Millised e-posti päised võivad teile rämpsposti päritolu kohta teada anda?

Rämpspost lõpevad, kui see pole enam kasumlik. Rämpsposti saatjad näevad oma kasumit, kui keegi neid ei osta (kuna te ei näe isegi rämpsposti). See on kõige lihtsam viis rämpsposti vastu võitlemiseks ja kindlasti üks parimaid.

Rämpsposti kaebamine

Kuid võite mõjutada ka rämpspostisaatja bilansi kulude poolelt. Kui te kaebate rämpsposti Interneti-teenuse pakkujale (ISP), kaotavad nad oma ühenduse ja võivad maksta trahvi (olenevalt Interneti-teenuse pakkuja vastuvõetavast kasutuspoliitikast).

Kuna rämpsposti saajad teavad ja hirmud selliseid aruandeid, püüavad nad varjata. Sellepärast pole õige ISP leidmine alati lihtne. Õnneks on olemas sellised tööriistad nagu SpamCop, mis muudavad rämpsposti õigesti õigele aadressile lihtsaks.

Rämpsposti allika kindlaksmääramine

Kuidas saab SpamCop leida õige ISP-le kaebuse? See vaatab rämpsposti pealkirja read tähelepanelikult . Need päised sisaldavad teavet selle kohta, kuidas e-posti aadress sai.

SpamCop jälgib teed kuni selle kohani, kust see meil saadeti. Sellest hetkest teatakse ka IP-aadressina , võib see saada rämpsposti ISP-d ja saata raport sellele Interneti-teenuse pakkuja kuritarvitamise osakonnale.

Vaatame lähemalt, kuidas see toimib.

E-post: pealkiri ja keha

Iga e-kirja koosneb kahest osast, kehast ja päist. Päise peetakse sõnumi ümbrikku, mis sisaldab saatja, saaja, teema ja muu teabe aadressi. Keha sisaldab tegelikku teksti ja manuseid.

Mõned päiseandmed, mida tavaliselt kuvatakse teie e-posti programmis, on järgmised:

Päise sepistamine

E- kirjade tegeliku kohaletoimetamine ei sõltu ühestki neist päistest, vaid lihtsalt mugavusest.

Tavaliselt seatakse näiteks read From: rea saatja aadressiks. See tagab, et teate, kelle sõnum on saadetud, ja saate hõlpsalt vastata.

Rämpsposti saatjad tahavad veenduda, et te ei saa lihtsalt vastata ja kindlasti ei taha teid teada, kes nad on. Sellepärast lisavad nad nende rämpsõnumite From: ridadesse fiktiivseid e-posti aadresse.

Vastu võetud: read

Nii et From: rida on mõttetu, kui me soovime kindlaks määrata e-posti tegeliku allika. Õnneks ei pea me sellele tugineda. Iga e-kirja päised sisaldavad ka Received: lines.

E-posti programmides neid tavaliselt ei kuvata, kuid need võivad rämpsposti jälgimisel olla väga kasulikud.

Parsing Received: Header Lines

Nii nagu postkiri läheb läbi mitmete postkontorite teel saatjalt saajale, töödeldakse ja saadab e-kirja mitmed e-posti serverid.

Kujutage ette, et iga postipank paneb igale kirjale spetsiaalse pitseri. Templis räägitakse täpselt, millal kiri sai kätte, kust see pärineb ja kus postiaadress edastati. Kui teil on kiri, võite määrata kirja täpse tee.

See on täpselt see, mis juhtub e-posti teel.

Vastu võetud: jälgimise read

Kui posti server töötleb sõnumit, lisab see kirja päisesse spetsiaalse rea: Received: line. Vastu võetud: joon sisaldab kõige huvitavamalt

Vastuvõetud rea sisestatakse alati sõnumi päiste tipus. Kui me tahame e-posti reisi rekonstrueerida saatjalt saajale, siis alustame ka kõige kõrgemal vastuvõetud reast: (see, miks me seda teeme, ilmub hetkeks) ja kõnnime oma teele, kuni oleme jõudnud viimasele, mis on seal e-kiri on pärit

Vastu võetud: Line Forging

Rämpsposti saatjad teavad, et me rakendame täpselt seda menetlust, et tuvastada nende asukohad. Meie petavad, võivad nad sisestada võltsitud Received: read, mis viitavad kellegi teisele sõnumi saatmisele.

Kuna kõik posti serverid asetavad alati ülaosas oleva Received: line, rämpsposti saatjad võltsitud päised võivad olla ainult vastuvõetud: lineahela allservas. Sellepärast alustame analüüsi ülaosas ja ei tule lihtsalt sellest, kus e-kiri pärineb esimesest vastuvõetud realt (allservas).

Kuidas saada võltsitud teade: Header Line

Sõltumatud sisestatud sõnumid: rämpspostiga sisestatud read, mis ründavad meid, näevad välja nagu kõik teised vastuvõetud read (välja arvatud juhul, kui nad teevad muidugi ilmse vea). Te ei saa iseenesest öelda, et võltsitud Received: line on tõeline.

See on koht, kus mängu saabub üks erinevus: Received lines. Nagu eespool märgitud, märgib iga server mitte ainult seda, kes see on, vaid ka seda, kus see sõnum sai (IP-aadressi vormis).

Me lihtsalt võrrelda, kellele server väidab olevat, millises serveris üks ahelas üles tõestab, et see on tõesti olemas. Kui need kaks ei sobi, on varasem saadud: line olnud võltsitud.

Sellisel juhul on e-kirja päritolu see, mida server kohe pärast võltsitud Received: line on öelda, kes sellest sõnumist sai.

Kas olete näitena valmis?

Rämpsposti näide analüüsitakse ja jälgitakse

Nüüd, kui teame teoreetilisi aluseid, vaatame, kuidas analüüsida rämpsposti, et tuvastada selle päritolu tegusid reaalses elus.

Oleme just saanud suurepärase rämpsposti, mida saaksime kasutada. Siin on päise read:

Vastu võetud: teadmata (HELO 38.118.132.100) (62.105.106.207)
posti teel mail1.infinology.com koos SMTP-ga; 16.11.2003 19:50:37 -0000
Saadeti: alates [235.16.47.37] 38.118.132.100 id-lt; P 16 Nov 2003 13:38:22 -0600
Sõnumi ID:
Alates: "Reinaldo Gilliam"
Vastus: "Reinaldo Gilliam"
Et: ladedu@ladedu.com
Teema: A kategooria Hankige meds u vaja lgvkalfnqnh bbk
Kuupäev: pühapäev, 16 nov 2003 13:38:22 GMT
X-Mailer: Interneti-posti teenus (5.5.2650.21)
MIME-versioon: 1.0
Sisu-tüüp: mitmeosaline / alternatiivne;
border = "9B_9 .._ C_2EA.0DD_23"
X prioriteet: 3
X-MSMail-Prioriteet: normaalne

Kas saate öelda IP-aadressi, kust e-kiri pärineb?

Saatja ja Teema

Esmalt vaadake - sepistatud - From: rida. Rämpspostisaatja soovib, et see näeks välja nagu Yahoo! Postikonto. Koos reaga "Reply-to:" ("Reply-to:"), see "From:" -aadressi eesmärk on suunata kõik hüppavad sõnumid ja vihased vastused mitte-olemasolevale Yahoo!-ile Postikonto.

Järgmine teema: on juhuslike tähemärkide uudishimulik linnuliikumine. See on vaevu loetav ja ilmselt mõeldud rämpspostifiltrite petmiseks (iga sõnum saab natuke teistsuguseid juhuslikke tähemärke), kuid see on ka üsna osavalt koostatud sõnumi saamiseks, hoolimata sellest.

Vastuvõetud: read

Lõpuks, Received: read. Alustame kõige vanemaga , saanud: alates [235.16.47.37] 38.118.132.100 id-ga; P 16 Nov 2003 13:38:22 -0600 . Selles ei ole ühtegi hosti nime, kuid kaks IP-aadressi: 38.118.132.100 väidab, et see on saanud sõnumi 235.16.47.37-st. Kui see on õige, on aadress 235.16.47.37, kust see e-kiri pärineb, ja me selgitaksime, kellele Interneti-teenuse pakkuja sellele IP-aadressile kuulub, ja saadame neile kuritarvitamise aruande .

Vaatame, kas järgmine (ja antud juhul viimane) server ahelas kinnitab esimesed Received: liini väited: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) by mail1.infinology.com koos SMTP; 16.11.2003 19:50:37 -0000 .

Kuna mail1.infinology.com on ahela viimane server ja tegelikult meie server, teame, et me võime seda usaldada. Ta on saanud teadet tundmatu hosti kohta, mille väitel on IP-aadress 38.118.132.100 (kasutades SMTP HELO-käsku ). Siiani on see kooskõlas varasema vastuvõetud rea sõnaga.

Nüüd vaatame, kust meie posti server ei saanud sõnumit. Et teada saada, vaatame sulgudes IP-aadressi kohe varem posti aadressil mail1.infinology.com . See on IP-aadress, millel ühendus on loodud, ja see ei ole 38.118.132.100. Ei, 62.105.106.207 on see, kust see rämpsposti saadeti.

Selle teabe abil saate nüüd kindlaks teha rämpsposti teenusepakkuja ja teatada neile soovimatute e-kirjade kohta, et nad saaksid rämpsposti kasutajaid neto avamiseks lüüa.