De Spam eriwwer, wann et net méi rentabel ass. Spammers solle se hir Gewënn opmaachen wann se keen kaaft vun hinnen (well Dir net emol d'Junk-Emails kucke). Dëst ass de einfachsten Wee fir Spams ze bekämpfen, anscheinend ee vun de beschten.
Complaining about spam
Awer Dir kënnt och d'Ausgabeseit vun enger Spammer Bilanz zitt. Wann Dir Iech beim Spammer 's Internet Service Provider (ISP) beschwéiert hutt, verléieren se hir Verbindung a vläicht mussen e Fein bezuelen (ofhängeg vun der zoustänneg Verwennung vum ISP).
Well Spammer wësst an Angscht sou eng Berichte, versichen se ze verstoppen. Duerfir fënnt een den richtegen ISP net ëmmer einfach. Glécklech sinn et Tools wéi SpamCop , déi de Spam korrekt op déi richteg Adress schreiwen.
Bestëmmt d'Quell vu Spam
Wéi gesäit SpamCop den richtegen ISP fir ze beschwéieren? Et schéckt eng Header ze kucken . Dës Header enthalen Informatiounen iwwer de Wee eng E-Mail geholl.
De SpamCop ass de Wee bis de Punkt wou d'E-Mail geschéckt ass. Vun dësem Punkt, och als IP Adress kennen , kënnt et den ISP vun der Spammer erlaben a schécken de Bericht op dës Missbrauchsabteilung vun der ISP.
Loosst eis e bësschen méi genau kucken wéi dat funktionnéiert.
E-Mail: Header and Body
All Email Message besteet aus zwee Deeler, de Kierper a säi Kappball. Den Header kann als Enveloppe vun der Noriicht gedéngt ginn, déi d'Adress vum Absender, den Empfänger, de Sujet an aner Informatiounen enthält. De Kierper enthält den Text an d'Uschlëss.
E puer Header-Informatioun normalerweis mat Ärem E-Mail Programm beinhalt:
- Vu: - De Numm vum Sender an der Email Adress .
- Op: - Den Numm vum Empfänger an d'E-Mail Adress.
- Datum: - Den Datum wou d'Noriicht geschéckt ass.
- Betreff: - D' Thema .
Bluddung
Déi aktuell Liwwerung vun Emailen hänkt net vun engem vun dësen Header ab, si sinn nëmme Bequemlechkeet.
Normalerweis gëtt d'Of: Linn, zum Beispill, op d'Adress vun der Absender gesetzt. Dëst ass sécher datt Dir wësst, wien d'Noriicht ass a liicht ofgëtt kann beäntweren.
Spammers wëllen sécher sinn datt Dir net einfach beäntze kann, a sécher net datt Dir wësst wien si sinn. Duerfir hunn se fiktiv E-Mailadressen an der Of: Zeilen vun hiren Junk-Noriichten.
Received: Lines
Also ass d'Of: Linn nëtzlech, wann mir déi richteg Quell vun engem Email bestëmmen. Glécklech, mir brauchen net drop op. D'Headeren vun all Email Message enthält och Received Received: Zeilen.
Dës ginn normalerweis net mat E-Mailprogrammer gezeechent, awer si kënne ganz nëtzlech sinn beim Spuere vu Spam.
Parsing Received: Header Lines
Just wéi e Postbrief ginn duerch eng Rei Postbureau op senger Manéier vu Sender zu Empfänger goe loossen, gëtt eng E-Mail-Message veraarbecht a ginn vun e puer Mail Server geschéckt.
Stellt Iech all Postbüro op all e Bréif e spezielle Stempel. De Stempel géif genau soen, wéi de Bréif kritt huet, wou et koum a wou et op d'Post geschéckt ass. Wann Dir de Bréif kritt hutt, konnt de exakt Wee dohin bestëmmen.
Dat ass genee dat wat mam E-Mail geschitt.
Received: Lines fir Tracing
Wéi e Mail-Server veraarbecht eng Message, fënnt hien eng speziell Linn, déi d'Received: Zeil an de Header vum Message gëtt. Déi Received: Linn enthält, am interessantsten,
- de Serverennummel an d' IP Adress vun der Maschinn de Server krut d'Noriicht aus a
- den Numm vum MailServer selwer.
D'Erreechung: d'Linn ass ëmmer an der Spëtzt vun den Message Header. Wann mir eng E-mail Reese vu Sender un Empfänger rekonstruéieren wëlle mer och am Topmost Received: Zeil (firwat mir dat maachen an e Moment sinn) a lafen eis Wee bis bis an d'Läschte kommen, wat ass wou der Email stamen.
Erënnert: D 'Forging
Spammers wëssen, datt mir dës Prozedur virgoen, fir hir Wuestum ze entdecken. Fir eis z'erkläeren, kënnen se ewechgezunn hunn Aschreiwt: Zeilen déi op eng aner soen andeems si d'Noriicht geschéckt.
Well all Mailserneen ëmmer seng Receeder setzen: d'Zeil uewen an d'Spëtzere vun den geschmiddenen Header kënnen nëmmen am ënneschten vun der Received: Linn Kette sinn. Dëst ass et firwat datt mir eis Analyse un der Spëtzt starten an net nëmmen d'Punkt fannen, wou eng E-Mail entstanen ass vun der éischt ugebonnen: Linn (am ënneschten).
Wéi gesitt Dir eng Forged Received: Header Line
De geschmiddenen Erënnert: Zeilen, déi vun Spammeren fir Narren agesat ginn, gesäit wéi all déi aner Receivéiert: Zeilen (ausser si maachen en evidenten Fehler, natierlech). Du selwer kann net mat enger geschmiddener Beschreiwung erzielen: Linn vun enger echt.
Dëst ass eng eenzeg feature of Received: d'Zeilen kommen an d'Spill. Wéi mir virdru gesot hunn, gëtt all Server net nëmmen ugewisen, wien et ass awer och wou et d'Noriicht aus (an der IP Adressform) krut.
Mir vergläichen einfach, wien e Server seet mat deem wat den Server ennert an der Kette seet, ass et wierklech. Wann déi zwee net mathuelen, ass de virdrun Received: Zeil geschmied.
An dësem Fall ass den Urspronk vun der E-Mail dat wat de Server direkt no der geschmiddener Beschreiwung: Linn muss soen iwwert wien et d'Noriicht krut.
Sidd Dir prett fir e Beispill?
Beispill Spam Analyséiert an Traced
Elo, datt mir d'Theoretesch Underpinn wissen, léiers kucken wéi d'Analyse vun enger Junk-Mail fir hir Urspronk ze identifizéieren am realen Liewen.
Mir hunn just e exemplaresche Spam kritt deen mir fir eng Ausübung benotzen. Hei sinn d'Headerleitungen:
Beschreiwt: vun onbekanntem (HELO 38.118.132.100) (62.105.106.207)
Mail1.infinologie.com mat SMTP; 16. Nov 2003 19:50:37 -0000
Received: vun [235.16.47.37] vun 38.118.132.100 id; Sonn, 16 Nov 2003 13:38:22 -0600
Message-ID:
Aus: "Reinaldo Gilliam"
Äntwert - Zu: "Reinaldo Gilliam"
Zu: ladedu@ladedu.com
Betreff: Kategorie A Gitt d'Meds u brauch lgvkalfnqnh bbk
Datum: Sat, 16 Nov 2003 13:38:22 GMT
X-Mailer: Internet Mail Service (5.5.2650.21)
MIME-Versioun: 1.0
Inhalt Type: multipart / alternativ;
Brenz = "9B_9 .._ C_2EA.0DD_23"
X-Prioritéit: 3
X-MSMail Prioritéit: Normal
Kënnt Dir d'IP Adress soen wou d'E-Mail stoungen?
Sender a Sujet
Éischtens, kuckt op der Schmëdd. - Of: Linn. De Spammer wëll et kucken wéi d'Botschaft vu engem Yahoo! geschitt ass. Mail Konto. Zesumme mat der Reply-To: Linn ass dës Of: Adress fir all Barrière auszeschleissen an zolknäicht Äntwerten op eng net existent Yahoo! Mail Konto.
Niewt de Betreff: eng interessant Agglomeratioun vu stännegen Zuelen. Et ass kaum liiblibel a selbstverständlech entwéckelt Spamfilter (all Message kritt e méi e puer verschiddene Ziele vu stännegen Zeechen), awer et ass och ganz geschickt, datt d'Botschaft iwwerloosst trotzdem.
De Received: Lines
Endlech, déi Received: Linnen. Loosst eis mat der eelste fänken, Received: vun [235.16.47.37] vun 38.118.132.100 id; Sonn, 16 Nov 2003 13:38:22 -0600 . Et gi keng Hostbenomme benotzt, mais zwee IP Adressen: 38.118.132.100 behaapt, datt d'Noriicht aus 235.16.47.37 kréien. Wann dat korrekt ass, sinn 235.16.47.37 wou d'E-mail entwéckelt war, a mir wären erauszefannen, wéi deen IP dës dës IP Adress gehéiert. Dann schécke se e Mëssbrauch ze publizéieren.
Kucke mer ob den nächste (a an deem Fall lescht) Server an der Kette bestëmmen de éischten Rendez- vous: Clinique Claims: Received: vun onbekanntem (HELO 38.118.142.100) (62.105.106.207) vun mail1.infinology.com mat SMTP; 16. Nov 2003 19:50:37 -0000 .
Well mail1.infinology.com de leschte Server an der Kette ass an och "eise" Server, mir kenne mir kënne vertrauen. Et huet d'Botschaft vun engem "onbekannte" Host gitt deen d'IP Adress 38.118.132.100 (mat dem Befehl SMTP HELO ) huet. Bis elo ass dat an der Linn a wéi déi virdrun opgestallt: Linn huet gesot.
Loosst eis mol kucken, wou eise Mail-Server d'Noriicht kritt huet. Fir erauszefannen, huelt eis d'IP Adress an d'Klammeren direkt un der mail1.infinology.com . Dëst ass d'IP Adress déi d'Verbindung eegestänneg ass, an et ass net 38.118.132.100. Neen, 62.105.106.207 ass wou dëst Stéck Ofkierp ausgeschéckt gouf.
Mat dëser Informatioun identifizéiere mir den ISP an der Spammer ze identifizéieren an un déi onerwënte Mail ze berichten, fir datt se de Spammer vum Netz setzen kënnen.