هرزنامه زمانی پایان می یابد که دیگر سودی نداشته باشد. اگر کسی از آنها خرید نکند، اسپمرها شاهد کاهش سود خود خواهند بود (زیرا شما حتی ایمیل های ناخواسته را هم نمی بینید). این سادهترین راه برای مبارزه با هرزنامهها و مطمئناً یکی از بهترینها است.
شکایت درباره هرزنامه
می توانید روی هزینه های ترازنامه هرزنامه هم تأثیر بگذارید. اگر به ارائهدهنده خدمات اینترنتی (ISP) هرزنامهنویس شکایت کنید، آنها اتصال خود را از دست خواهند داد و ممکن است مجبور به پرداخت جریمه شوند (بسته به خطمشی استفاده قابل قبول ISP).
از آنجایی که ارسالکنندگان هرزنامه از چنین گزارشهایی اطلاع دارند و از آن میترسند، سعی میکنند مخفی شوند. به همین دلیل است که پیدا کردن ISP مناسب همیشه آسان نیست. با این حال، ابزارهایی مانند SpamCop وجود دارد که گزارش هرزنامه را به درستی به آدرس دقیق ساده می کند.
تعیین منبع هرزنامه
چگونه SpamCop ISP مناسب را برای شکایت پیدا می کند؟ این نگاهی دقیق به خطوط سرصفحه پیام هرزنامه دارد. این سرصفحه ها حاوی اطلاعاتی درباره مسیری است که یک ایمیل طی کرده است.
SpamCop مسیر را تا نقطه ای که ارسال کننده هرزنامه از آنجا ایمیل ارسال کرده است دنبال می کند. از این نقطه، همچنین به عنوان یک آدرس IP شناخته می شود، می تواند ISP هرزنامه را استخراج کند و گزارش را به بخش سوء استفاده این ISP ارسال کند.
بیایید نگاهی دقیقتر به نحوه عملکرد این بیاندازیم.
سرصفحه و متن ایمیل
هر پیام ایمیل از دو بخش بدنه و هدر تشکیل شده است. هدر مانند پاکت ایمیل است که حاوی آدرس فرستنده، گیرنده، موضوع و سایر اطلاعات است. متن دارای متن و پیوست است.
برخی از اطلاعات هدر که معمولاً توسط برنامه ایمیل شما نمایش داده می شود عبارتند از:
- From: نام و آدرس ایمیل فرستنده.
- به: نام و آدرس ایمیل گیرنده.
- تاریخ: تاریخ ارسال پیام.
- موضوع: خط موضوع.
Header Forging
تحویل واقعی ایمیل ها به هیچ یک از این هدرها بستگی ندارد. آنها فقط راحت هستند.
معمولاً، برای مثال، خط From به آدرس فرستنده ارسال می شود تا بدانید پیام از طرف چه کسی است و بتوانید به سرعت پاسخ دهید.
ارسالکنندگان هرزنامه میخواهند مطمئن شوند که نمیتوانید به راحتی پاسخ دهید، و مطمئناً نمیخواهند شما بدانید که آنها چه کسانی هستند. به همین دلیل است که آنها آدرس های ایمیل ساختگی را در خطوط From پیام های ناخواسته خود درج می کنند.
خطوط دریافتی
خط From در تعیین منبع واقعی ایمیل بی فایده است. نیازی نیست به آن تکیه کنید. سرصفحه هر پیام ایمیل همچنین حاوی خطوط دریافتی است.
برنامه های ایمیل معمولاً این موارد را نمایش نمی دهند، اما می توانند در ردیابی هرزنامه ها مفید باشند.
تجزیه خطوط سرصفحه دریافتی
همانطور که یک نامه پستی در مسیر خود از فرستنده تا گیرنده از چندین اداره پست عبور می کند، یک پیام ایمیل توسط چندین سرور پست پردازش و ارسال می شود.
تصور کنید هر اداره پستی روی هر نامه یک مهر منحصر به فرد می گذارد. تمبر دقیقاً میگوید چه زمانی نامه دریافت شده است، از کجا آمده است و توسط اداره پست به کجا ارسال شده است. اگر نامه را دریافت کردید، میتوانید مسیر دقیق آن را تعیین کنید.
این دقیقاً همان چیزی است که با ایمیل اتفاق می افتد.
خطوط دریافتی برای ردیابی
همانطور که یک سرور ایمیل یک پیام را پردازش می کند، یک خط خاص به هدر پیام اضافه می کند. خط Received شامل نام سرور و آدرس IP دستگاهی است که سرور از آن پیام دریافت کرده و نام سرور پست الکترونیکی.
خط دریافتی همیشه در بالای سرصفحه پیام قرار دارد. برای بازسازی مسیر ایمیل از فرستنده به گیرنده، از بالاترین خط دریافتی شروع کنید و به آخرین خط دریافت کنید، جایی که ایمیل از آنجا شروع شد.
دریافت خط فورج
ارسال کنندگان هرزنامه می دانند که مردم از این روش برای کشف محل نگهداری خود استفاده می کنند. آنها ممکن است خطوط دریافتی جعلی را وارد کنند که نشان می دهد شخص دیگری پیام را برای فریب دادن گیرنده مورد نظر ارسال می کند.
از آنجایی که هر سرور ایمیل همیشه خط دریافتی خود را در بالا قرار می دهد، سرصفحه های جعلی ارسال کننده های هرزنامه فقط می توانند در پایین زنجیره خط دریافت شده باشند. به همین دلیل است که شما باید تجزیه و تحلیل خود را از بالا شروع کنید و فقط از نقطه ای که ایمیل از اولین خط دریافتی (در پایین) منشأ گرفته است، استفاده نکنید.
چگونه خط سربرگ دریافتی جعلی را تشخیص دهیم
خطوط دریافتی جعلی که توسط ارسال کنندگان هرزنامه درج می شود مانند سایر خطوط دریافتی است (مگر اینکه اشتباه آشکاری مرتکب شوند).به خودی خود، شما نمی توانید یک خط دریافتی جعلی را از یک خط اصلی تشخیص دهید، که در این جا یک ویژگی متمایز از خطوط دریافت شده به چشم می خورد. هر سرور یادداشت می کند که کیست و پیام را از کجا دریافت کرده است (در فرم آدرس IP).
آنچه را که یک سرور ادعا می کند با آنچه که سرور یک درجه بالاتر در زنجیره می گوید مقایسه کنید. اگر این دو مطابقت نداشتند، خط قبلی یک خط دریافت جعلی است.
در این مورد، منشأ ایمیل همان چیزی است که سرور بلافاصله پس از دریافت جعلی قرار داده است.
نمونه هرزنامه تجزیه و تحلیل و ردیابی
اکنون که پشتوانه نظری آن را می دانیم، بیایید یک ایمیل ناخواسته را تجزیه و تحلیل کنیم تا منشا آن را در زندگی واقعی شناسایی کنیم.
ما به تازگی یک قطعه اسپم مثالی دریافت کرده ایم که می توانیم از آن برای ورزش استفاده کنیم. در اینجا خطوط سرصفحه آمده است:
دریافت: از ناشناس (HELO 38.118.132.100) (62.105.106.207) توسط mail1.infinology.com با SMTP؛ 16 نوامبر 2003 19:50:37 -0000 دریافت: از [235.16.47.37] توسط 38.118.132.100 شناسه; Sun, 16 Nov 2003 13:38:22 -0600 شناسه پیام: از: "Reinaldo Gilliam" پاسخ به: "Reinaldo Gilliam" به: [email protected] موضوع: رده A دریافت داروهای مورد نیاز lgvkalfnqnh bbk D: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-نسخه: 1.0 نوع محتوا: چند بخشی/جایگزین. boundary="9B_9._C_2EA.0DD_23" اولویت X: 3 X-MSMail-Priority: Normal
آیا می توانید آدرس IP را بگویید که ایمیل از کجا آمده است؟
فرستنده و موضوع
ابتدا، به خط ساخت جعلی From نگاه کنید. ارسال کننده هرزنامه می خواهد آن را به نظر برساند که پیام از طرف یاهو آمده است! حساب پستی با خط Reply-To، این آدرس From قصد دارد همه پیامهای پرشور و پاسخهای عصبانی را به یک یاهو که وجود ندارد هدایت کند! حساب ایمیل.
بعد، موضوع انباشت عجیبی از کاراکترهای تصادفی است. به سختی خوانا است و برای فریب دادن فیلترهای هرزنامه طراحی شده است (هر پیام مجموعه ای متفاوت از کاراکترهای تصادفی دریافت می کند). با این حال، با وجود این، برای رساندن پیام به طور کاملاً ماهرانه ای ساخته شده است.
خطوط دریافتی
در نهایت، خطوط دریافت شد. بیایید با قدیمی ترین شروع کنیم، Received: from [235.16.47.37] by 38.118.132.100 id; یکشنبه, 16 نوامبر 2003 13:38:22 -0600. هیچ نام میزبانی در آن وجود ندارد، اما دو آدرس IP: 38.118.132.100 ادعا می کند که پیام را از 235.16.47.37 دریافت کرده است. اگر این درست است، 235.16.47.37 جایی است که ایمیل منشا گرفته است، و ما متوجه می شویم که این آدرس IP متعلق به کدام ISP است، سپس یک گزارش سوء استفاده برای آنها ارسال کنیم.
بیایید ببینیم آیا سرور بعدی (و در این مورد آخرین) در زنجیره ادعاهای اولین خط دریافتی را تأیید می کند: دریافت شده: از ناشناخته (HELO 38.118.142.100) (62.105.106.207) توسط mail1.infinology.com با SMTP; 16 نوامبر 2003 19:50:37 -0000.
از آنجایی که mail1.infinology.com آخرین سرور در زنجیره و در واقع سرور "ما" است، می دانیم که می توانیم به آن اعتماد کنیم. این پیام را از یک میزبان "ناشناس" دریافت کرده است که ادعا می کند آدرس IP 38.118.132.100 را دارد (با استفاده از دستور SMTP HELO).تا اینجای کار، این مطابق با آنچه در خط قبلی Received گفته شده است.
حالا بیایید ببینیم سرور ایمیل ما این پیام را از کجا دریافت کرده است. برای پیدا کردن، آدرس IP داخل پرانتز را بلافاصله قبل از mail1.infinology.com نگاه کنید. این آدرس IP است که اتصال از آن برقرار شده است و 38.118.132.100 نیست. نه، 62.105.106.207 جایی است که این نامه ناخواسته از آنجا ارسال شده است.
با این اطلاعات، اکنون می توانید ISP هرزنامه را شناسایی کنید و ایمیل ناخواسته را به آنها گزارش دهید تا هرزنامه را از شبکه خارج کنید.
