Spam upphör när det inte längre är lönsamt. Spammare kommer att se deras vinster falla om ingen köper från dem (eftersom du inte ens ser skräpposten). Det här är det enklaste sättet att bekämpa spam, och definitivt ett av de bästa.
Klaga på skräppost
Du kan också påverka kostnadssidan för en spammers balansräkning. Om du klagar till spammarens internetleverantör (ISP), kommer de att förlora sin anslutning och kan behöva betala böter (beroende på internetleverantörens policy för acceptabla användning).
Eftersom spammare känner till och fruktar sådana rapporter försöker de gömma sig. Det är därför det inte alltid är lätt att hitta rätt ISP. Det finns dock verktyg som SpamCop som förenklar att rapportera skräppost korrekt till korrekt adress.
Bestämma källan till skräppost
Hur hittar SpamCop rätt internetleverantör att klaga till? Den tar en närmare titt på spammeddelandets rubrikrader. Dessa rubriker innehåller information om vägen ett e-postmeddelande tog.
SpamCop följer sökvägen till den punkt från vilken spammaren skickade e-postmeddelandet. Från denna punkt, även känd som en IP-adress, kan den härleda spammarens ISP och skicka rapporten till denna ISP:s missbruksavdelning.
Låt oss titta närmare på hur det här fungerar.
E-posthuvud och text
Varje e-postmeddelande består av två delar, brödtexten och rubriken. Rubriken är som e-postkuvertet som innehåller avsändarens adress, mottagaren, ämnet och annan information. Brödtexten har texten och bilagorna.
En del rubrikinformation som vanligtvis visas av ditt e-postprogram inkluderar:
- Från: Avsändarens namn och e-postadress.
- To: Mottagarens namn och e-postadress.
- Date: Datumet då meddelandet skickades.
- Ämne: Ämnesraden.
Header Forging
Den faktiska leveransen av e-postmeddelanden beror inte på någon av dessa rubriker. De är bara bekväma.
Vanligtvis kommer från-raden, till exempel, att skickas till avsändarens adress så att du vet vem meddelandet kommer från och kan svara snabbt.
Spammare vill se till att du inte kan svara lätt och vill absolut inte att du ska veta vilka de är. Det är därför de infogar fiktiva e-postadresser i Från-raderna i sina skräppostmeddelanden.
Mottagna rader
Från-raden är värdelös för att fastställa den verkliga källan till ett e-postmeddelande. Du behöver inte lita på det. Rubrikerna på varje e-postmeddelande innehåller också mottagna rader.
E-postprogram visar vanligtvis inte dessa, men de kan vara till nytta för att spåra spam.
Parsera mottagna rubrikrader
Precis som ett postbrev kommer att gå genom flera postkontor på väg från avsändare till mottagare, bearbetas och vidarebefordras ett e-postmeddelande av flera e-postservrar.
Föreställ dig att varje postkontor sätter en unik stämpel på varje brev. På frimärket stod det exakt när posten togs emot, var den kom ifrån och var den skickades till av posten. Om du fick bokstaven kan du bestämma den exakta vägen som bokstaven tar.
Det här är precis vad som händer med e-post.
Mottagna rader för spårning
När en e-postserver bearbetar ett meddelande lägger den till en viss rad i meddelandets rubrik. Raden Mottaget innehåller servernamnet och IP-adressen för maskinen som servern tog emot meddelandet från och namnet på e-postservern.
Den mottagna raden är alltid högst upp i meddelandehuvudet. För att rekonstruera ett e-postmeddelandes resa från avsändare till en mottagare, börja på den översta mottagna raden och gå ner till den sista, som är där e-postmeddelandet kom.
Received Line Forging
Spammare vet att människor tillämpar den här proceduren för att avslöja var de befinner sig. De kan infoga förfalskade mottagna rader som pekar på att någon annan skickar meddelandet för att lura den avsedda mottagaren.
Eftersom varje e-postserver alltid kommer att placera sin Mottagna-rad högst upp, kan spammarens förfalskade rubriker bara finnas längst ner i kedjan Mottagna rader. Det är därför du bör börja din analys överst och inte bara härleda punkten där ett e-postmeddelande kom från den första mottagna raden (längst ner).
Hur man berättar en förfalskad mottagen rubriklinje
De förfalskade mottagna raderna som infogats av spammare ser ut som alla andra mottagna rader (såvida de inte gör ett uppenbart misstag). I sig kan du inte skilja en förfalskad mottagen linje från en äkta, vilket är där en distinkt egenskap hos mottagna linjer kommer in i bilden. Varje server noterar vem den är och var den fick meddelandet ifrån (i IP-adressform).
Jämför vad en server påstår sig vara med vad servern ett snäpp upp i kedjan säger att den är. Om de två inte matchar är den tidigare en förfalskad Mottagen rad.
I det här fallet är e-postmeddelandets ursprung vad servern placerade omedelbart efter det förfalskade Mottaget säger.
Exempel på skräppost som analyserats och spårats
Nu när vi känner till den teoretiska grunden, låt oss analysera ett skräppost för att identifiera dess ursprung i det verkliga livet.
Vi har precis fått en exemplarisk skräppost som vi kan använda för träning. Här är rubrikraderna:
Mottaget: från okänd (HELO 38.118.132.100) (62.105.106.207) av mail1.infinology.com med SMTP; 16 nov 2003 19:50:37 -0000 Mottaget: från [235.16.47.37] av 38.118.132.100 id; Sön, 16 nov 2003 13:38:22 -0600 Meddelande-ID: Från: "Reinaldo Gilliam" Svara-till: "Reinaldo Gilliam" Till: [email protected] Ämne: Kategori A Få de mediciner du behöver lgvkalfnqnh bbk Datum: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-version: 1.0 Content-Type: multipart/ alternative; boundary="9B_9._C_2EA.0DD_23" X-Priority: 3 X-MSMail-Priority: Normal
Kan du berätta vilken IP-adress e-postmeddelandet kommer från?
Avsändare och ämne
Titta först på den smidda Från-linjen. Spammaren vill få det att se ut som att meddelandet kom från en Yahoo! Mailkonto. Med reply-to-raden syftar denna Från-adress till att rikta alla studsande meddelanden och arga svar till ett icke-existerande Yahoo! E-postkonto.
Nästa är ämnet en märklig ansamling av slumpmässiga tecken. Det är knappt läsbart och utformat för att lura skräppostfilter (varje meddelande får en lite olika uppsättning slumpmässiga tecken). Ändå är den också ganska skickligt utformad för att förmedla budskapet trots detta.
De mottagna raderna
Äntligen, de mottagna raderna. Låt oss börja med det äldsta, Mottaget: från [235.16.47.37] av 38.118.132.100 id; Sön 16 nov 2003 13:38:22 -0600. Det finns inga värdnamn i den, men två IP-adresser: 38.118.132.100 påstår sig ha tagit emot meddelandet från 235.16.47.37. Om detta är korrekt är 235.16.47.37 där e-postmeddelandet kom, och vi skulle ta reda på vilken internetleverantör denna IP-adress tillhör och sedan skicka en missbruksrapport till dem.
Låt oss se om nästa (och i det här fallet sista) servern i kedjan bekräftar den första mottagna radens påståenden: Mottagen: från okänd (HELO 38.118.142.100) (62.105.106.207) av mail1.infinology.com med SMTP; 16 nov 2003 19:50:37 -0000.
Eftersom mail1.infinology.com är den sista servern i kedjan och faktiskt "vår" server, vet vi att vi kan lita på den. Den har tagit emot meddelandet från en "okänd" värd som påstår sig ha IP-adressen 38.118.132.100 (med SMTP HELO-kommandot). Hittills är detta i linje med vad den tidigare Received-raden sa.
Nu ska vi se var vår e-postserver fick meddelandet ifrån. För att ta reda på det, titta på IP-adressen inom parentes omedelbart innan av mail1.infinology.com. Detta är IP-adressen som anslutningen upprättades från, och den är inte 38.118.132.100. Nej, 62.105.106.207 är varifrån den här skräpposten skickades.
Med den här informationen kan du nu identifiera spammarens ISP och rapportera det oönskade e-postmeddelandet till dem för att sparka bort spammaren från nätet.
