E-mail-headere kan fortælle dig om oprindelsen af spam

Indholdsfortegnelse:

E-mail-headere kan fortælle dig om oprindelsen af spam
E-mail-headere kan fortælle dig om oprindelsen af spam
Anonim

Spam slutter, når det ikke længere er rentabelt. Spammere vil se deres overskud falde, hvis ingen køber fra dem (fordi du ikke engang ser uønskede e-mails). Dette er den nemmeste måde at bekæmpe spam på, og bestemt en af de bedste.

Klager over spam

Du kan også påvirke udgiftssiden af en spammers balance. Hvis du klager til spammerens internetudbyder (ISP), vil de miste deres forbindelse og muligvis betale en bøde (afhængigt af internetudbyderens acceptable brugspolitik).

Da spammere kender og frygter sådanne rapporter, forsøger de at gemme sig. Derfor er det ikke altid nemt at finde den rigtige internetudbyder. Der er dog værktøjer som SpamCop, der forenkler rapportering af spam korrekt til den nøjagtige adresse.

Image
Image

Beslutning af kilden til spam

Hvordan finder SpamCop den rigtige internetudbyder at klage til? Den tager et nærmere kig på spammeddelelsens overskriftslinjer. Disse overskrifter indeholder oplysninger om stien, en e-mail tog.

SpamCop følger stien indtil det punkt, hvorfra spammeren sendte e-mailen. Fra dette tidspunkt, også kendt som en IP-adresse, kan den udlede spammerens internetudbyder og sende rapporten til denne internetudbyders misbrugsafdeling.

Lad os se nærmere på, hvordan det fungerer.

E-mailhoved og brødtekst

Hver e-mail-meddelelse består af to dele, brødteksten og overskriften. Overskriften er ligesom e-mail-konvolutten, der indeholder afsenderens adresse, modtageren, emnet og andre oplysninger. Brødteksten har teksten og vedhæftede filer.

Nogle overskriftsoplysninger, der norm alt vises af dit e-mail-program, omfatter:

  • Fra: Afsenderens navn og e-mailadresse.
  • To: Modtagerens navn og e-mailadresse.
  • Dato: Datoen, hvor beskeden blev sendt.
  • Subject: Emnelinjen.

Smedning af overskrifter

Den faktiske levering af e-mails afhænger ikke af nogen af disse overskrifter. De er bare praktiske.

Norm alt vil Fra-linjen f.eks. blive sendt til afsenderens adresse, så du ved, hvem beskeden er fra og kan svare hurtigt.

Spammere vil sikre sig, at du ikke kan svare let, og vil bestemt ikke have, at du skal vide, hvem de er. Det er derfor, de indsætter fiktive e-mail-adresser i Fra-linjerne i deres uønskede meddelelser.

Modtaget linjer

Fra-linjen er ubrugelig til at bestemme den reelle kilde til en e-mail. Du behøver ikke stole på det. Overskrifterne på hver e-mail-meddelelse indeholder også modtagne linjer.

E-mail-programmer viser norm alt ikke disse, men de kan være gavnlige til at spore spam.

Parsing modtagne header-linjer

Ligesom et postbrev vil gå gennem flere posthuse på vej fra afsender til modtager, behandles og videresendes en e-mail-besked af flere mailservere.

Forestil dig, at hvert posthus sætter et unikt stempel på hvert brev. Frimærket ville sige præcis, hvornår posten blev modtaget, hvor den kom fra, og hvor den blev sendt til af posthuset. Hvis du fik bogstavet, kunne du bestemme den nøjagtige vej, som bogstavet tager.

Dette er præcis, hvad der sker med e-mail.

Modtaget linjer til sporing

Når en mailserver behandler en besked, tilføjer den en bestemt linje til beskedens header. Linjen Modtaget indeholder servernavnet og IP-adressen på den maskine, serveren modtog beskeden fra, og navnet på mailserveren.

Den modtagne linje er altid øverst i meddelelseshovedet. For at rekonstruere en e-mails rejse fra afsender til en modtager skal du starte ved den øverste Modtagne linje og gå ned til den sidste, hvor e-mailen stammer fra.

Received Line Forging

Spammere ved, at folk anvender denne procedure for at afsløre deres opholdssted. De kan indsætte forfalskede modtagne linjer, der peger på, at en anden sender beskeden for at narre den påtænkte modtager.

Da hver mailserver altid vil placere sin modtagne linje øverst, kan spammernes forfalskede overskrifter kun være i bunden af kæden med modtaget linje. Det er derfor, du bør starte din analyse øverst og ikke kun udlede det punkt, hvor en e-mail stammer fra den første modtagne linje (nederst).

Sådan fortæller man en forfalsket modtaget headerlinje

De forfalskede modtagne linjer indsat af spammere ligner alle de andre modtagne linjer (medmindre de laver en åbenlys fejl). I sig selv kan du ikke skelne en forfalsket modtagne linje fra en ægte, hvilket er her, et særskilt træk ved modtagne linjer kommer ind i billedet. Hver server noterer, hvem den er, og hvor den fik beskeden fra (i IP-adresseform).

Sammenlign, hvad en server hævder at være, med det, som serveren et hak op i kæden siger, den er. Hvis de to ikke stemmer overens, er den tidligere en forfalsket modtaget linje.

I dette tilfælde er e-mailens oprindelse, hvad serveren placerede umiddelbart efter det forfalskede Modtaget siger.

Eksempel på spam analyseret og sporet

Nu hvor vi kender det teoretiske grundlag, lad os analysere en uønsket e-mail for at identificere dens oprindelse i det virkelige liv.

Vi har lige modtaget et eksemplarisk stykke spam, som vi kan bruge til træning. Her er overskriftslinjerne:

Modtaget: fra ukendt (HELO 38.118.132.100) (62.105.106.207) af mail1.infinology.com med SMTP; 16 Nov 2003 19:50:37 -0000 Modtaget: fra [235.16.47.37] af 38.118.132.100 id; Søn, 16. nov. 2003 13:38:22 -0600 Besked-ID: Fra: "Reinaldo Gilliam" Svar-Til: "Reinaldo Gilliam" Til: [email protected] Emne: Kategori A Få den medicin, du har brug for lgvkalfnqnh bbk Dato: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-version: 1.0 Content-Type: multipart/ alternative; boundary="9B_9._C_2EA.0DD_23" X-Priority: 3 X-MSMail-Priority: Normal

Kan du fortælle IP-adressen, hvor e-mailen stammer fra?

Afsender og emne

Kig først på den smedede Fra-linje. Spammeren ønsker at få det til at se ud som om beskeden kom fra en Yahoo! Mail-konto. Med svar-til-linjen sigter denne fra-adresse på at dirigere alle hoppende beskeder og vrede svar til et ikke-eksisterende Yahoo! Mailkonto.

Dernæst er emnet en mærkelig ophobning af tilfældige tegn. Den er knap læselig og designet til at narre spamfiltre (hver besked får et lidt anderledes sæt af tilfældige tegn). Alligevel er den også ret dygtigt udformet til at få budskabet igennem på trods af dette.

De modtagne linjer

Endelig de modtagne linjer. Lad os begynde med den ældste, Modtaget: fra [235.16.47.37] af 38.118.132.100 id; Søn, 16. nov. 2003 13:38:22 -0600. Der er ingen værtsnavne i den, men to IP-adresser: 38.118.132.100 hævder at have modtaget beskeden fra 235.16.47.37. Hvis dette er korrekt, er 235.16.47.37, hvor e-mailen stammer fra, og vi ville finde ud af, hvilken internetudbyder denne IP-adresse tilhører, og derefter sende en misbrugsrapport til dem.

Lad os se, om den næste (og i dette tilfælde sidste) server i kæden bekræfter den første modtagne linjes påstande: Modtaget: fra ukendt (HELO 38.118.142.100) (62.105.106.207) af mail1.infinology.com med SMTP; 16. nov. 2003 19:50:37 -0000.

Da mail1.infinology.com er den sidste server i kæden og faktisk "vores" server, ved vi, at vi kan stole på den. Den har modtaget beskeden fra en "ukendt" vært, der hævder at have IP-adressen 38.118.132.100 (ved hjælp af SMTP HELO-kommandoen). Indtil videre er dette på linje med, hvad den tidligere modtagne linje sagde.

Lad os nu se, hvor vores mailserver fik beskeden fra. For at finde ud af det, se IP-adressen i parentes umiddelbart før af mail1.infinology.com. Dette er den IP-adresse, forbindelsen blev etableret fra, og den er ikke 38.118.132.100. Nej, 62.105.106.207 er hvor dette stykke junk-mail blev sendt fra.

Med disse oplysninger kan du nu identificere spammerens internetudbyder og rapportere den uopfordrede e-mail til dem for at sparke spammeren af nettet.

Anbefalede: