Spam stopt wanneer het niet langer winstgevend is. Spammers zullen hun winst zien dalen als niemand iets bij hen koopt (omdat je de ongewenste e-mails niet eens ziet). Dit is de gemakkelijkste manier om spam te bestrijden, en zeker een van de beste.
Klagen over spam
U kunt ook de uitgavenkant van de balans van een spammer beïnvloeden. Als u een klacht indient bij de internetprovider (ISP) van de spammer, verliezen ze hun verbinding en moeten ze mogelijk een boete betalen (afhankelijk van het aanvaardbare gebruiksbeleid van de ISP).
Aangezien spammers dergelijke rapporten kennen en er bang voor zijn, proberen ze zich te verbergen. Daarom is het niet altijd gemakkelijk om de juiste ISP te vinden. Er zijn echter tools zoals SpamCop die het correct rapporteren van spam naar het juiste adres vereenvoudigen.
De bron van spam bepalen
Hoe vindt SpamCop de juiste ISP om bij te klagen? Het neemt de kopregels van het spambericht onder de loep. Deze headers bevatten informatie over het pad dat een e-mail heeft afgelegd.
SpamCop volgt het pad tot het punt van waaruit de spammer de e-mail heeft verzonden. Vanaf dit punt, ook bekend als een IP-adres, kan het de ISP van de spammer afleiden en het rapport naar de misbruikafdeling van deze ISP sturen.
Laten we eens nader bekijken hoe dit werkt.
E-mail Header en Body
Elk e-mailbericht bestaat uit twee delen, de hoofdtekst en de koptekst. De koptekst is als de e-mailenvelop met het adres van de afzender, de ontvanger, het onderwerp en andere informatie. De body heeft de tekst en de bijlagen.
Sommige koptekstinformatie die gewoonlijk door uw e-mailprogramma wordt weergegeven, omvat:
- Van: de naam en het e-mailadres van de afzender.
- Aan: de naam en het e-mailadres van de ontvanger.
- Datum: De datum waarop het bericht is verzonden.
- Subject: De onderwerpregel.
Koptekst smeden
De daadwerkelijke bezorging van e-mails is niet afhankelijk van een van deze headers. Ze zijn gewoon handig.
Meestal wordt de regel Van bijvoorbeeld naar het adres van de afzender gestuurd, zodat u weet van wie het bericht afkomstig is en snel kunt antwoorden.
Spammers willen ervoor zorgen dat je niet gemakkelijk kunt antwoorden, en willen zeker niet dat je weet wie ze zijn. Dat is waarom ze fictieve e-mailadressen invoegen in de Van-regels van hun ongewenste berichten.
Ontvangen lijnen
De Van-regel is nutteloos bij het bepalen van de echte bron van een e-mail. U hoeft er niet op te vertrouwen. De headers van elk e-mailbericht bevatten ook Received-regels.
E-mailprogramma's geven deze gewoonlijk niet weer, maar ze kunnen nuttig zijn bij het opsporen van spam.
Ontvangen koptekstregels
Net zoals een postbrief door verschillende postkantoren gaat op weg van afzender naar ontvanger, wordt een e-mailbericht verwerkt en doorgestuurd door verschillende mailservers.
Stel je voor dat elk postkantoor een unieke stempel op elke letter zet. De postzegel zou precies aangeven wanneer de post werd ontvangen, waar deze vandaan kwam en waar deze door het postkantoor naar toe werd gestuurd. Als je de brief hebt gekregen, kun je het exacte pad van de brief bepalen.
Dit is precies wat er gebeurt met e-mail.
Ontvangen lijnen voor tracering
Als een mailserver een bericht verwerkt, voegt het een bepaalde regel toe aan de kop van het bericht. De regel Ontvangen bevat de servernaam en het IP-adres van de machine waarvan de server het bericht heeft ontvangen, en de naam van de mailserver.
De regel Ontvangen staat altijd bovenaan de berichtkop. Om de reis van een e-mail van afzender naar ontvanger te reconstrueren, begin je bij de bovenste regel Ontvangen en ga je naar de laatste, waar de e-mail vandaan komt.
Ontvangen lijn smeden
Spammers weten dat mensen deze procedure toepassen om hun verblijfplaats te achterhalen. Ze kunnen vervalste ontvangen regels invoegen die verwijzen naar iemand anders die het bericht verzendt om de beoogde ontvanger voor de gek te houden.
Aangezien elke mailserver zijn Received-regel altijd bovenaan plaatst, kunnen de vervalste headers van spammers alleen onderaan de Received-regelketen staan. Daarom moet u uw analyse bovenaan beginnen en niet alleen het punt afleiden waar een e-mail afkomstig is van de eerste ontvangen regel (onderaan).
Hoe herken ik een vervalste ontvangen kopregel
De vervalste ontvangen regels die door spammers zijn ingevoegd, zien eruit als alle andere ontvangen regels (tenzij ze een duidelijke fout maken). Op zichzelf kun je een vervalste Ontvangen lijn niet onderscheiden van een echte, en dat is waar een duidelijk kenmerk van Ontvangen lijnen in het spel komt. Elke server noteert wie het is en waar het het bericht vandaan heeft (in IP-adresvorm).
Vergelijk wat een server beweert te zijn met wat de server in de keten zegt dat het is. Als de twee niet overeenkomen, is de eerdere een vervalste Ontvangen regel.
In dit geval is de oorsprong van de e-mail wat de server heeft geplaatst direct na de vervalste Ontvangen zegt.
Voorbeeld spam geanalyseerd en getraceerd
Nu we de theoretische onderbouwing kennen, gaan we een ongewenste e-mail analyseren om de oorsprong ervan in het echte leven te identificeren.
We hebben zojuist een voorbeeldig stukje spam ontvangen dat we kunnen gebruiken om te sporten. Dit zijn de kopregels:
Ontvangen: van onbekend (HELO 38.118.132.100) (62.105.106.207) per mail1.infinology.com met SMTP; 16 nov 2003 19:50:37 -0000 Ontvangen: van [235.16.47.37] door 38.118.132.100 id; zo 16 nov 2003 13:38:22 -0600 Bericht-ID: Van: "Reinaldo Gilliam" Antwoord aan: "Reinaldo Gilliam" Aan: [email protected] Onderwerp: Categorie A Ontvang de medicijnen die u nodig hebt lgvkalfnqnh bbk Datum: zo 16 nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-versie: 1.0 Inhoudstype: meervoudig/ alternatief; grens="9B_9._C_2EA.0DD_23" X-Prioriteit: 3 X-MSMail-Prioriteit: Normaal
Kunt u het IP-adres vertellen waar de e-mail vandaan komt?
Afzender en onderwerp
Kijk eerst naar de vervalste Van-regel. De spammer wil het laten lijken alsof het bericht van een Yahoo! Mail-account. Met de Reply-To-regel is dit Van-adres bedoeld om alle stuiterende berichten en boze antwoorden door te sturen naar een niet-bestaand Yahoo! E-mailaccount.
Vervolgens is het onderwerp een merkwaardige opeenstapeling van willekeurige tekens. Het is nauwelijks leesbaar en ontworpen om spamfilters voor de gek te houden (elk bericht krijgt een iets andere set willekeurige tekens). Toch is het ook behoorlijk vakkundig gemaakt om de boodschap desondanks over te brengen.
De ontvangen lijnen
Tot slot, de ontvangen regels. Laten we beginnen met de oudste, Ontvangen: van [235.16.47.37] voor 38.118.132.100 id; zo 16 nov 2003 13:38:22 -0600. Er staan geen hostnamen in, maar twee IP-adressen: 38.118.132.100 beweert het bericht te hebben ontvangen van 235.16.47.37. Als dit correct is, is 235.16.47.37 waar de e-mail vandaan komt, en we zouden uitzoeken van welke ISP dit IP-adres toebehoort, en dan een misbruikrapport naar hen sturen.
Laten we kijken of de volgende (en in dit geval laatste) server in de keten de beweringen van de eerste ontvangen regel bevestigt: Ontvangen: van onbekend (HELO 38.118.142.100) (62.105.106.207) per mail1.infinology.com met SMTP; 16 nov 2003 19:50:37 -0000.
Aangezien mail1.infinology.com de laatste server in de keten is en inderdaad "onze" server, weten we dat we hem kunnen vertrouwen. Het heeft het bericht ontvangen van een "onbekende" host die beweert het IP-adres 38.118.132.100 te hebben (met behulp van de SMTP HELO-opdracht). Tot dusver is dit in lijn met wat de vorige Received-regel zei.
Laten we nu eens kijken waar onze mailserver het bericht vandaan heeft. Om erachter te komen, kijk naar het IP-adres tussen haakjes direct ervoor door mail1.infinology.com. Dit is het IP-adres van waaruit de verbinding tot stand is gebracht, en het is niet 38.118.132.100. Nee, 62.105.106.207 is waar deze ongewenste e-mail vandaan is gestuurd.
Met deze informatie kunt u nu de ISP van de spammer identificeren en de ongevraagde e-mail aan hen rapporteren om de spammer van het internet te verwijderen.
