Spam akan berakhir apabila ia tidak lagi menguntungkan. Spammer akan melihat keuntungannya jatuh jika tiada siapa yang membeli dari mereka (kerana anda tidak dapat melihat e-mel sampah). Ini adalah cara yang paling mudah untuk memerangi spam, dan sudah pasti salah satu yang terbaik.
Mengadu tentang Spam
Tetapi anda boleh menjejaskan bahagian perbelanjaan lembaran imbalan spammer juga. Jika anda mengadu kepada Penyedia Perkhidmatan Internet (ISP) spammer, mereka akan kehilangan sambungan dan mungkin perlu membayar denda (bergantung kepada dasar penggunaan ISP yang diterima).
Sejak spammer mengetahui dan takut laporan tersebut, mereka cuba menyembunyikannya. Itulah sebabnya mencari ISP yang betul tidak selalu mudah. Nasib baik, terdapat alat seperti SpamCop yang membuat laporan spam dengan betul ke alamat yang betul mudah.
Menentukan Sumber Spam
Bagaimanakah SpamCop mencari ISP yang betul untuk mengadu? Ia mengambil pandangan yang dekat pada baris header mesej spam . Tajuk-tajuk ini mengandungi maklumat mengenai jalan yang diambil oleh e-mel.
SpamCop mengikuti laluan sehingga titik di mana e-mel dihantar. Dari sudut ini, juga dikenali sebagai alamat IP , ia boleh mendapatkan ISP spammer dan menghantar laporan ke jabatan penyalahgunaan ISP ini.
Mari lihat lebih dekat bagaimana ini berfungsi.
E-mel: Header and Body
Setiap mesej e-mel terdiri daripada dua bahagian, badan, dan tajuk. Pengepala boleh dianggap sebagai sampul mesej, yang berisi alamat pengirim, penerima, subjek dan maklumat lain. Tubuh mengandungi teks sebenar dan lampiran.
Beberapa maklumat header yang biasanya dipaparkan oleh program e-mel anda termasuk:
- Dari: - Nama dan alamat e - mel pengirim.
- Kepada: - Nama penerima dan alamat e-mel.
- Tarikh: - Tarikh mesej dihantar.
- Subjek: - Baris subjek .
Penempaan Tandukan
Penyampaian sebenar e-mel tidak bergantung kepada mana-mana tajuk ini, ia hanya kemudahan.
Biasanya, baris Dari: misalnya, akan ditetapkan ke alamat penghantar. Ini memastikan anda tahu siapa mesej tersebut dan boleh membalas dengan mudah.
Spam mahu memastikan anda tidak boleh membalas dengan mudah, dan tentunya tidak mahu anda tahu siapa mereka. Itulah sebabnya mereka memasukkan alamat e-mel yang fiktif di dalam Daripada: garis mesej sampah mereka.
Diterima: Talian
Oleh itu, garis From: tidak berguna jika kita mahu menentukan sumber sebenar e-mel. Nasib baik, kita tidak perlu bergantung kepadanya. Tajuk setiap mesej e-mel juga mengandungi Diterima: baris.
Ini biasanya tidak dipaparkan oleh program e-mel, tetapi mereka boleh sangat membantu dalam mengesan spam.
Parsing Received: Lines Header
Sama seperti surat pos akan melalui beberapa pejabat pos dalam perjalanannya dari penghantar ke penerima, mesej e-mel diproses dan dikemukakan oleh beberapa pelayan mel.
Bayangkan setiap pejabat pos meletakkan setem khas pada setiap huruf. Cap akan menyatakan dengan tepat apabila surat itu diterima, di mana ia datang dan di mana ia dihantar kepada pejabat pos. Jika anda mendapat surat tersebut, anda boleh menentukan laluan sebenar yang diambil oleh surat itu.
Inilah yang berlaku dengan e-mel.
Diterima: Talian untuk Penjejakan
Sebagai pelayan pelayan memproses mesej, ia menambah garis khas, yang Diterima: baris ke tajuk mesej. Diterima: baris mengandungi, paling menarik,
- nama pelayan dan alamat IP mesin pelayan menerima mesej dari dan
- nama server mel itu sendiri.
Diterima: baris sentiasa dimasukkan di bahagian atas tajuk mesej. Sekiranya kita mahu membina semula perjalanan e-mel dari penghantar ke penerima, kita juga bermula di bahagian paling atas yang Diterima: baris (mengapa kita lakukan ini akan menjadi jelas dalam seketika) dan berjalan ke bawah sehingga kami tiba di tempat yang terakhir, di mana e-mel itu berasal.
Diterima: Talian Penempaan
Spammer tahu bahawa kami akan menerapkan prosedur ini secara tepat untuk mendedahkan tempat mereka. Untuk menipu kita, mereka boleh memasukkan Diterima palsu: garis yang menunjukkan kepada orang lain yang menghantar mesej.
Oleh kerana setiap pelayan mel sentiasa meletakkan baris Diterima: di atas, tajuk palsu yang dipanggil spammer hanya boleh berada di bahagian bawah Rantai talian yang diterima:. Inilah sebabnya mengapa kami memulakan analisis kami di bahagian atas dan jangan hanya mendapatkan titik di mana e-mel berasal dari baris Diterima pertama: (di bahagian bawah).
Cara Beritahu Diterima Palsu: Talian Pengepala
Yang Diterima Diterima: baris yang dimasukkan oleh spammer untuk menipu kita akan kelihatan seperti semua yang Diterima: baris (kecuali jika mereka membuat kesilapan yang jelas, tentu saja). Dengan sendirinya, anda tidak dapat memberitahu yang Diterima: baris dari yang asli.
Di sinilah satu ciri yang berbeza diterima: garisan masuk ke dalam permainan. Seperti yang telah kita nyatakan di atas, setiap pelayan bukan sahaja akan mencatat siapa ia tetapi juga di mana ia mendapat mesej dari (dalam bentuk alamat IP).
Kami hanya membandingkan siapa yang dikatakan oleh pelayan dengan apa yang dikatakan oleh pelayan dalam rantaian itu sebenarnya. Jika kedua-dua tidak sepadan, baris yang Diterima sebelumnya: telah dipalsukan.
Dalam kes ini, asal e-mel adalah apa yang pelayan itu segera selepas dipalsukan Diterima: baris telah mengatakan tentang siapa ia mendapat mesej dari.
Adakah anda bersedia untuk contoh?
Spam Contoh Dianalisis dan Ditelusuri
Sekarang kita tahu asas teori, mari kita lihat bagaimana menganalisis e-mel sampah untuk mengenal pasti asal-usulnya berfungsi dalam kehidupan sebenar.
Kami baru sahaja menerima satu contoh spam yang boleh digunakan untuk latihan. Berikut adalah baris header:
Diterima: dari tidak diketahui (HELO 38.118.132.100) (62.105.106.207)
oleh mail1.infinology.com dengan SMTP; 16 Nov 2003 19:50:37 -0000
Diterima: dari [235.16.47.37] oleh 38.118.132.100 id; Sun, 16 Nov 2003 13:38:22 -0600
ID-mesej:
Dari: "Reinaldo Gilliam"
Balas-Kepada: "Reinaldo Gilliam"
Kepada: ladedu@ladedu.com
Subjek: Kategori A Dapatkan meds yang anda perlukan lgvkalfnqnh bbk
Tarikh: Sun, 16 Nov 2003 13:38:22 GMT
X-Mailer: Perkhidmatan Mel Internet (5.5.2650.21)
MIME-Version: 1.0
Jenis Kandungan: berbilang / alternatif;
sempadan = "9B_9 .._ C_2EA.0DD_23"
X-Prioriti: 3
X-MSMail-Keutamaan: Normal
Bolehkah anda memberitahu alamat IP di mana e-mel itu berasal?
Pengirim dan Subjek
Pertama, lihat di - palsu - Dari: talian. Spammer mahu menjadikannya kelihatan seolah-olah mesej itu dihantar dari Yahoo! Akaun mel. Bersama-sama dengan Balasan Balas-Untuk: alamat ini: alamat ini bertujuan untuk mengarahkan semua mesej memantul dan balasan marah kepada Yahoo! yang tidak ada Akaun mel.
Seterusnya, Subjek: adalah aglomerasi yang ingin tahu watak-watak rawak. Ia hampir tidak boleh dibaca dan jelas direka untuk menipu penapis spam (setiap mesej mendapat set aksara aksara yang sedikit berbeza), tetapi ia juga agak mahir direka untuk mendapatkan mesej merentasi walaupun ini.
Diterima: Talian
Akhirnya, Diterima: baris. Mari bermula dengan yang tertua, Diterima: dari [235.16.47.37] oleh 38.118.132.100 id; Sun, 16 Nov 2003 13:38:22 -0600 . Tiada nama host di dalamnya, tetapi dua alamat IP: 38.118.132.100 mendakwa telah menerima mesej daripada 235.16.47.37. Sekiranya ini betul, 235.16.47.37 adalah di mana e-mel itu berasal, dan kami akan mengetahui ISP alamat IP ini, kemudian menghantar laporan penyalahgunaan kepada mereka.
Mari lihat sekiranya pelayan yang seterusnya (dan dalam kes ini terakhir) dalam rantai mengesahkan yang pertama diterima: tuntutan garisan: Diterima: dari yang tidak diketahui (HELO 38.118.142.100) (62.105.106.207) oleh mail1.infinology.com dengan SMTP; 16 Nov 2003 19:50:37 -0000 .
Oleh kerana mail1.infinology.com adalah pelayan terakhir dalam rantaian dan sememangnya pelayan "kami" kami tahu bahawa kami boleh mempercayainya. Ia telah menerima mesej daripada tuan rumah "tidak diketahui" yang mendakwa mempunyai alamat IP 38.118.132.100 (menggunakan perintah SMTP HELO ). Setakat ini, ini adalah sejajar dengan apa yang Diterima sebelum ini: garis berkata.
Sekarang mari kita lihat di mana pelayan mel kami mendapat mesej dari. Untuk mengetahui, kami melihat alamat IP dalam kurungan sebaik sebelum melalui mail1.infinology.com . Ini adalah alamat IP sambungan telah ditubuhkan dari, dan ia bukan 38.118.132.100. Tidak, 62.105.106.207 adalah tempat sampah surat dihantar dari sini.
Dengan maklumat ini, kini anda boleh mengenal pasti ISP spammer dan melaporkan e-mel yang tidak diminta kepada mereka supaya mereka dapat menendang spammer dari bersih.