Skip to content
Email

Záhlaví e-mailu vám mohou říci o původu spamu

17 de Červenec de 2021
spam 56a6adeb3df78cf7728fb2ba

Spam skončí, když už nebude ziskový. Spammeři uvidí, jak se jejich zisky propadnou, pokud od nich nikdo nekoupí (protože nevidíte ani nevyžádané e-maily). Toto je nejjednodušší způsob boje proti spamu a určitě jeden z nejlepších.

Stížnosti na spam

Můžete také ovlivnit stranu výdajů rozvahy spammera. Pokud si stěžujete na poskytovatele internetových služeb spammera (ISP), ztratí připojení a možná bude muset zaplatit pokutu (v závislosti na přijatelných zásadách používání ISP). Protože spammeři takové zprávy znají a obávají se, snaží se je skrýt. To je důvod, proč najít správného ISP není vždy snadné. Existují však nástroje, jako je SpamCop, které zjednodušují správné hlášení spamu na přesnou adresu.

Určení zdroje spamu

Jak SpamCop najde toho pravého ISP, na kterého si může stěžovat? Podrobně se podívá na řádky záhlaví spamu. Tyto záhlaví obsahují informace o cestě, kterou e-mail vzal. SpamCop sleduje cestu až do bodu, odkud spammer poslal e-mail. Od tohoto bodu, také známého jako IP adresa, může odvodit poskytovatele spammeru a odeslat zprávu oddělení zneužívání tohoto poskytovatele. Podívejme se blíže na to, jak to funguje.

Záhlaví a tělo e-mailu

Každá e-mailová zpráva se skládá ze dvou částí, těla a záhlaví. Záhlaví je jako obálka e-mailu obsahující adresu odesílatele, příjemce, předmět a další informace. Tělo má text a přílohy. Některé informace v záhlaví, které obvykle zobrazuje váš e-mailový program, zahrnují:

  • Z: Jméno a e-mailová adresa odesílatele.
  • Na: Jméno a e-mailová adresa příjemce.
  • datum: Datum, kdy byla zpráva odeslána.
  • Předmět: Předmět.

Kování hlavičky

Skutečné doručování e-mailů nezávisí na žádném z těchto záhlaví. Jsou prostě pohodlné. Například řádek Od se obvykle odešle na adresu odesílatele, abyste věděli, od koho je zpráva, a můžete rychle odpovědět. Spammeři se chtějí ujistit, že nemůžete snadno odpovědět, a rozhodně nechtějí, abyste věděli, o koho jde. Proto do řádků od svých nevyžádaných zpráv vkládají fiktivní e-mailové adresy.

Přijaté řádky

Řádek From je při určování skutečného zdroje e-mailu k ničemu. Nemusíte se na to spoléhat. Záhlaví každé e-mailové zprávy také obsahují přijaté řádky. E-mailové programy tyto obvykle nezobrazují, ale mohou být užitečné při sledování spamu.

Analýza přijatých řádků záhlaví

Stejně jako poštovní dopis projde několika poštami na cestě od odesílatele k příjemci, je e-mailová zpráva zpracována a předána několika poštovními servery. Představte si, že každá pošta na každé písmeno umístí jedinečné razítko. Razítko by přesně říkalo, kdy byla pošta přijata, odkud pochází a kam ji pošta přeposílá. Pokud jste dostali dopis, můžete určit přesnou cestu, po které se dopis vydal. Přesně to se děje s e-mailem.

Přijaté řádky pro trasování

Když poštovní server zpracovává zprávu, přidá konkrétní řádek do záhlaví zprávy. Řádek Přijato obsahuje název serveru a adresu IP zařízení, ze kterého server přijal zprávu, a název poštovního serveru. Přijatá linka je vždy v horní části záhlaví zprávy. Chcete-li rekonstruovat cestu e-mailu od odesílatele k příjemci, začněte na nejvyšším řádku Přijato a přejděte dolů na poslední, odkud e-mail pochází.

Přijaté kování linky

Spammeři vědí, že lidé používají tento postup k odhalení jejich polohy. Mohou vložit padělané přijaté řádky, které ukazují na někoho jiného, ​​kdo posílá zprávu, aby oklamal zamýšleného příjemce. Vzhledem k tomu, že každý poštovní server vždy umístí svůj řádek přijatých nahoře, kované záhlaví spammerů mohou být pouze ve spodní části řetězce přijatých řádků. To je důvod, proč byste měli zahájit analýzu nahoře a ne pouze odvodit bod, kdy e-mail pocházel z prvního přijatého řádku (dole).

Jak zjistit padělanou přijatou záhlaví

Falešné přijaté řádky vložené spammery vypadají jako všechny ostatní přijaté řádky (pokud neudělají zjevnou chybu). Sám o sobě nemůžete rozeznat padělanou přijatou linii od skutečné, což je místo, kde vstupuje do hry jedna odlišná vlastnost přijatých linek. Každý server si všimne, o koho jde a odkud zprávu dostal (ve formě adresy IP). Porovnejte, o čem server tvrdí, že je, s tím, o čem server říká, že je. Pokud se tyto dva neshodují, dřívější je zfalšovaná přijatá linka. V tomto případě je původ e-mailu to, co server umístil bezprostředně po falešném přijetí.

Příklad analyzovaného a sledovaného spamu

Nyní, když známe teoretické základy, analyzujme nevyžádanou poštu a identifikujeme její původ v reálném životě. Právě jsme obdrželi ukázkový kus spamu, který můžeme použít při cvičení. Tady jsou řádky záhlaví:

Přijato: z neznámého (HELO 38.118.132.100) (62.105.106.207) mail1.infinology.com se SMTP; 16. listopadu 2003 19:50:37 -0000 Přijato: od [235.16.47.37] o 38.118.132.100 id; Ne, 16. listopadu 2003 13:38:22 -0600 ID zprávy: Od: „Reinaldo Gilliam“ Odpověď: „Reinaldo Gilliam“ Komu: [email protected] Předmět: Kategorie A Získejte léky u lgvkalfnqnh bbk Datum: Ne, 16. listopadu 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME verze: 1.0 Typ obsahu: vícedílný / alternativní; boundary = „9B_9 .._ C_2EA.0DD_23“ Priorita X: 3 Priorita X-MSMail: Normální

Můžete zjistit IP adresu, odkud e-mail pochází?

Odesílatel a předmět

Nejprve se podívejte na kovanou linii From. Spammer chce, aby to vypadalo, že zpráva pochází od Yahoo! E-mailový účet. S řádkem Odpovědět má tato adresa From směřovat všechny skákací zprávy a rozzlobené odpovědi na neexistující Yahoo! E-mailový účet. Dále je předmětem zvědavá akumulace náhodných znaků. Je sotva čitelný a navržený tak, aby oklamal spamové filtry (každá zpráva dostane trochu jinou sadu náhodných znaků). Přesto je také docela dovedně vytvořeno, aby se zpráva dostala i přes to.

Přijaté řádky

Nakonec přijaté řádky. Začněme od nejstaršího, Přijato: od [235.16.47.37] o 38.118.132.100 id; Ne, 16. listopadu 2003 13:38:22 -0600. Nejsou v něm žádné názvy hostitelů, ale dvě adresy IP: 38.118.132.100 tvrdí, že zprávu obdržel od 235.16.47.37. Pokud je to správné, 235.16.47.37 je místo, odkud e-mail pochází, a my bychom zjistili, kterému poskytovateli internetových služeb tato IP adresa patří, a poté jim pošlete zprávu o zneužití. Podívejme se, jestli další (a v tomto případě poslední) server v řetězci potvrzuje tvrzení první přijaté linky: Přijato: z neznámého (HELO 38.118.142.100) (62.105.106.207) mail1.infinology.com se SMTP; 16. listopadu 2003 19:50:37 -0000. Protože mail1.infinology.com je posledním serverem v řetězci a skutečně „naším“ serverem, víme, že mu můžeme důvěřovat. Přijala zprávu od „neznámého“ hostitele, který tvrdí, že má IP adresu 38.118.132.100 (pomocí příkazu SMTP HELO). Zatím je to v souladu s tím, co řekl předchozí Přijatý řádek. Nyní se podívejme, odkud náš poštovní server vzal zprávu. Chcete-li to zjistit, podívejte se bezprostředně předtím na IP adresu v závorkách prostřednictvím mail1.infinology.com. Toto je adresa IP, ze které bylo navázáno připojení, a není to 38.118.132.100. Ne, 62.105.106.207 je místo, odkud byla odeslána tato část nevyžádané pošty. Díky těmto informacím nyní můžete identifikovat ISP spammera a nahlásit jim nevyžádaný e-mail, aby spammera vyřadili ze sítě.