Спам прекратится, когда он перестанет приносить прибыль. Спамеры увидят, как их прибыль упадет, если никто не купит у них (потому что вы даже не видите нежелательных писем). Это самый простой способ борьбы со спамом и уж точно один из лучших.
Жалоба на спам
Вы также можете повлиять на расходную часть баланса спамера. Если вы пожалуетесь провайдеру интернет-услуг (ISP) спамера, он потеряет соединение и, возможно, ему придется заплатить штраф (в зависимости от допустимой политики использования провайдером).
Поскольку спамеры знают и боятся таких сообщений, они пытаются скрыться. Вот почему найти подходящего интернет-провайдера не всегда легко. Однако есть такие инструменты, как SpamCop, которые упрощают отправку сообщений о спаме по точному адресу.
Определение источника спама
Как SpamCop находит подходящего интернет-провайдера, которому можно пожаловаться? Он внимательно изучает строки заголовка спам-сообщения. Эти заголовки содержат информацию о пути, по которому шла электронная почта.
SpamCop следует по пути до точки, из которой спамер отправил письмо. С этого момента, также известного как IP-адрес, он может определить интернет-провайдера спамера и отправить отчет в отдел злоупотреблений этого интернет-провайдера.
Давайте подробнее рассмотрим, как это работает.
Заголовок и основная часть письма
Каждое сообщение электронной почты состоит из двух частей: тела и заголовка. Заголовок похож на конверт электронной почты, содержащий адрес отправителя, получателя, тему и другую информацию. В теле есть текст и вложения.
Некоторая информация заголовка, обычно отображаемая вашей почтовой программой, включает:
- От: имя и адрес электронной почты отправителя.
- Кому: Имя и адрес электронной почты получателя.
- Date: Дата отправки сообщения.
- Тема: Строка темы.
Подделка заголовка
Фактическая доставка электронных писем не зависит ни от одного из этих заголовков. Они просто удобны.
Обычно, например, строка «От» будет отправлена на адрес отправителя, чтобы вы знали, от кого пришло сообщение, и могли быстро ответить.
Спамеры хотят, чтобы вы не могли легко ответить, и, конечно же, не хотят, чтобы вы знали, кто они такие. Вот почему они вставляют фиктивные адреса электронной почты в строки From своих нежелательных сообщений.
Полученные линии
Строка From бесполезна для определения реального источника электронной почты. Вам не нужно полагаться на это. Заголовки каждого сообщения электронной почты также содержат строки Received.
Почтовые программы обычно не отображают их, но они могут быть полезны при отслеживании спама.
Разбор полученных строк заголовка
Подобно тому, как почтовое письмо проходит через несколько почтовых отделений на пути от отправителя к получателю, электронное сообщение обрабатывается и пересылается несколькими почтовыми серверами.
Представьте, что каждое почтовое отделение ставит уникальную марку на каждое письмо. На марке будет точно указано, когда почта была получена, откуда она пришла и куда она была отправлена почтовым отделением. Если бы вы получили письмо, вы могли бы определить точный путь письма.
Именно это происходит с электронной почтой.
Полученные строки для трассировки
Когда почтовый сервер обрабатывает сообщение, он добавляет определенную строку в заголовок сообщения. Строка Received содержит имя сервера и IP-адрес машины, с которой сервер получил сообщение, а также имя почтового сервера.
Строка Received всегда находится вверху заголовка сообщения. Чтобы реконструировать путь электронного письма от отправителя к получателю, начните с самой верхней строки «Получено» и перейдите к последней строке, откуда пришло письмо.
Подделка полученной линии
Спамеры знают, что люди применяют эту процедуру, чтобы узнать свое местонахождение. Они могут вставлять поддельные строки Received, которые указывают на то, что кто-то другой отправляет сообщение, чтобы обмануть предполагаемого получателя.
Поскольку каждый почтовый сервер всегда помещает свою строку Received вверху, поддельные заголовки спамеров могут быть только внизу цепочки строк Received. Вот почему вы должны начать свой анализ сверху, а не просто определить точку, в которой письмо было отправлено из первой строки «Получено» (внизу).
Как определить поддельную полученную строку заголовка
Поддельные строки Received, вставленные спамерами, выглядят так же, как и все остальные строки Received (если они не допустили явной ошибки). Сама по себе вы не можете отличить поддельную строку Received от подлинной, и именно здесь в игру вступает одна отличительная черта строк Received. Каждый сервер отмечает, кто он и откуда получил сообщение (в виде IP-адреса).
Сравните то, что утверждает сервер, с тем, что говорит сервер, стоящий выше в цепочке. Если они не совпадают, более ранняя строка является поддельной строкой Received.
В этом случае источник электронной почты - это то, что сервер поместил сразу после поддельного сообщения Received.
Пример анализа и отслеживания спама
Теперь, когда мы знаем теоретическую основу, давайте проанализируем спам, чтобы определить его происхождение из реальной жизни.
Мы только что получили образец спама, который мы можем использовать для тренировки. Вот строки заголовка:
Получено: от неизвестного (HELO 38.118.132.100) (62.105.106.207) по почте mail1.infinology.com с SMTP; 16 ноя 2003 19:50:37 -0000 Получено: от [235.16.47.37] по 38.118.132.100 id; Воскресенье, 16 ноября 2003 г. 13:38:22 -0600 Идентификатор сообщения: От кого: "Рейнальдо Гиллиам" Ответить кому: "Рейнальдо Гиллиам" Кому: [email protected] Тема: Категория А Получите лекарства, которые вам нужны lgvkalfnqnh bbk Дата: Воскресенье, 16 ноября 2003 г., 13:38:22 GMT X-Mailer: Интернет-почтовая служба (5.5.2650.21) Версия MIME: 1.0 Тип содержимого: составной/альтернативный; X-Priority: 3 X-MSMail-Priority: Normal
Можете ли вы указать IP-адрес, с которого пришло письмо?
Отправитель и тема
Во-первых, посмотрите на подделанную строку From. Спамер хочет, чтобы это выглядело так, как будто сообщение пришло из Yahoo! Почтовый аккаунт. С помощью строки Reply-To этот адрес From направлен на то, чтобы направлять все недоставленные сообщения и гневные ответы на несуществующий адрес Yahoo! Почтовый аккаунт.
Далее Тема представляет собой любопытное скопление случайных символов. Он едва различим и предназначен для того, чтобы обмануть фильтры спама (каждое сообщение получает немного другой набор случайных символов). Тем не менее, несмотря на это, он довольно искусно создан для того, чтобы донести сообщение.
Полученные строки
Наконец, Полученные строки. Начнем с самого старого, Received: from [235.16.47.37] by 38.118.132.100 id; Вс, 16 нояб. 2003 г. 13:38:22 -06:00. В нем нет имен хостов, но есть два IP-адреса: 38.118.132.100 утверждает, что получил сообщение от 235.16.47.37. Если это верно, 235.16.47.37 - это место, где было отправлено электронное письмо, и мы узнаем, какому интернет-провайдеру принадлежит этот IP-адрес, а затем отправим им отчет о злоупотреблениях.
Давайте посмотрим, подтверждает ли следующий (и в данном случае последний) сервер в цепочке утверждения первой строки Received: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) от mail1.infinology.com с SMTP; 16 ноя 2003 19:50:37 -0000.
Поскольку mail1.infinology.com является последним сервером в цепочке и действительно «нашим» сервером, мы знаем, что можем ему доверять. Он получил сообщение от «неизвестного» хоста, утверждающего, что имеет IP-адрес 38.118.132.100 (используя команду SMTP HELO). Пока это соответствует тому, что было сказано в предыдущей строке Received.
Теперь давайте посмотрим, откуда наш почтовый сервер получил сообщение. Чтобы узнать это, посмотрите IP-адрес в скобках непосредственно перед mail1.infinology.com. Это IP-адрес, с которого было установлено соединение, а не 38.118.132.100. Нет, 62.105.106.207 - это адрес, откуда была отправлена эта нежелательная почта.
С помощью этой информации вы теперь можете идентифицировать интернет-провайдера спамера и сообщить ему о нежелательной электронной почте, чтобы выгнать спамера из сети.