El correu brossa acabarà quan ja no sigui rendible. Els spammers veuran que els seus beneficis cauen si ningú els compra (perquè ni tan sols veieu els missatges de correu brossa). Aquesta és la manera més fàcil de lluitar contra el correu brossa, i sens dubte un dels millors.
Queixant-se sobre el correu brossa
Però també pot afectar la part de despeses del balanç d'un spammer. Si es queixa al proveïdor de serveis d'Internet (ISP) del spammer, perdran la seva connexió i potser haureu de pagar una multa (segons la política d'ús acceptable de l'ISP).
Com que els spammers saben i temen aquests informes, intenten amagar-se. Per això, trobar l'ISP adequat no sempre és fàcil. Afortunadament, hi ha eines com ara SpamCop que fan que l'spam correctament es comuniqui correctament a l'adreça correcta.
Determinació de la font d'spam
Com SpamCop troba l'ISP adequat per reclamar? Es fa un cop d'ull a les línies de capçalera del missatge de correu brossa . Aquests encapçalaments contenen informació sobre la ruta que va prendre un correu electrònic.
SpamCop segueix la ruta fins al punt en què s'ha enviat el correu electrònic. A partir d'aquest punt, també conegut com una adreça IP , pot derivar l' ISP del spammer i enviar l'informe al departament d'abús d'aquest ISP.
Anem a veure de prop com funciona això.
Correu electrònic: capçalera i cos
Cada missatge de correu electrònic està format per dues parts, el cos i el capçalera. Es pot considerar l'encapçalament com a sobre del missatge, que conté l'adreça del remitent, el destinatari, l'assumpte i altra informació. El cos conté el text actual i els fitxers adjunts.
Alguna informació de capçalera generalment mostrada pel vostre programa de correu electrònic inclou:
- Des de: - Nom i adreça de correu electrònic del remitent .
- Per: - Nom i adreça electrònica del destinatari.
- Data: - La data en què s'ha enviat el missatge.
- Assumpte: - La línia de tema .
Encapçalament de forja
El lliurament efectiu de correus electrònics no depèn d'cap d'aquests encapçalaments, sinó que només és convenient.
En general, la línia From: per exemple, s'establirà a l'adreça del remitent. Això assegura que sàpigues qui és el missatge i pot respondre fàcilment.
Els spammers volen assegurar-se que no podeu respondre fàcilment i, sens dubte, no volen que sàpiguen qui són. És per això que insereixen adreces de correu fictícies a les línies From: dels seus missatges no desitjats.
Rebut: línies
Així, la línia From: inútil si volem determinar la veritable font d'un correu electrònic. Afortunadament, no hem de confiar en això. Les capçaleres de cada missatge de correu electrònic també contenen línies Received:.
Normalment, aquests no es mostren mitjançant programes de correu electrònic, però poden ser molt útils en el seguiment del correu brossa.
Parsing Received: línies de capçalera
Igual que una carta postal passarà per diverses oficines de correus des del remitent fins al destinatari, diversos missatges de correu electrònic són processats i enviats per diversos servidors de correu.
Imagineu totes les oficines de correus posant un segell especial a cada carta. El segell diria exactament quan es va rebre la carta, d'on venia i on va ser reenviada per l'oficina de correus. Si teniu la carta, podeu determinar la ruta exacta que heu pres la lletra.
Això és exactament el que passa amb el correu electrònic.
Rebut: línies per al seguiment
Com un servidor de correu processa un missatge, afegeix una línia especial, la línia Received: al encapçalament del missatge. La línia Received: conté, el més interessant,
- el nom del servidor i l' adreça IP de la màquina que el servidor ha rebut el missatge des de i
- el nom del propi servidor de correu .
La línia Rebuda: sempre s'insereix a la part superior dels encapçalaments del missatge. Si volem reconstruir el viatge d'un correu electrònic des del remitent fins al destinatari, també començarem a la màxima línia rebuda: (per què ho farem en un moment) i caminarem fins que arribem a l'últim, on és on el correu electrònic es va originar.
Rebut: forja de línia
Els spammers saben que aplicarem exactament aquest procediment per descobrir el seu parador. Per enganyar-nos, poden inserir forjat Received: línies que apunten a algú més, enviant el missatge.
Atès que cada servidor de correu sempre posarà la línia Received: a la part superior, els encapçalaments forjats dels spammers només es poden trobar al final de la cadena de línies Received:. Per aquest motiu, comencem la nostra anàlisi a la part superior i no només obtenim el punt en què es va originar un correu electrònic a partir de la primera línia Rebuda: a la part inferior.
Com explicar un forjat rebut: línia de capçalera
El forjat rebut: les línies inserides pels spammers per enganyar-nos tindran com totes les altres línies rebudes: a menys que cometin un error evident, és clar). Per si mateix, no es pot dir una línia forjada rebuda: d'una veritable.
Aquí és on apareix una característica diferent de les línies Received: lines. Com ja hem assenyalat anteriorment, cada servidor no només admetrà qui és sinó també on va rebre el missatge (en el formulari d'adreça IP).
Simplement comprovem que un servidor afirma estar amb el que el servidor que apareix a la cadena diu que és realment. Si els dos no coincideixen, s'ha falsificat la línia anterior Received:
En aquest cas, l'origen del correu electrònic és el que el servidor immediatament després de la forjat Received: línia ha de dir sobre qui va rebre el missatge.
Estàs preparat per a un exemple?
Exemple de correu brossa analitzat i traçat
Ara que coneixem el suport teòric, vegem com analitzar un correu electrònic no desitjat per identificar els seus treballs d'origen a la vida real.
Acabem de rebre un exemplar de correu brossa que podem utilitzar per fer exercici. Aquí teniu les línies de capçalera:
Rebut: des de desconegut (HELO 38.118.132.100) (62.105.106.207)
per mail1.infinology.com amb SMTP; 16 nov 2003 19:50:37 -0000
Rebut: de [235.16.47.37] en 38.118.132.100 id; Diumenge, 16 de novembre de 2003 13:38:22 -0600
Identificador del missatge:
De: "Reinaldo Gilliam"
Reply-To: "Reinaldo Gilliam"
Per a: ladedu@ladedu.com
Assumpte: Categoria A Obteniu les meds o necessiteu lgvkalfnqnh bbk
Data: dg., 16 de novembre de 2003 13:38:22 GMT
X-Mailer: Servei de correu d'Internet (5.5.2650.21)
Versió MIME: 1.0
Tipus de contingut: multipart / alternativa;
boundary = "9B_9 .._ C_2EA.0DD_23"
Prioritat X: 3
Prioritat X-MSMail: Normal
Es pot dir l'adreça IP on es va originar el correu electrònic?
Remitent i assumpte
En primer lloc, feu un cop d'ull a la - forjat - De: línia. El spammer vol fer que sembli que el missatge s'ha enviat des d'un Yahoo! Compte de correu. Juntament amb la línia Reply-To: aquesta adreça From: té com a objectiu dirigir tots els missatges de rebot i respostes enutjades a un Yahoo! no existent. Compte de correu.
A continuació, l'assumpte: és una curiosa aglomeració de caràcters aleatoris. És poc llegible i, òbviament, dissenyat per enganyar els filtres de correu brossa (cada missatge rep un conjunt de caràcters aleatoris lleugerament diferent), però també està bastant habilitat per fer arribar el missatge malgrat això.
El rebut: línies
Finalment, les línies Received:. Comencem amb el més antic, rebut: de [235.16.47.37] en 38.118.132.100 id; Diumenge, 16 de novembre de 2003 13:38:22 -0600 . No hi ha noms d'amfitrió en ell, però dues adreces IP: 38.118.132.100 afirma haver rebut el missatge de 235.16.47.37. Si això és correcte, 235.16.47.37 és el lloc on es va originar el correu electrònic i vam saber quina ISP pertany a aquesta adreça IP i, a continuació, enviar un informe d'abús .
Vegem si el següent (i en aquest cas el darrer) servidor de la cadena confirma les primeres reclamacions de la línia Received: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) per mail1.infinology.com amb SMTP; 16 nov 2003 19:50:37 -0000 .
Ja que mail1.infinology.com és l'últim servidor de la cadena i, de fet, el nostre "servidor" sabem que podem confiar en ell. Ha rebut el missatge d'un amfitrió "desconegut" que afirmava tenir l'adreça IP 38.118.132.100 (utilitzant la comanda SMTP HELO ). Fins ara, això està en línia amb el que va dir la línia anterior Received:
Ara anem a veure en què el nostre servidor de correu ha rebut el missatge. Per esbrinar, fem una ullada a l'adreça IP entre claudàtors immediatament abans per mail1.infinology.com . Aquesta és l'adreça IP que estableix la connexió, i no és 38.118.132.100. No, 62.105.106.207 és on s'ha enviat aquesta peça de correu brossa.
Amb aquesta informació, ara podeu identificar l'ISP de l'agent de correu brossa i informar-ne l'adreça electrònica no sol·licitada perquè pugueu expulsar el correu brossa fora de la xarxa.