Strooipos sal eindig wanneer dit nie meer winsgewend is nie. Spammers sal sien hoe hul wins tuimel as niemand by hulle koop nie (omdat jy nie eers die gemors-e-posse sien nie). Dit is die maklikste manier om strooipos te beveg, en beslis een van die beste.
Kla oor strooipos
Jy kan ook die uitgawekant van 'n spammer se balansstaat beïnvloed. As jy by die spammer se internetdiensverskaffer (ISP) kla, sal hulle hul verbinding verloor en dalk 'n boete moet betaal (afhangende van die ISP se aanvaarbare gebruiksbeleid).
Aangesien spammers sulke berigte ken en vrees, probeer hulle wegkruip. Dit is hoekom dit nie altyd maklik is om die regte ISP te vind nie. Daar is egter nutsmiddels soos SpamCop wat die rapportering van strooipos korrek na die akkurate adres vergemaklik.
Bepaling van die bron van strooipos
Hoe vind SpamCop die regte ISP om by te kla? Dit kyk noukeurig na die strooiposboodskap se kopreëls. Hierdie opskrifte bevat inligting oor die pad wat 'n e-pos geneem het.
SpamCop volg die pad tot by die punt vanwaar die strooipossender die e-pos gestuur het. Vanaf hierdie punt, ook bekend as 'n IP-adres, kan dit die spammer se ISP aflei en die verslag na hierdie ISP se misbruikafdeling stuur.
Kom ons kyk noukeuriger na hoe dit werk.
E-posopskrif en liggaam
Elke e-posboodskap bestaan uit twee dele, die liggaam en die kopskrif. Die kopskrif is soos die e-pos koevert wat die sender se adres, die ontvanger, die onderwerp en ander inligting bevat. Die liggaam het die teks en die aanhangsels.
Sommige opskrifinligting wat gewoonlik deur jou e-posprogram vertoon word, sluit in:
- Van: Die sender se naam en e-posadres.
- To: Die ontvanger se naam en e-posadres.
- Date: Die datum waarop die boodskap gestuur is.
- Onderwerp: Die onderwerpreël.
Header Forging
Die werklike aflewering van e-posse hang nie van enige van hierdie opskrifte af nie. Hulle is net gerieflik.
Gewoonlik sal die Van-lyn byvoorbeeld na die sender se adres gestuur word sodat jy weet van wie die boodskap is en vinnig kan antwoord.
Spammers wil seker maak jy kan nie maklik antwoord nie, en wil beslis nie hê jy moet weet wie hulle is nie. Dit is hoekom hulle fiktiewe e-posadresse in die From-reëls van hul gemorsboodskappe invoeg.
Ontvang lyne
Die Van-lyn is nutteloos om die werklike bron van 'n e-pos te bepaal. Jy hoef nie daarop staat te maak nie. Die opskrifte van elke e-posboodskap bevat ook Ontvangde reëls.
E-posprogramme vertoon dit gewoonlik nie, maar hulle kan voordelig wees om strooipos op te spoor.
Ontleed ontvangde kopreëls
Net soos 'n posbrief deur verskeie poskantore gaan op pad van sender na ontvanger, word 'n e-posboodskap deur verskeie posbedieners verwerk en aangestuur.
Stel jou voor dat elke poskantoor 'n unieke stempel op elke brief plaas. Die seël sou presies sê wanneer die pos ontvang is, waar dit vandaan kom en waarheen dit deur die poskantoor aangestuur is. As jy die brief gekry het, kan jy die presiese pad wat die brief neem, bepaal.
Dit is presies wat met e-pos gebeur.
Received Lines for Tracing
Soos 'n posbediener 'n boodskap verwerk, voeg dit 'n spesifieke reël by die boodskap se kopskrif. Die Ontvang-lyn bevat die bedienernaam en IP-adres van die masjien waarvandaan die bediener die boodskap ontvang het, en die naam van die posbediener.
Die Ontvang-reël is altyd bo-aan die boodskapopskrif. Om 'n e-pos se reis van sender na 'n ontvanger te rekonstrueer, begin by die boonste Ontvang-reël en gaan af na die laaste een, dit is waar die e-pos ontstaan het.
Received Line Forging
Spammers weet dat mense hierdie prosedure toepas om vas te stel waar hulle is. Hulle kan dalk vervalste Ontvang-lyne invoeg wat wys na iemand anders wat die boodskap stuur om die beoogde ontvanger te flous.
Aangesien elke e-posbediener altyd sy Ontvangslyn bo-aan sal plaas, kan die strooiposversamelaars se vervalste opskrifte slegs onderaan die Ontvangslynketting wees. Dit is hoekom jy jou ontleding aan die bokant moet begin en nie net die punt aflei waar 'n e-pos vanaf die eerste Ontvang-reël (onderaan) ontstaan het nie.
Hoe om 'n vervalste ontvangkoplyn te vertel
Die vervalste Ontvang-lyne wat deur strooipossiers ingevoeg is, lyk soos al die ander Ontvang-lyne (tensy hulle 'n ooglopende fout maak). Op sigself kan jy nie 'n vervalste ontvang-lyn van 'n opregte een onderskei nie, dit is waar een duidelike kenmerk van Ontvang-lyne ter sprake kom. Elke bediener merk op wie dit is en waar dit die boodskap vandaan gekry het (in IP-adresvorm).
Vergelyk wat 'n bediener beweer om te wees met wat die bediener een in die ketting sê dit is. As die twee nie ooreenstem nie, is die vroeëre 'n vervalste Reeived-lyn.
In hierdie geval is die e-pos se oorsprong wat die bediener geplaas het onmiddellik na die vervalste Ontvangs sê.
Voorbeeld strooipos ontleed en opgespoor
Nou dat ons die teoretiese onderbou ken, kom ons ontleed 'n gemors-e-pos om die oorsprong daarvan in die werklike lewe te identifiseer.
Ons het sopas 'n voorbeeldige stuk strooipos ontvang wat ons vir oefening kan gebruik. Hier is die kopreëls:
Ontvang: van onbekend (HELO 38.118.132.100) (62.105.106.207) per mail1.infinology.com met SMTP; 16 Nov 2003 19:50:37 -0000 Ontvang: van [235.16.47.37] deur 38.118.132.100 id; Son, 16 Nov 2003 13:38:22 -0600 Boodskap-ID: Van: "Reinaldo Gilliam" Antwoord-aan: "Reinaldo Gilliam" Aan: [email protected] Onderwerp: Kategorie A Kry die medisyne wat jy nodig het lgvkalfnqnh bbk Datum: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-weergawe: 1.0 Inhoud-Tipe: multipart/ alternatief; boundary="9B_9._C_2EA.0DD_23" X-Prioriteit: 3 X-MSMail-Prioriteit: Normaal
Kan jy die IP-adres sê waar die e-pos ontstaan het?
Sender en Onderwerp
Kyk eers na die vervalste From-lyn. Die spammer wil dit laat lyk asof die boodskap van 'n Yahoo! Posrekening. Met die Reply-To-lyn is hierdie Van-adres daarop gemik om alle bonsende boodskappe en kwaai antwoorde na 'n nie-bestaande Yahoo! Posrekening.
Volgende, die onderwerp is 'n eienaardige opeenhoping van ewekansige karakters. Dit is skaars leesbaar en ontwerp om strooiposfilters te flous (elke boodskap kry 'n effens ander stel ewekansige karakters). Tog is dit ook redelik vaardig gemaak om die boodskap oor te dra ten spyte hiervan.
The Received Lines
Uiteindelik, die ontvangde lyne. Kom ons begin met die oudste, Ontvang: vanaf [235.16.47.37] deur 38.118.132.100 id; Son, 16 Nov 2003 13:38:22 -0600. Daar is geen gasheername daarin nie, maar twee IP-adresse: 38.118.132.100 beweer dat hy die boodskap van 235.16.47.37 ontvang het. As dit korrek is, is 235.16.47.37 waar die e-pos ontstaan het, en ons sal uitvind aan watter ISP hierdie IP-adres behoort, en dan 'n misbruikverslag aan hulle stuur.
Kom ons kyk of die volgende (en in hierdie geval laaste) bediener in die ketting die eerste Ontvang-lyn se eise bevestig: Ontvang: van onbekend (HELO 38.118.142.100) (62.105.106.207) per mail1.infinology.com met SMTP; 16 Nov 2003 19:50:37 -0000.
Aangesien mail1.infinology.com die laaste bediener in die ketting is en inderdaad "ons" bediener, weet ons dat ons dit kan vertrou. Dit het die boodskap van 'n "onbekende" gasheer ontvang wat beweer dat hy die IP-adres 38.118.132.100 het (met die SMTP HELO-opdrag). Tot dusver is dit in ooreenstemming met wat die vorige Ontvang-reël gesê het.
Kom ons kyk nou waar ons posbediener die boodskap vandaan gekry het. Om uit te vind, kyk na die IP-adres tussen hakies onmiddellik voor deur mail1.infinology.com. Dit is die IP-adres waarvandaan die verbinding tot stand gebring is, en dit is nie 38.118.132.100 nie. Nee, 62.105.106.207 is waar hierdie stuk gemorspos vandaan gestuur is.
Met hierdie inligting kan jy nou die spammer se ISP identifiseer en die ongevraagde e-pos aan hulle rapporteer om die spammer van die net af te skop.
