Τα ανεπιθύμητα μηνύματα θα λήξουν όταν δεν είναι πλέον κερδοφόρα. Οι spammers θα δουν τα κέρδη τους να πέφτουν εάν κανείς δεν αγοράσει από αυτούς (επειδή δεν βλέπετε καν τα ανεπιθύμητα email). Αυτός είναι ο ευκολότερος τρόπος για την καταπολέμηση των ανεπιθύμητων μηνυμάτων, και σίγουρα ένας από τους καλύτερους.
Παράπονα για τα ανεπιθύμητα
Μπορείτε να επηρεάσετε και την πλευρά των εξόδων του ισολογισμού ενός spammer. Εάν παραπονεθείτε στον πάροχο υπηρεσιών διαδικτύου (ISP) του spammer, θα χάσει τη σύνδεσή του και ενδέχεται να χρειαστεί να πληρώσει πρόστιμο (ανάλογα με την αποδεκτή πολιτική χρήσης του ISP).
Εφόσον οι spammers γνωρίζουν και φοβούνται τέτοιες αναφορές, προσπαθούν να κρύψουν. Γι' αυτό η εύρεση του κατάλληλου ISP δεν είναι πάντα εύκολη. Ωστόσο, υπάρχουν εργαλεία όπως το SpamCop που απλοποιούν τη σωστή αναφορά ανεπιθύμητων μηνυμάτων στην ακριβή διεύθυνση.
Προσδιορισμός της πηγής ανεπιθύμητης αλληλογραφίας
Πώς βρίσκει το SpamCop τον κατάλληλο ISP για να παραπονεθεί; Εξετάζει προσεκτικά τις γραμμές κεφαλίδας του ανεπιθύμητου μηνύματος. Αυτές οι κεφαλίδες περιέχουν πληροφορίες σχετικά με τη διαδρομή που ακολούθησε ένα μήνυμα ηλεκτρονικού ταχυδρομείου.
Το SpamCop ακολουθεί τη διαδρομή μέχρι το σημείο από το οποίο ο spammer έστειλε το email. Από αυτό το σημείο, γνωστό και ως διεύθυνση IP, μπορεί να αντλήσει τον ISP του spammer και να στείλει την αναφορά στο τμήμα κατάχρησης αυτού του ISP.
Ας ρίξουμε μια πιο προσεκτική ματιά στο πώς λειτουργεί αυτό.
Κεφαλίδα και σώμα ηλεκτρονικού ταχυδρομείου
Κάθε μήνυμα ηλεκτρονικού ταχυδρομείου αποτελείται από δύο μέρη, το σώμα και την κεφαλίδα. Η κεφαλίδα μοιάζει με το φάκελο email που περιέχει τη διεύθυνση του αποστολέα, τον παραλήπτη, το θέμα και άλλες πληροφορίες. Το σώμα έχει το κείμενο και τα συνημμένα.
Ορισμένες πληροφορίες κεφαλίδας που συνήθως εμφανίζονται από το πρόγραμμα email σας περιλαμβάνουν:
- From: Το όνομα και η διεύθυνση ηλεκτρονικού ταχυδρομείου του αποστολέα.
- Προς: Το όνομα και η διεύθυνση ηλεκτρονικού ταχυδρομείου του παραλήπτη.
- Ημερομηνία: Η ημερομηνία αποστολής του μηνύματος.
- Θέμα: Η γραμμή θέματος.
Σφυρηλάτηση κεφαλίδων
Η πραγματική παράδοση των μηνυμάτων ηλεκτρονικού ταχυδρομείου δεν εξαρτάται από καμία από αυτές τις κεφαλίδες. Είναι απλά βολικά.
Συνήθως, η γραμμή Από, για παράδειγμα, θα αποστέλλεται στη διεύθυνση του αποστολέα, ώστε να γνωρίζετε από ποιον είναι το μήνυμα και να μπορείτε να απαντήσετε γρήγορα.
Οι αποστολείς ανεπιθύμητης αλληλογραφίας θέλουν να βεβαιωθούν ότι δεν μπορείτε να απαντήσετε εύκολα και σίγουρα δεν θέλουν να ξέρετε ποιοι είναι. Γι' αυτό εισάγουν πλασματικές διευθύνσεις email στις γραμμές Από των ανεπιθύμητων μηνυμάτων τους.
Ληφθείσες Γραμμές
Η γραμμή Από είναι άχρηστη για τον προσδιορισμό της πραγματικής πηγής ενός email. Δεν χρειάζεται να βασιστείς σε αυτό. Οι κεφαλίδες κάθε μηνύματος email περιέχουν επίσης γραμμές Λήφθηκαν.
Τα προγράμματα ηλεκτρονικού ταχυδρομείου δεν τα εμφανίζουν συνήθως, αλλά μπορούν να είναι ευεργετικά για τον εντοπισμό ανεπιθύμητων μηνυμάτων.
Ανάλυση ληφθέντων γραμμών κεφαλίδας
Ακριβώς όπως μια ταχυδρομική επιστολή περνά από πολλά ταχυδρομεία καθ' οδόν από τον αποστολέα στον παραλήπτη, ένα μήνυμα ηλεκτρονικού ταχυδρομείου υποβάλλεται σε επεξεργασία και προωθείται από πολλούς διακομιστές αλληλογραφίας.
Φανταστείτε κάθε ταχυδρομείο να βάζει μια μοναδική σφραγίδα σε κάθε γράμμα. Η σφραγίδα θα έγραφε ακριβώς πότε ελήφθη η αλληλογραφία, από πού προήλθε και πού προωθήθηκε από το ταχυδρομείο. Εάν λάβατε το γράμμα, θα μπορούσατε να προσδιορίσετε την ακριβή διαδρομή που ακολουθεί το γράμμα.
Αυτό ακριβώς συμβαίνει με το email.
Λήφθηκαν γραμμές για εντοπισμό
Καθώς ένας διακομιστής αλληλογραφίας επεξεργάζεται ένα μήνυμα, προσθέτει μια συγκεκριμένη γραμμή στην κεφαλίδα του μηνύματος. Η γραμμή Λήφθηκε περιέχει το όνομα διακομιστή και τη διεύθυνση IP του μηχανήματος από το οποίο έλαβε το μήνυμα ο διακομιστής και το όνομα του διακομιστή αλληλογραφίας.
Η γραμμή Λήφθηκε βρίσκεται πάντα στην κορυφή της κεφαλίδας του μηνύματος. Για να ανασυνθέσετε τη διαδρομή ενός email από τον αποστολέα στον παραλήπτη, ξεκινήστε από την κορυφαία γραμμή Λήφθηκε και κατεβείτε στην τελευταία, από όπου προήλθε το email.
Λήψη Σφυρηλάτησης Γραμμής
Οι αποστολείς ανεπιθύμητης αλληλογραφίας γνωρίζουν ότι οι άνθρωποι εφαρμόζουν αυτήν τη διαδικασία για να αποκαλύψουν το πού βρίσκονται. Ενδέχεται να εισαγάγουν πλαστές γραμμές Λήφθηκαν που δείχνουν ότι κάποιος άλλος στέλνει το μήνυμα για να ξεγελάσει τον επιδιωκόμενο παραλήπτη.
Δεδομένου ότι κάθε διακομιστής αλληλογραφίας θα τοποθετεί πάντα τη γραμμή Λήψης στην κορυφή, οι πλαστές κεφαλίδες των αποστολέων ανεπιθύμητης αλληλογραφίας μπορούν να βρίσκονται μόνο στο κάτω μέρος της αλυσίδας της γραμμής Λήφθηκαν. Αυτός είναι ο λόγος για τον οποίο θα πρέπει να ξεκινήσετε την ανάλυσή σας στην κορυφή και όχι απλώς να αντλήσετε το σημείο από το οποίο προήλθε ένα email από την πρώτη γραμμή Λήφθηκε (στο κάτω μέρος).
Πώς να πείτε μια πλαστογραφημένη γραμμή κεφαλίδας
Οι πλαστές γραμμές Λήφθηκαν που εισάγονται από τους αποστολείς ανεπιθύμητης αλληλογραφίας μοιάζουν με όλες τις άλλες γραμμές Λήφθηκαν (εκτός αν κάνουν προφανές λάθος). Από μόνη της, δεν μπορείτε να διακρίνετε μια πλαστό Γραμμή Λήψης από μια γνήσια, όπου ένα ξεχωριστό χαρακτηριστικό των γραμμών Λήφθηκε παίζει ρόλο. Κάθε διακομιστής σημειώνει ποιος είναι και από πού έλαβε το μήνυμα (σε μορφή διεύθυνσης IP).
Συγκρίνετε αυτό που ισχυρίζεται ότι είναι ένας διακομιστής με αυτό που λέει ο διακομιστής μια βαθμίδα πάνω στην αλυσίδα ότι είναι. Εάν τα δύο δεν ταιριάζουν, το προηγούμενο είναι μια πλαστό γραμμή λήψεων.
Σε αυτήν την περίπτωση, η προέλευση του email είναι αυτό που λέει ο διακομιστής που τοποθέτησε αμέσως μετά το πλαστό Παραλαβή.
Παράδειγμα ανάλυσης και εντοπισμού ανεπιθύμητων μηνυμάτων
Τώρα που γνωρίζουμε τη θεωρητική βάση, ας αναλύσουμε ένα ανεπιθύμητο email για να προσδιορίσουμε την προέλευσή του στην πραγματική ζωή.
Μόλις λάβαμε ένα υποδειγματικό κομμάτι ανεπιθύμητης αλληλογραφίας που μπορούμε να χρησιμοποιήσουμε για άσκηση. Εδώ είναι οι γραμμές κεφαλίδας:
Λήψη: από άγνωστο (HELO 38.118.132.100) (62.105.106.207) από mail1.infinology.com με SMTP; 16 Νοεμβρίου 2003 19:50:37 -0000 Λήψη: από [235.16.47.37] από 38.118.132.100 id; Κυρ, 16 Νοεμβρίου 2003 13:38:22 -0600 Αναγνωριστικό μηνύματος: Από: "Reinaldo Gilliam" Απάντηση-Προς: "Reinaldo Gilliam" Προς: [email protected] Θέμα: Κατηγορία Α Λάβετε τα φάρμακα που χρειάζεστε lgvkalfnqnh bbk D: Κυρ, 16 Νοε 2003 13:38:22 GMT X-Mailer: Υπηρεσία αλληλογραφίας Διαδικτύου (5.5.2650.21) Έκδοση MIME: 1.0 Τύπος περιεχομένου: πολυμερές/εναλλακτικό; boundary="9B_9._C_2EA.0DD_23" X-Priority: 3 X-MSMail-Priority: Normal
Μπορείτε να πείτε τη διεύθυνση IP από την οποία προήλθε το email;
Αποστολέας και Θέμα
Πρώτα, δείτε τη σφυρηλατημένη γραμμή Από. Ο αποστολέας ανεπιθύμητης αλληλογραφίας θέλει να το κάνει να φαίνεται ότι το μήνυμα προήλθε από ένα Yahoo! Λογαριασμός αλληλογραφίας. Με τη γραμμή Απάντηση-Σε, αυτή η διεύθυνση Από στοχεύει να κατευθύνει όλα τα αναπηδημένα μηνύματα και τις θυμωμένες απαντήσεις σε ένα ανύπαρκτο Yahoo! Λογαριασμός αλληλογραφίας.
Στη συνέχεια, το Θέμα είναι μια περίεργη συσσώρευση τυχαίων χαρακτήρων. Είναι ελάχιστα ευανάγνωστο και έχει σχεδιαστεί για να ξεγελάει τα φίλτρα ανεπιθύμητης αλληλογραφίας (κάθε μήνυμα λαμβάνει ένα ελαφρώς διαφορετικό σύνολο τυχαίων χαρακτήρων). Παρόλα αυτά, είναι επίσης κατασκευασμένο αρκετά επιδέξια για να περάσει το μήνυμα παρά αυτό.
Οι ληφθείσες γραμμές
Τέλος, οι γραμμές Λήφθηκαν. Ας ξεκινήσουμε με το παλαιότερο, Λήφθηκε: από [235.16.47.37] από 38.118.132.100 id; Κυρ, 16 Νοε 2003 13:38:22 -0600. Δεν υπάρχουν ονόματα κεντρικού υπολογιστή σε αυτό, αλλά δύο διευθύνσεις IP: Το 38.118.132.100 ισχυρίζεται ότι έλαβε το μήνυμα από το 235.16.47.37. Εάν αυτό είναι σωστό, το 235.16.47.37 είναι το σημείο προέλευσης του μηνύματος ηλεκτρονικού ταχυδρομείου και θα μάθαμε σε ποιον πάροχο υπηρεσιών διαδικτύου ανήκει αυτή η διεύθυνση IP και, στη συνέχεια, θα του στείλουμε μια αναφορά κατάχρησης.
Ας δούμε αν ο επόμενος (και σε αυτήν την περίπτωση ο τελευταίος) διακομιστής στην αλυσίδα επιβεβαιώνει τους ισχυρισμούς της πρώτης γραμμής Λήψης: Λήφθηκε: από άγνωστο (HELO 38.118.142.100) (62.105.106.207) μέσω mail1.infinology.com με SMTP; 16 Νοεμβρίου 2003 19:50:37 -0000.
Δεδομένου ότι ο mail1.infinology.com είναι ο τελευταίος διακομιστής στην αλυσίδα και πράγματι ο "δικός μας" διακομιστής, γνωρίζουμε ότι μπορούμε να τον εμπιστευτούμε. Έχει λάβει το μήνυμα από έναν "άγνωστο" κεντρικό υπολογιστή που ισχυρίζεται ότι έχει τη διεύθυνση IP 38.118.132.100 (χρησιμοποιώντας την εντολή SMTP HELO). Μέχρι στιγμής, αυτό είναι σύμφωνο με αυτό που έλεγε η προηγούμενη γραμμή "Λήψη".
Τώρα ας δούμε από πού πήρε το μήνυμα ο διακομιστής αλληλογραφίας μας. Για να το μάθετε, δείτε τη διεύθυνση IP σε αγκύλες αμέσως πριν από το mail1.infinology.com. Αυτή είναι η διεύθυνση IP από την οποία δημιουργήθηκε η σύνδεση και δεν είναι 38.118.132.100. Όχι, στο 62.105.106.207 στάλθηκε αυτό το ανεπιθύμητο ταχυδρομείο.
Με αυτές τις πληροφορίες, μπορείτε πλέον να προσδιορίσετε τον ISP του spammer και να αναφέρετε το ανεπιθύμητο μήνυμα ηλεκτρονικού ταχυδρομείου σε αυτόν για να διώξετε τον spammer από το διαδίκτυο.