Spam zal eindigen als het niet langer winstgevend is. Spammers zullen hun winst zien dalen als niemand iets van hen koopt (omdat u de ongewenste e-mails niet eens ziet). Dit is de gemakkelijkste manier om spam te bestrijden, en zeker een van de beste.
Klagen over spam
Maar u kunt ook de uitgavenkant van de balans van een spammer beïnvloeden. Als u een klacht indient bij de internetprovider van de spammer (ISP), verliezen ze hun verbinding en moeten ze mogelijk een boete betalen (afhankelijk van het beleid van acceptabel gebruik van de internetprovider).
Omdat spammers dergelijke meldingen kennen en vrezen, proberen ze zich te verbergen. Dat is de reden waarom het vinden van de juiste ISP niet altijd gemakkelijk is. Gelukkig zijn er tools zoals SpamCop die het melden van spam op het juiste adres eenvoudig maken.
Bepaling van de bron van spam
Hoe vindt SpamCop de juiste internetprovider om te klagen? Het bekijkt de kopregels van het spambericht van dichtbij. Deze koppen bevatten informatie over het pad dat een e-mail heeft afgelegd.
SpamCop volgt het pad tot het punt waar de e-mail vandaan werd gestuurd. Vanaf dit punt, ook bekend als een IP-adres, kan het de ISP van de spammer afleiden en het rapport naar de afdeling misbruik van deze ISP sturen.
Laten we eens kijken hoe dit werkt.
E-mail: koptekst en hoofdtekst
Elk e-mailbericht bestaat uit twee delen, het hoofdgedeelte en de kop. De kop kan worden gezien als de envelop van het bericht, die het adres van de afzender, de ontvanger, het onderwerp en andere informatie bevat. De hoofdtekst bevat de daadwerkelijke tekst en de bijlagen.
Sommige header-informatie die gewoonlijk wordt weergegeven door uw e-mailprogramma, omvat:
- Van: - De naam en het e-mailadres van de afzender.
- Naar: - De naam en het e-mailadres van de ontvanger.
- Datum: - De datum waarop het bericht is verzonden.
- Onderwerpen: - De onderwerpregel.
Header smeden
De daadwerkelijke levering van e-mails is niet afhankelijk van een van deze headers, ze zijn gewoon gemak.
Meestal wordt de regel Van: bijvoorbeeld verzonden naar het adres van de afzender. Dit zorgt ervoor dat u weet van wie het bericht afkomstig is en dat u gemakkelijk kunt antwoorden.
Spammers willen ervoor zorgen dat u niet gemakkelijk kunt antwoorden en willen zeker niet dat u weet wie ze zijn. Dat is waarom ze fictieve e-mailadressen invoegen in de From: -regels van hun ongewenste berichten.
Ontvangen: lijnen
Dus de regel Van: is nutteloos als we de echte bron van een e-mail willen bepalen. Gelukkig hoeven we er niet op te vertrouwen. De kopteksten van elk e-mailbericht bevatten ook Ontvangen: regels.
Deze worden meestal niet weergegeven door e-mailprogramma's, maar ze kunnen zeer nuttig zijn bij het traceren van spam.
Parsing Received: Header Lines
Net zoals een brief per post een aantal postkantoren doorloopt op weg van afzender naar ontvanger, wordt een e-mailbericht verwerkt en doorgestuurd door verschillende e-mailservers.
Stel je voor dat elk postkantoor een speciale stempel op elke brief zet. De postzegel zou precies zeggen wanneer de brief werd ontvangen, waar deze vandaan kwam en waarheen deze werd doorgestuurd door het postkantoor. Als je de brief hebt, kun je het exacte pad bepalen dat de brief maakt.
Dit is precies wat er gebeurt met e-mail.
Received: Lines for Tracing
Terwijl een mailserver een bericht verwerkt, voegt het een speciale regel toe, de Ontvangen: regel naar de kop van het bericht. De regel Received: bevat, interessant genoeg,
- de servernaam en het IP-adres van de machine waarop de server het bericht heeft ontvangen van en
- de naam van de mailserver zelf.
De regel Ontvangen: wordt altijd bovenaan de berichtkoppen ingevoegd. Als we de reis van een e-mail van afzender naar ontvanger willen reconstrueren, beginnen we ook op de bovenste regel Ontvangen: (waarom we dit doen, wordt zo meteen duidelijk) en lopen we naar beneden totdat we bij de laatste zijn aangekomen, dat is waar de e-mail is ontstaan.
Ontvangen: smeden van regels
Spammers weten dat we precies deze procedure zullen toepassen om hun verblijfplaats te achterhalen. Om ons voor de gek te houden, kunnen ze valse Received: regels invoegen die naar iemand anders wijzen die het bericht verzendt.
Omdat elke mailserver altijd de regel Ontvangen: bovenaan plaatst, kunnen de vervalste berichtkoppen van de spammers zich alleen onderaan de regelketen Ontvangen: bevinden. Dit is de reden waarom we onze analyse bovenaan beginnen en niet alleen het punt afleiden waarop een e-mail afkomstig is van de eerste regel Received: (onderaan).
Hoe een vervalsing ontvangen te melden: kopregel
De vervalste Ontvangen: regels die door spammers zijn ingevoegd om ons voor de gek te houden, zien eruit als alle andere Ontvangen: regels (tenzij ze natuurlijk een duidelijke fout maken). Op zich kun je het niet zeggen aan een vervalste ontvangen: regel van een echte.
Dit is waar een apart kenmerk van Received: lines in het spel komt. Zoals we hierboven hebben opgemerkt, zal elke server niet alleen zien wie het is, maar ook waar het bericht vandaan kwam (in IP-adresformulier).
We vergelijken simpelweg met wie een server beweert te zijn met wat de server die op de hoogte is in de keten zegt dat het echt zo is. Als de twee niet overeenkomen, is de eerdere regel Received: vervalst.
In dit geval is de oorsprong van de e-mail wat de server onmiddellijk na de vervalste ontvangen: regel heeft te zeggen over van wie het bericht afkomstig is.
Ben je klaar voor een voorbeeld?
Voorbeeld Spam geanalyseerd en getraceerd
Nu we de theoretische onderbouwing kennen, laten we een ongewenste e-mail analyseren om de oorspronkelijke werken in het echte leven te identificeren.
We hebben zojuist een voorbeeldige spam ontvangen die we kunnen gebruiken voor oefeningen.Hier zijn de kopregels:
Ontvangen: van onbekend (HELO 38.118.132.100) (62.105.106.207)door mail1.infinology.com met SMTP; 16 november 2003 19:50:37 -0000Ontvangen: van 235.16.47.37 door 38.118.132.100 id; Zo, 16 nov 2003 13:38:22 -0600Message-ID:Van: "Reinaldo Gilliam"Antwoord aan: "Reinaldo Gilliam"Aan: [email protected]Onderwerp: Categorie A Haal de medicijnen op die je nodig hebt lgvkalfnqnh bbkDatum: Zon, 16 Nov 2003 13:38:22 GMTX-Mailer: Internet Mail Service (5.5.2650.21)MIME-versie: 1.0Inhoudstype: multipart / alternatief;begrenzing = "9B_9 .._ C_2EA.0DD_23"X-prioriteit: 3X-MSMail-Priority: Normaal
Kun je het IP-adres vertellen waar de e-mail vandaan komt?
Afzender en onderwerp
Kijk eerst eens naar de - vervalste - Van: regel. De spammer wil het laten lijken alsof het bericht van een Yahoo! Mail account. Samen met de Reply-To: -regel is dit From: -adres erop gericht alle stuiterende berichten en boze antwoorden op een niet-bestaande Yahoo! Mail account.
Vervolgens is het onderwerp: een merkwaardige agglomeratie van willekeurige karakters. Het is nauwelijks leesbaar en duidelijk ontworpen om spamfilters voor de gek te houden (elk bericht krijgt een iets andere reeks willekeurige tekens), maar het is ook behoorlijk vakkundig gemaakt om desondanks de boodschap over te brengen.
De ontvangen: lijnen
Eindelijk de regels Ontvangen:. Laten we beginnen met de oudste, Ontvangen: van 235.16.47.37 door 38.118.132.100 id; Zo, 16 nov 2003 13:38:22 -0600 . Er staan geen hostnamen in, maar twee IP-adressen: 38.118.132.100 beweren het bericht te hebben ontvangen van 235.16.47.37. Als dit correct is, is 235.16.47.37 de plaats waar de e-mail vandaan komt, en komen we te weten tot welke ISP dit IP-adres behoort, en sturen we vervolgens een misbruikrapport naar hen.
Laten we eens kijken of de volgende (en in dit geval laatste) server in de keten de claims van de eerste Received: -lijn bevestigt: Ontvangen: van onbekend (HELO 38.118.142.100) (62.105.106.207) door mail1.infinology.com met SMTP; 16 november 2003 19:50:37 -0000 .
Aangezien mail1.infinology.com de laatste server in de keten is en inderdaad "onze" server, weten we dat we erop kunnen vertrouwen. Het heeft het bericht ontvangen van een "onbekende" host die beweerde het IP-adres 38.118.132.100 te hebben (met behulp van de SMTP HELO-opdracht). Tot nu toe is dit in overeenstemming met wat de vorige Received: -regel zei.
Laten we nu eens kijken waar onze mailserver het bericht vandaan heeft gehaald. Om daar achter te komen, bekijken we het IP-adres direct tussen haakjes tussen haakjes door mail1.infinology.com . Dit is het IP-adres waartoe de verbinding is gemaakt en het is geen 38.118.132.100. Nee, 62.105.106.207 is waar dit stuk ongewenste e-mail vandaan kwam.
Met deze informatie kunt u nu de ISP van de spammer identificeren en de ongevraagde e-mail aan hen melden zodat ze de spammer van het net kunnen schoppen.
