หัวเรื่องอีเมลอะไรที่สามารถบอกคุณเกี่ยวกับแหล่งที่มาของจดหมายขยะ

สแปมจะสิ้นสุดลงเมื่อไม่มีผลกำไร ผู้ส่งอีเมลขยะจะเห็นผลกำไรของพวกเขาเกลือกกลิ้งถ้า ไม่มีใครซื้อจากพวกเขา (เพราะคุณไม่ได้เห็นอีเมลขยะ) นี่คือวิธีที่ง่ายที่สุดในการต่อสู้กับสแปมและแน่นอนว่าเป็นสิ่งที่ดีที่สุด

ร้องเรียนเกี่ยวกับสแปม

แต่คุณสามารถส่งผลกระทบต่อด้านค่าใช้จ่ายของงบดุลของสแปมเมอร์เช่นกัน หากคุณบ่นกับผู้ให้บริการอินเทอร์เน็ต (ISP) ของสแปมเมอร์พวกเขาจะสูญเสียการเชื่อมต่อและอาจต้องเสียค่าปรับ (ขึ้นอยู่กับนโยบายการใช้งานที่ยอมรับได้ของ ISP)

เนื่องจากผู้ส่งอีเมลขยะรู้และกลัวรายงานดังกล่าวพวกเขาพยายามซ่อน นั่นเป็นเหตุผลที่การค้นหา ISP ที่เหมาะสมไม่ใช่เรื่องง่ายเสมอไป โชคดีที่มีเครื่องมือเช่น SpamCop ที่ทำให้ การรายงานสแปมถูกต้อง ไปยังที่อยู่ด้านขวาได้ง่าย

การกำหนดแหล่งที่มาของสแปม

SpamCop หา ISP ที่เหมาะสมที่จะบ่นได้อย่างไร ใช้เวลาดูอย่างใกล้ชิดที่ ส่วนหัว ของข้อความสแปม ส่วนหัวเหล่านี้มีข้อมูลเกี่ยวกับเส้นทางที่อีเมลใช้

SpamCop ติดตามเส้นทางไปจนถึงจุดที่อีเมลถูกส่งมาจาก จากจุดนี้ยังทราบว่าเป็นที่ อยู่ IP ซึ่งอาจเป็นผลมาจาก ISP ของสแปมเมอร์ และส่งรายงานไปยังแผนกการล่วงละเมิดของ ISP นี้

ลองมาดูวิธีการทำงานนี้ดูสิ

อีเมล: ส่วนหัวและเนื้อหา

อีเมล ทุก ฉบับ ประกอบด้วยสองส่วนคือส่วนของร่างกายและส่วนหัว ส่วนหัวอาจถือเป็นซองจดหมายของข้อความโดยมีที่อยู่ของผู้ส่งผู้รับหัวเรื่องและข้อมูลอื่น ๆ เนื้อหาประกอบด้วยข้อความจริงและเอกสารแนบ

ข้อมูลส่วนหัวบางส่วนที่มักจะแสดงโดยโปรแกรมอีเมลของคุณประกอบด้วย:

• จาก: - ชื่อและ ที่อยู่อีเมล ของผู้ส่ง
• ถึง: - ชื่อและที่อยู่อีเมลของผู้รับ
• วันที่: - วันที่ส่งข้อความ
• Subject: - หัวเรื่อง

หัวกระดาษปลอม

การ ส่งอีเมลที่แท้จริง ไม่ได้ขึ้นอยู่กับส่วนหัวใด ๆ เหล่านี้พวกเขาเป็นเพียงความสะดวกสบายเท่านั้น

โดยปกติบรรทัดจาก: ตัวอย่างเช่นจะถูกตั้งค่าเป็นที่อยู่ของผู้ส่ง การทำเช่นนี้ทำให้แน่ใจได้ว่าคุณรู้จักใครจากข้อความและสามารถตอบกลับได้ง่าย

ผู้ส่งอีเมลขยะต้องการให้แน่ใจว่าคุณไม่สามารถตอบกลับได้อย่างง่ายดายและแน่นอนว่าไม่ต้องการให้คุณรู้ว่าตนเป็นใคร นั่นเป็นเหตุผลที่พวกเขาแทรกที่อยู่อีเมลปลอมในบรรทัด From: จากข้อความขยะของพวกเขา

ได้รับ: Lines

บรรทัด From: ไม่มีประโยชน์ถ้าเราต้องการกำหนดแหล่งที่มาที่แท้จริงของอีเมล โชคดีที่เราไม่จำเป็นต้องพึ่งพามัน ส่วนหัวของข้อความอีเมลทุกประเภทยังมีได้รับ: lines

เหล่านี้มักไม่แสดงโดยโปรแกรมอีเมล แต่อาจเป็นประโยชน์ในการติดตามสแปม

การแยกวิเคราะห์ที่ได้รับ: Header Lines

เช่นเดียวกับจดหมายไปรษณีย์จะผ่านหมายเลขของที่ทำการไปรษณีย์ระหว่างทางจากผู้ส่งไปยังผู้รับข้อความอีเมลจะถูกประมวลผลและส่งต่อโดยเซิร์ฟเวอร์อีเมลหลาย

ลองจินตนาการถึงที่ทำการไปรษณีย์ทุกแห่งวางแสตมป์พิเศษไว้ในจดหมายแต่ละฉบับ แสตมป์จะบอกว่าเมื่อได้รับหนังสือที่มันมาจากที่ไหนและที่มันถูกส่งต่อไปโดยที่ทำการไปรษณีย์ ถ้าคุณได้รับจดหมายคุณสามารถกำหนดเส้นทางที่ถูกต้องตามตัวอักษร

นี่คือสิ่งที่เกิดขึ้นกับอีเมล

ได้รับ: เส้นสำหรับการติดตาม

ในฐานะที่เป็น เซิร์ฟเวอร์จดหมาย ประมวลผลข้อความจะเพิ่มบรรทัดพิเศษบรรทัดที่ได้รับ: ไปยังส่วนหัวของข้อความ บรรทัดที่ได้รับ: บรรทัดประกอบด้วยสิ่งที่น่าสนใจที่สุด

• ชื่อเซิร์ฟเวอร์และ ที่อยู่ IP ของเครื่องเซิร์ฟเวอร์ที่ได้รับข้อความจากและ
• ชื่อของเมลเซิร์ฟเวอร์ เอง

บรรทัดที่ได้รับ: ถูกแทรกไว้เสมอที่ด้านบนของส่วนหัวของข้อความ ถ้าเราต้องการสร้างการเดินทางอีเมลจากผู้ส่งไปยังผู้รับเราจะเริ่มต้นจากบรรทัดที่ได้รับ: line (ทำไมเราทำเช่นนี้จะปรากฏชัดในช่วงเวลาหนึ่ง) และเดินไปตามทางจนกว่าเราจะมาถึงจุดสุดท้ายซึ่งเป็นที่ที่ อีเมลมา

ได้รับ: Line Forging

ผู้ส่งอีเมลขยะทราบว่าเราจะใช้ขั้นตอนนี้เพื่อค้นหาที่อยู่ของเขา เพื่อหลอกให้เราพวกเขาอาจแทรกปลอมแปลงที่ได้รับ: บรรทัดที่ชี้ไปที่คนอื่นส่งข้อความ

เนื่องจากเซิร์ฟเวอร์อีเมลทุกเครื่องจะรับรายการที่ได้รับไว้เสมอ: บรรทัดที่ด้านบนส่วนหัวที่ปลอมแปลงโดยผู้ส่งสแปมจะอยู่ที่ด้านล่างของห่วงโซ่สายที่ได้รับ: นี่คือเหตุผลที่เราเริ่มต้นการวิเคราะห์ของเราที่ด้านบนและไม่ได้มาจากจุดที่อีเมลมาจากบรรทัดแรกที่ได้รับ: บรรทัดแรก (ที่ด้านล่าง)

วิธีการบอกรับฟอร์จที่ได้รับ: Header Line

การปลอมแปลงที่ได้รับ: บรรทัดที่แทรกโดยผู้ส่งสแปมเมอร์เพื่อหลอกเราจะมีลักษณะเหมือนบรรทัดอื่น ๆ ที่ได้รับ: เว้นแต่ว่าจะมีความผิดพลาดที่เห็นได้ชัดแน่นอน) ด้วยตัวคุณเองคุณจะไม่สามารถบอกได้ว่าได้รับที่ได้รับ: สายจากของแท้

นี่คือจุดเด่นของ Received: lines ที่เข้ามาเล่น ดังที่เราได้กล่าวมาแล้วข้างต้นเซิร์ฟเวอร์ทุกเครื่องจะไม่เพียง แต่ระบุว่าเป็นใคร แต่เป็นที่ที่ได้รับข้อความจาก (ในแบบฟอร์มที่อยู่ IP)

เราเพียง แต่เปรียบเทียบว่าเซิร์ฟเวอร์ใดที่อ้างว่าเป็นเซิร์ฟเวอร์เดียวกับที่เซิร์ฟเวอร์กล่าวว่าเป็นจริง หากทั้งสองไม่ตรงกันแถวที่ได้รับก่อนหน้านี้: ถูกปลอมแปลง

ในกรณีนี้ต้นกำเนิดของอีเมลคือสิ่งที่เซิร์ฟเวอร์ได้รับทันทีหลังจากที่ได้รับที่ได้รับ: บรรทัดได้กล่าวเกี่ยวกับผู้ที่ได้รับข้อความจาก

คุณพร้อมสำหรับตัวอย่างหรือไม่?

ตัวอย่างจดหมายสแปมที่วิเคราะห์และตรวจสอบ

ตอนนี้เรารู้ข้อมูลเบื้องต้นเกี่ยวกับทฤษฎีแล้วเราจะมาดูวิธีการวิเคราะห์อีเมลขยะเพื่อระบุต้นกำเนิดของข้อมูลในชีวิตจริง

เราเพิ่งได้รับสแปมที่เป็นตัวอย่างเพื่อให้เราสามารถใช้เพื่อการออกกำลังกายได้ ต่อไปนี้เป็นบรรทัดแรก:

ได้รับ: จากที่ไม่รู้จัก (HELO 38.118.132.100) (62.105.106.207)
โดย mail1.infinology.com กับ SMTP; 16 พฤศจิกายน 2003 19:50:37 -0000
ได้รับ: จาก [235.16.47.37] โดย 38.118.132.100 id; อาทิตย์ 16 พ.ย. 2003 13:38:22 -0600
ID ข้อความ:
จาก: "Reinaldo Gilliam"
ตอบกลับ: "Reinaldo Gilliam"
ถึง: ladedu@ladedu.com
เรื่อง: หมวด A รับ meds u need lgvkalfnqnh bbk
วันที่: วันอาทิตย์ 16 พ.ย. 2003 13:38:22 GMT
X-Mailer: บริการจดหมายทางอินเทอร์เน็ต (5.5.2650.21)
MIME เวอร์ชัน: 1.0
Content-Type: multipart / alternative;
ขอบเขต = "9B_9 .._ C_2EA.0DD_23"
ลำดับความสำคัญ X: 3
X-MSMail-Priority: ปกติ

คุณสามารถบอกที่อยู่ IP ที่อีเมลมาได้หรือไม่?

ผู้ส่งและหัวเรื่อง

อันดับแรกลองดูที่ - ปลอมแปลง - จาก: บรรทัด ผู้ส่งสแปมต้องการให้ดูราวกับว่าข้อความถูกส่งจาก Yahoo! บัญชีจดหมาย พร้อมกับ Reply-To: line นี้ที่อยู่: โดยมีวัตถุประสงค์เพื่อกำกับเนื้อหาที่สะท้อนกลับทั้งหมดและการตอบโต้ที่โกรธต่อ Yahoo! ที่ไม่มีอยู่ บัญชีจดหมาย

ถัดไปหัวข้อ: เป็นการรวมกันของตัวอักษรแบบสุ่ม มันแทบจะอ่านไม่ออกและได้รับการออกแบบมาเพื่อหลอกลวงตัวกรองสแปม (ทุกข้อความจะมีอักขระสุ่มแตกต่างกันเล็กน้อย) แต่ก็ยังมีฝีมือที่สร้างขึ้นมาเพื่อให้ได้ข้อความในทั้งๆที่นี่

ได้รับ: เส้น

ท้ายสุดสายที่ได้รับ: เริ่มจากไฟล์ที่เก่าที่สุดที่ ได้รับ: จาก [235.16.47.37] โดย 38.118.132.100 id; อาทิตย์ 16 พ.ย. 2003 13:38:22 -0600 ไม่มีชื่อโฮสต์ใน แต่ที่อยู่ IP สองแห่ง: 38.118.132.100 อ้างว่าได้รับข้อความจาก 235.16.47.37 ถ้าถูกต้อง 235.16.47.37 คือที่มาของอีเมลและเราจะทราบว่า ISP ซึ่งเป็นที่อยู่ IP นี้คืออะไรจากนั้น ส่งรายงานการละเมิด ไปให้พวกเขา

ลองดูว่าเซิร์ฟเวอร์ต่อไป (และในกรณีนี้เป็นครั้งสุดท้าย) ในห่วงโซ่ยืนยันการรับสายแรกที่ได้รับ: การรับสาย: ได้รับ: จาก unknown (HELO 38.118.142.100) (62.105.106.207) โดย mail1.infinology.com กับ SMTP; 16 พฤศจิกายน 2003 19:50:37 -0000

เนื่องจาก mail1.infinology.com เป็นเซิร์ฟเวอร์ตัวสุดท้ายในเครือข่ายและเซิร์ฟเวอร์ของ "our" ของเราจึงเป็นที่เชื่อถือได้ ได้รับข้อความจากโฮสต์ "ไม่รู้จัก" ซึ่งอ้างว่ามีที่อยู่ IP 38.118.132.100 (ใช้ คำสั่ง SMTP HELO ) จนถึงปัจจุบันนี้เป็นไปตามที่ได้รับก่อนหน้านี้: บรรทัดกล่าวว่า

ตอนนี้ขอดูว่าเซิร์ฟเวอร์อีเมลของเราได้รับข้อความจากที่ใด เพื่อหาเราจะดูที่อยู่ IP ในวงเล็บทันที โดย ก่อนหน้านี้ โดย mail1.infinology.com นี่เป็นที่อยู่ IP ที่มีการเชื่อมต่อจากและไม่ใช่ 38.118.132.100 ไม่มี 62.105.106.207 คือที่ที่มีการจัดส่งอีเมลขยะประเภทนี้

ด้วยข้อมูลนี้คุณสามารถ ระบุ ISP ของสแปมเมอร์และรายงานอีเมลที่ไม่พึงประสงค์แก่พวกเขา เพื่อให้พวกเขาสามารถคัดลอก spammer ออกจากอินเทอร์เน็ตได้