Spam sẽ kết thúc khi nó không còn sinh lợi nữa. Những kẻ gửi thư rác sẽ thấy lợi nhuận của họ sụt giảm nếu không ai mua từ họ (vì bạn thậm chí không thấy các email rác). Đây là cách dễ nhất để chống spam, và chắc chắn là một trong những điều tốt nhất.
Khiếu nại về Spam
Nhưng bạn cũng có thể ảnh hưởng đến chi phí của bảng cân đối của người gửi spam. Nếu bạn phàn nàn với Nhà cung cấp dịch vụ Internet (ISP) của người gửi spam, họ sẽ mất kết nối và có thể phải trả tiền phạt (tùy thuộc vào chính sách sử dụng được chấp nhận của ISP).
Vì những kẻ gửi thư rác biết và sợ những báo cáo đó, họ cố gắng che giấu. Đó là lý do tại sao việc tìm đúng ISP không phải lúc nào cũng dễ dàng. May mắn thay, có những công cụ như SpamCop khiến cho việc báo cáo spam chính xác đến đúng địa chỉ dễ dàng.
Xác định nguồn Spam
SpamCop tìm ISP phù hợp để khiếu nại như thế nào? Nó xem xét kỹ các dòng tiêu đề của thư rác . Các tiêu đề này chứa thông tin về đường dẫn mà email đã gửi.
SpamCop đi theo đường dẫn cho đến khi email được gửi đi. Từ thời điểm này, cũng được biết đến như một địa chỉ IP , nó có thể lấy được ISP của người gửi thư rác và gửi báo cáo tới bộ phận lạm dụng của ISP này.
Chúng ta hãy xem xét kỹ hơn cách thức hoạt động của nó.
Email: Tiêu đề và Nội dung
Mỗi thư email bao gồm hai phần, phần thân và tiêu đề. Tiêu đề có thể được coi là phong bì của thư, chứa địa chỉ của người gửi, người nhận, chủ đề và thông tin khác. Nội dung chứa văn bản thực và các tệp đính kèm.
Một số thông tin tiêu đề thường được chương trình email của bạn hiển thị bao gồm:
- From: - Tên người gửi và địa chỉ email .
- Tới: - Tên và địa chỉ email của người nhận.
- Ngày: - Ngày gửi tin nhắn.
- Subject: - Dòng chủ đề .
Header Forging
Việc phân phối email thực tế không phụ thuộc vào bất kỳ tiêu đề nào trong số các tiêu đề này, chúng chỉ là sự tiện lợi.
Thông thường, dòng From:, chẳng hạn, sẽ được đặt thành địa chỉ của người gửi. Điều này đảm bảo bạn biết ai là người gửi thư và có thể trả lời dễ dàng.
Người gửi spam muốn đảm bảo rằng bạn không thể trả lời dễ dàng và chắc chắn không muốn bạn biết họ là ai. Đó là lý do tại sao họ chèn các địa chỉ email hư cấu vào các dòng From: của các thư rác của họ.
Đã nhận: Dòng
Vì vậy, dòng From: là vô ích nếu chúng ta muốn xác định nguồn thực sự của một email. May mắn thay, chúng ta không cần phải dựa vào nó. Tiêu đề của mỗi thư email cũng chứa Đã nhận: dòng.
Đây không phải là thường được hiển thị bởi các chương trình email, nhưng chúng có thể rất hữu ích trong việc truy tìm spam.
Phân tích cú pháp đã nhận: Dòng tiêu đề
Cũng giống như một lá thư bưu chính sẽ đi qua một số bưu điện trên đường từ người gửi đến người nhận, một tin nhắn email được xử lý và chuyển tiếp bởi một số máy chủ thư.
Hãy tưởng tượng mỗi bưu điện đặt một con tem đặc biệt trên mỗi chữ cái. Con tem sẽ nói chính xác khi nào lá thư được nhận, nó đến từ đâu và nó được chuyển đến đâu bởi bưu điện. Nếu bạn nhận được thư, bạn có thể xác định đường dẫn chính xác được thực hiện bằng chữ cái.
Đây chính là điều xảy ra với email.
Đã nhận: Các dòng để theo dõi
Khi máy chủ thư xử lý thư, nó sẽ thêm dòng đặc biệt, dòng Đã nhận: vào tiêu đề của thư. Dòng Đã nhận: chứa, thú vị nhất,
- tên máy chủ và địa chỉ IP của máy mà máy chủ nhận được tin nhắn từ và
- tên của chính máy chủ thư .
Dòng Đã nhận: luôn được chèn ở đầu tiêu đề thư. Nếu chúng ta muốn tái tạo lại hành trình của email từ người gửi đến người nhận, chúng tôi cũng bắt đầu ở trên cùng. Đã nhận: dòng (tại sao chúng tôi thực hiện điều này sẽ trở nên rõ ràng trong giây lát) và đi xuống cho đến khi chúng tôi đến nơi cuối cùng, đó là nơi email có nguồn gốc.
Đã nhận: Dòng giả mạo
Gửi thư rác biết rằng chúng tôi sẽ áp dụng chính xác quy trình này để khám phá nơi ở của họ. Để đánh lừa chúng tôi, họ có thể chèn giả mạo Đã nhận: các dòng trỏ tới người khác đang gửi thư.
Vì mọi máy chủ thư sẽ luôn đặt dòng Đã nhận: ở đầu, các tiêu đề giả mạo của người gửi spam chỉ có thể ở cuối chuỗi chuỗi Đã nhận:. Đây là lý do tại sao chúng tôi bắt đầu phân tích của chúng tôi ở trên cùng và không chỉ lấy được điểm mà một email có nguồn gốc từ dòng Đã nhận: đầu tiên (ở dưới cùng).
Cách nhận một giả mạo đã nhận: Dòng tiêu đề
Các giả mạo nhận: dòng chèn bởi kẻ gửi thư rác để đánh lừa chúng tôi sẽ trông giống như tất cả các nhận khác: dòng (trừ khi họ thực hiện một sai lầm rõ ràng, tất nhiên). Bởi chính nó, bạn không thể nói một dòng giả mạo nhận được: từ một chính hãng.
Đây là nơi có một tính năng riêng biệt của Đã nhận: các đường đi vào hoạt động. Như chúng tôi đã lưu ý ở trên, mỗi máy chủ sẽ không chỉ lưu ý nó là ai mà còn là nơi mà nó nhận được thông báo từ (ở dạng địa chỉ IP).
Chúng tôi chỉ đơn giản là so sánh những người một máy chủ tuyên bố được với những gì máy chủ một notch lên trong chuỗi nói nó thực sự là. Nếu cả hai không khớp, dòng đã nhận trước đó: đã được giả mạo.
Trong trường hợp này, nguồn gốc của email là những gì máy chủ ngay lập tức sau khi nhận được giả mạo: dòng đã nói về những người mà nó nhận được tin nhắn từ.
Bạn đã sẵn sàng cho một ví dụ?
Ví dụ về Spam được phân tích và truy tìm
Bây giờ chúng ta đã biết nền tảng lý thuyết, hãy xem cách phân tích một email rác để xác định nguồn gốc của nó hoạt động trong cuộc sống thực.
Chúng tôi vừa nhận được một đoạn spam mẫu mực mà chúng tôi có thể sử dụng để tập thể dục. Dưới đây là các dòng tiêu đề:
Đã nhận: không xác định (HELO 38.118.132.100) (62.105.106.207)
bởi mail1.infinology.com với SMTP; 16/11/2003 19:50:37 -0000
Đã nhận: từ [235.16.47.37] bởi 38.118.132.100 id; Chủ nhật, ngày 16 tháng 11 năm 2003 13:38:22 -0600
ID tin nhắn:
Từ: "Reinaldo Gilliam"
Trả lời: "Reinaldo Gilliam"
Tới: ladedu@ladedu.com
Chủ đề: Danh mục A Lấy meds u cần lgvkalfnqnh bbk
Ngày: CN, ngày 16 tháng 11 năm 2003 13:38:22 GMT
X-Mailer: Dịch vụ Internet Mail (5.5.2650.21)
Phiên bản MIME: 1.0
Content-Type: multipart / alternative;
ranh giới = "9B_9 .._ C_2EA.0DD_23"
Mức độ ưu tiên X: 3
Ưu tiên X-MSMail: Bình thường
Bạn có thể cho biết địa chỉ IP nơi email có nguồn gốc không?
Tên người gửi và chủ đề
Trước tiên, hãy xem dòng giả mạo - Từ:. Người gửi spam muốn làm cho nó trông giống như thông điệp được gửi từ một Yahoo! Tài khoản thư. Cùng với dòng Trả lời:, địa chỉ From: này nhằm mục đích chỉ đạo tất cả các thư trả lời và trả lời tức giận cho một Yahoo! Tài khoản thư.
Tiếp theo, Subject: là một sự kết hợp kỳ lạ của các nhân vật ngẫu nhiên. Nó hầu như không đọc được và rõ ràng được thiết kế để đánh lừa các bộ lọc spam (mọi thông điệp nhận được một tập hợp các ký tự ngẫu nhiên hơi khác), nhưng nó cũng khá khéo léo được tạo ra để nhận được thông điệp mặc dù điều này.
Đã nhận: Các dòng
Cuối cùng, các dòng Received:. Hãy bắt đầu với phiên bản cũ nhất, Đã nhận: từ [235.16.47.37] theo id 38.118.132.100; Chủ nhật, ngày 16 tháng 11 năm 2003 13:38:22 -0600 . Không có tên máy chủ lưu trữ trong đó, nhưng hai địa chỉ IP: 38.118.132.100 khiếu nại đã nhận được thông báo từ 235.16.47.37. Nếu điều này đúng, thì 235.16.47.37 là nơi email có nguồn gốc và chúng tôi sẽ tìm ra ISP nào thuộc địa chỉ IP này, sau đó gửi báo cáo lạm dụng cho họ.
Hãy xem liệu máy chủ tiếp theo (và trong trường hợp này cuối cùng) trong chuỗi xác nhận xác nhận đầu tiên của dòng đã nhận: Đã nhận: từ không xác định (HELO 38.118.142.100) (62.105.106.207) bởi mail1.infinology.com với SMTP; 16 tháng 11 năm 2003 19:50:37 -0000 .
Vì mail1.infinology.com là máy chủ cuối cùng trong chuỗi và thực sự là "máy chủ" của chúng tôi, chúng tôi biết rằng chúng tôi có thể tin tưởng nó. Nó đã nhận được thông báo từ một máy chủ "không xác định" tuyên bố có địa chỉ IP là 38.118.132.100 (sử dụng lệnh SMTP HELO ). Cho đến nay, điều này là phù hợp với những gì trước đó đã nhận: dòng nói.
Bây giờ chúng ta hãy xem nơi máy chủ thư của chúng tôi đã nhận được thư từ đó. Để tìm hiểu, chúng ta hãy xem địa chỉ IP trong các dấu ngoặc ngay lập tức trước bằng mail1.infinology.com . Đây là địa chỉ IP mà kết nối được thiết lập, và nó không phải là 38.118.132.100. Không, 62.105.106.207 là nơi gửi thư rác này.
Với thông tin này, bây giờ bạn có thể xác định ISP của người gửi spam và báo cáo email không được yêu cầu cho họ để họ có thể khởi động spammer khỏi mạng.