ส่วนหัวของอีเมลสามารถบอกคุณเกี่ยวกับแหล่งที่มาของจดหมายขยะ

Anonim

สแปมจะสิ้นสุดลงเมื่อไม่มีผลกำไร ผู้ส่งอีเมลขยะจะเห็นผลกำไรของพวกเขาเกลือกกลิ้งถ้าไม่มีใครซื้อจากพวกเขา (เพราะคุณไม่ได้เห็นอีเมลขยะ) นี่คือวิธีที่ง่ายที่สุดในการต่อสู้กับสแปมและแน่นอนว่าเป็นสิ่งที่ดีที่สุด

ร้องเรียนเกี่ยวกับสแปม

แต่คุณสามารถส่งผลกระทบต่อด้านค่าใช้จ่ายของงบดุลของสแปมเมอร์เช่นกัน หากคุณบ่นกับผู้ให้บริการอินเทอร์เน็ต (ISP) ของสแปมเมอร์พวกเขาจะสูญเสียการเชื่อมต่อและอาจต้องเสียค่าปรับ (ขึ้นอยู่กับนโยบายการใช้งานที่ยอมรับได้ของ ISP)

เนื่องจากผู้ส่งอีเมลขยะรู้และกลัวรายงานดังกล่าวพวกเขาพยายามซ่อน นั่นเป็นเหตุผลที่การค้นหา ISP ที่เหมาะสมไม่ใช่เรื่องง่ายเสมอไป โชคดีที่มีเครื่องมือเช่น SpamCop ที่ทำให้การรายงานสแปมถูกต้องไปยังที่อยู่ด้านขวาได้ง่าย

การกำหนดแหล่งที่มาของสแปม

SpamCop หา ISP ที่เหมาะสมที่จะบ่นได้อย่างไร ใช้เวลาดูอย่างใกล้ชิดที่ส่วนหัวของข้อความสแปม ส่วนหัวเหล่านี้มีข้อมูลเกี่ยวกับเส้นทางที่อีเมลใช้

SpamCop ติดตามเส้นทางไปจนถึงจุดที่อีเมลถูกส่งมาจาก จากจุดนี้ยังทราบว่าเป็นที่อยู่ IP ซึ่งอาจเป็นผลมาจาก ISP ของสแปมเมอร์และส่งรายงานไปยังแผนกการล่วงละเมิดของ ISP นี้

ลองมาดูวิธีการทำงานนี้ดูสิ

อีเมล: ส่วนหัวและเนื้อหา

อีเมลทุกฉบับประกอบด้วยสองส่วนคือส่วนของร่างกายและส่วนหัว ส่วนหัวอาจถือเป็นซองจดหมายของข้อความโดยมีที่อยู่ของผู้ส่งผู้รับหัวเรื่องและข้อมูลอื่น ๆ เนื้อหาประกอบด้วยข้อความจริงและเอกสารแนบ

ข้อมูลส่วนหัวบางส่วนที่มักจะแสดงโดยโปรแกรมอีเมลของคุณประกอบด้วย:

  • จาก: - ชื่อและที่อยู่อีเมลของผู้ส่ง
  • ไปที่: - ชื่อและที่อยู่อีเมลของผู้รับ
  • วันที่: - วันที่ส่งข้อความ
  • เรื่อง: - บรรทัดหัวเรื่อง

หัวกระดาษปลอม

การส่งอีเมลที่แท้จริงไม่ได้ขึ้นอยู่กับส่วนหัวใด ๆ เหล่านี้พวกเขาเป็นเพียงความสะดวกสบายเท่านั้น

โดยปกติบรรทัดจาก: เช่นจะถูกส่งไปยังที่อยู่ของผู้ส่ง การทำเช่นนี้ทำให้แน่ใจได้ว่าคุณรู้จักใครจากข้อความและสามารถตอบกลับได้ง่าย

ผู้ส่งอีเมลขยะต้องการให้แน่ใจว่าคุณไม่สามารถตอบกลับได้อย่างง่ายดายและแน่นอนว่าไม่ต้องการให้คุณรู้ว่าตนเป็นใคร นั่นเป็นเหตุผลที่พวกเขาแทรกที่อยู่อีเมลปลอมในบรรทัด From: จากข้อความขยะของพวกเขา

ได้รับ: Lines

บรรทัด From: ไม่มีประโยชน์ถ้าเราต้องการกำหนดแหล่งที่มาที่แท้จริงของอีเมล โชคดีที่เราไม่จำเป็นต้องพึ่งพามัน ส่วนหัวของข้อความอีเมลทุกประเภทยังมีบรรทัดที่ได้รับ:

เหล่านี้มักไม่แสดงโดยโปรแกรมอีเมล แต่อาจเป็นประโยชน์ในการติดตามสแปม

การแยกวิเคราะห์ที่ได้รับ: Header Lines

เช่นเดียวกับจดหมายไปรษณีย์จะผ่านหมายเลขของที่ทำการไปรษณีย์ระหว่างทางจากผู้ส่งไปยังผู้รับข้อความอีเมลจะถูกประมวลผลและส่งต่อโดยเซิร์ฟเวอร์อีเมลหลาย

ลองจินตนาการถึงที่ทำการไปรษณีย์ทุกแห่งวางแสตมป์พิเศษไว้ในจดหมายแต่ละฉบับ แสตมป์จะบอกว่าเมื่อได้รับหนังสือที่มันมาจากที่ไหนและที่มันถูกส่งต่อไปโดยที่ทำการไปรษณีย์ ถ้าคุณได้รับจดหมายคุณสามารถกำหนดเส้นทางที่ถูกต้องตามตัวอักษร

นี่คือสิ่งที่เกิดขึ้นกับอีเมล

ได้รับ: เส้นสำหรับการติดตาม

ในฐานะที่เป็นเซิร์ฟเวอร์จดหมายประมวลผลข้อความจะเพิ่มบรรทัดพิเศษบรรทัดที่ได้รับ: ไปยังส่วนหัวของข้อความ บรรทัดที่ได้รับ: บรรทัดประกอบด้วยสิ่งที่น่าสนใจที่สุด

  • ชื่อเซิร์ฟเวอร์และที่อยู่ IP ของเครื่องเซิร์ฟเวอร์ที่ได้รับข้อความจากและ
  • ชื่อของเมลเซิร์ฟเวอร์เอง

บรรทัดที่ได้รับ: ถูกแทรกไว้เสมอที่ด้านบนของส่วนหัวของข้อความ ถ้าเราต้องการสร้างการเดินทางอีเมลจากผู้ส่งไปยังผู้รับเราจะเริ่มต้นจากบรรทัดที่ได้รับ: line (ทำไมเราทำเช่นนี้จะปรากฏชัดในช่วงเวลาหนึ่ง) และเดินไปตามทางจนกว่าเราจะมาถึงจุดสุดท้ายซึ่งเป็นที่ที่ อีเมลมา

ได้รับ: Line Forging

ผู้ส่งอีเมลขยะทราบว่าเราจะใช้ขั้นตอนนี้เพื่อค้นหาที่อยู่ของเขา เพื่อหลอกให้เราพวกเขาอาจแทรกปลอมแปลงที่ได้รับ: บรรทัดที่ชี้ไปที่คนอื่นส่งข้อความ

เนื่องจากเซิร์ฟเวอร์อีเมลทุกเครื่องจะรับรายการที่ได้รับไว้เสมอ: บรรทัดที่ด้านบนส่วนหัวที่ปลอมแปลงโดยผู้ส่งสแปมจะอยู่ที่ด้านล่างของห่วงโซ่สายที่ได้รับ: นี่คือเหตุผลที่เราเริ่มต้นการวิเคราะห์ของเราที่ด้านบนและไม่ได้มาจากจุดที่อีเมลมาจากบรรทัดแรกที่ได้รับ: บรรทัดแรก (ที่ด้านล่าง)

วิธีการบอกรับฟอร์จที่ได้รับ: Header Line

การปลอมแปลงที่ได้รับ: บรรทัดที่แทรกโดยผู้ส่งสแปมเมอร์เพื่อหลอกเราจะมีลักษณะเหมือนบรรทัดอื่น ๆ ที่ได้รับ: เว้นแต่ว่าจะมีความผิดพลาดที่เห็นได้ชัดแน่นอน) ด้วยตัวคุณเองคุณจะไม่สามารถบอกได้ว่าได้รับที่ได้รับ: สายจากของแท้

นี่คือจุดเด่นของ Received: lines ที่เข้ามาเล่น ดังที่เราได้กล่าวมาแล้วข้างต้นเซิร์ฟเวอร์ทุกเครื่องจะไม่เพียง แต่ระบุว่าเป็นใคร แต่เป็นที่ที่ได้รับข้อความจาก (ในแบบฟอร์มที่อยู่ IP)

เราเพียง แต่เปรียบเทียบว่าเซิร์ฟเวอร์ใดที่อ้างว่าเป็นเซิร์ฟเวอร์เดียวกับที่เซิร์ฟเวอร์กล่าวว่าเป็นจริง หากทั้งสองไม่ตรงกันแถวที่ได้รับก่อนหน้านี้: ถูกปลอมแปลง

ในกรณีนี้ต้นกำเนิดของอีเมลคือสิ่งที่เซิร์ฟเวอร์ได้รับทันทีหลังจากที่ได้รับที่ได้รับ: บรรทัดได้กล่าวเกี่ยวกับผู้ที่ได้รับข้อความจาก

คุณพร้อมสำหรับตัวอย่างหรือไม่?

ตัวอย่างจดหมายสแปมที่วิเคราะห์และตรวจสอบ

ตอนนี้เราทราบข้อมูลเบื้องต้นเกี่ยวกับทฤษฎีแล้วเราจะวิเคราะห์อีเมลขยะเพื่อระบุต้นกำเนิดของข้อมูลในชีวิตจริง

เราเพิ่งได้รับสแปมที่เป็นตัวอย่างเพื่อให้เราสามารถใช้เพื่อการออกกำลังกายได้ต่อไปนี้เป็นบรรทัดแรก:

ได้รับ: จากที่ไม่รู้จัก (HELO 38.118.132.100) (62.105.106.207)โดย mail1.infinology.com กับ SMTP; 16 พฤศจิกายน 2003 19:50:37 -0000ได้รับ: จาก 235.16.47.37 โดย 38.118.132.100 id; อาทิตย์ 16 พ.ย. 2003 13:38:22 -0600ID ข้อความ:จาก: "Reinaldo Gilliam"ตอบกลับ: "Reinaldo Gilliam"ถึง: [email protected]เรื่อง: หมวด A รับ meds u need lgvkalfnqnh bbkวันที่: วันอาทิตย์ 16 พ.ย. 2003 13:38:22 GMTX-Mailer: บริการจดหมายทางอินเทอร์เน็ต (5.5.2650.21)MIME เวอร์ชัน: 1.0Content-Type: multipart / alternative;ขอบเขต = "9B_9 .._ C_2EA.0DD_23"ลำดับความสำคัญ X: 3X-MSMail-Priority: ปกติ

คุณสามารถบอกที่อยู่ IP ที่อีเมลมาได้หรือไม่?

ผู้ส่งและหัวเรื่อง

อันดับแรกลองดูที่ - ปลอมแปลง - จาก: บรรทัด ผู้ส่งสแปมต้องการให้ดูราวกับว่าข้อความถูกส่งจาก Yahoo! บัญชีจดหมาย พร้อมกับ Reply-To: line นี้ที่อยู่: โดยมีวัตถุประสงค์เพื่อกำกับเนื้อหาที่สะท้อนกลับทั้งหมดและการตอบโต้ที่โกรธต่อ Yahoo! ที่ไม่มีอยู่ บัญชีจดหมาย

ถัดไปหัวข้อ: เป็นการรวมกันของตัวอักษรแบบสุ่ม มันแทบจะอ่านไม่ออกและได้รับการออกแบบมาเพื่อหลอกลวงตัวกรองสแปม (ทุกข้อความจะมีชุดอักขระสุ่มแตกต่างกันเล็กน้อย) แต่ก็ยังมีฝีมือที่สร้างขึ้นมาเพื่อให้ได้ข้อความทั่วทั้งๆนี้

ได้รับ: เส้น

ท้ายสุดสายที่ได้รับ: เรามาเริ่มกันที่เก่าแก่ที่สุด, ได้รับ: จาก 235.16.47.37 โดย 38.118.132.100 id; อาทิตย์ 16 พ.ย. 2003 13:38:22 -0600 . ไม่มีชื่อโฮสต์ใน แต่ที่อยู่ IP สองแห่ง: 38.118.132.100 อ้างว่าได้รับข้อความจาก 235.16.47.37 ถ้าถูกต้อง 235.16.47.37 คือที่มาของอีเมลและเราจะทราบว่า ISP ซึ่งเป็นที่อยู่ IP นี้คืออะไรจากนั้นส่งรายงานการละเมิดไปให้พวกเขา

ลองดูว่าเซิร์ฟเวอร์ต่อไป (และในกรณีนี้เป็นครั้งสุดท้าย) ในห่วงโซ่ยืนยันคำเรียกร้องที่ได้รับครั้งแรก: บรรทัด: ได้รับ: จาก unknown (HELO 38.118.142.100) (62.105.106.207) โดย mail1.infinology.com กับ SMTP; 16 พฤศจิกายน 2003 19:50:37 -0000 .

เนื่องจาก mail1.infinology.com เป็นเซิร์ฟเวอร์ตัวสุดท้ายในเครือข่ายและเซิร์ฟเวอร์ของ "our" ของเราจึงเป็นที่เชื่อถือได้ ได้รับข้อความจากโฮสต์ "ไม่รู้จัก" ซึ่งอ้างว่ามีที่อยู่ IP 38.118.132.100 (ใช้คำสั่ง SMTP HELO) จนถึงปัจจุบันนี้เป็นไปตามที่ได้รับก่อนหน้านี้: บรรทัดกล่าวว่า

ตอนนี้ขอดูว่าเซิร์ฟเวอร์อีเมลของเราได้รับข้อความจากที่ใด หากต้องการดูเราจะดูที่อยู่ IP ในวงเล็บก่อนหน้านี้ โดย mail1.infinology.com . นี่เป็นที่อยู่ IP ที่มีการเชื่อมต่อจากและไม่ใช่ 38.118.132.100 ไม่มี 62.105.106.207 คือที่ที่มีการจัดส่งอีเมลขยะประเภทนี้

ด้วยข้อมูลนี้คุณสามารถระบุ ISP ของสแปมเมอร์และรายงานอีเมลที่ไม่พึงประสงค์แก่พวกเขาเพื่อให้พวกเขาสามารถคัดลอก spammer ออกจากอินเทอร์เน็ตได้

ตัวเลือกของบรรณาธิการ