeder og vrede svar på en ikke-eksisterende Yahoo! Mail-konto.

Dernæst er emnet: en nysgerrig agglomeration af tilfældige tegn. Det er næppe læseligt og naturligvis designet til at narre spamfiltre (hver besked får et lidt andet sæt tilfældige tegn), men det er også meget dygtigt udformet for at få beskeden på tværs af på trods af dette.

De modtagne: linjer

Endelig modtagerne: linjerne. Lad os begynde med den ældste, Modtaget: fra [235.16.47.37] ved 38.118.132.100 id; Søn, 16 nov 2003 13:38:22 -0600 . Der er ingen værtsnavne i den, men to IP-adresser: 38.118.132.100 hævder at have modtaget beskeden fra 235.16.47.37. Hvis dette er korrekt, er 235.16.47.37 hvor e-mailen opstod, og vi vil finde ud af, hvilken internetudbyder denne IP-adresse tilhører, så send en misbrugsrapport til dem.

Lad os se, om den næste (og i dette tilfælde sidste) server i kæden bekræfter de første modtagne linjens krav: Modtaget: Fra ukendt (HELO 38.118.142.100) (62.105.106.207) via mail1.infinology.com med SMTP; 16 nov 2003 19:50:37 -0000 .

Da mail1.infinology.com er den sidste server i kæden og faktisk "vores" server, ved vi, at vi kan stole på det. Den har modtaget meddelelsen fra en "ukendt" vært, der hævdede at have IP-adressen 38.118.132.100 (ved hjælp af kommandoen SMTP HELO ). Indtil videre er dette i tråd med, hvad den tidligere modtagne linje sagde.

Lad os nu se, hvor vores mail server fik beskeden fra. For at finde ud af, tager vi et kig på IP-adressen i parentes lige før via mail1.infinology.com . Dette er den IP-adresse, forbindelsen blev etableret fra, og den er ikke 38.118.132.100. Nej, 62.105.106.207 er hvor dette junk mail blev sendt fra.

Med disse oplysninger kan du nu identificere spammers internetudbyder og rapportere den uopfordrede email til dem, så de kan sparke spammeren fra nettet.