O spam terminará cando non sexa máis rendible. Os spammers verán que os seus beneficios caen se ninguén compra deles (porque nin sequera ve os correos lixo). Esta é a forma máis sinxela de loitar contra o spam e, por suposto, un dos mellores.
Queixándose sobre Spam
Pero tamén pode afectar o lado de gastos do balance de spammer. Se che queixes ao Provedor de servizos de Internet (ISP) do spammer, perderán a súa conexión e talvez terán que pagar unha multa (segundo a política de uso aceptable do ISP).
Dado que os spammers saben e temen estes informes, intentan ocultalos. É por iso que atopar o ISP correcto non sempre é doado. Afortunadamente, hai ferramentas como SpamCop que facilitan o spam de informes correctamente ao enderezo correcto.
Determinación da orixe do spam
Como SpamCop atopa o ISP correcto para reclamar? Leva unha ollada atenta ás liñas de cabeceira da mensaxe de spam . Estes cabeceiras conteñen información sobre o camiño que tomou un correo electrónico.
SpamCop segue a ruta ata o punto desde onde se enviou o correo electrónico. Desde este punto, tamén coñecido como enderezo IP , pode derivar o ISP do spammer e enviar o informe a este departamento de abuso de ISP.
Vexamos máis atento a como isto funciona.
Correo electrónico: Cabeceira e corpo
Cada mensaxe de correo electrónico consta de dúas partes, o corpo e o cabeceiro. O encabezado pódese considerar como o sobre da mensaxe, que contén a dirección do remitente, o destinatario, o asunto e outra información. O corpo contén o texto real e os anexos.
Algunha información de cabeceira xeralmente amosada polo seu programa de correo electrónico inclúe:
- De: - Nome do remitente e enderezo de correo electrónico .
- Para: - Nome do destinatario e enderezo de correo electrónico.
- Data: - A data na que se enviou a mensaxe.
- Asunto: - A liña do asunto .
Forxa de cabeceira
A entrega real de correos electrónicos non depende nalgún destes encabezados, senón que son só comodidade.
Normalmente, a liña "De:", por exemplo, configurarase na dirección do remitente. Isto asegúrase de saber quen é a mensaxe e pode responder con facilidade.
Os spammers queren asegurarse de que non pode responder con facilidade e, por suposto, non queren que saiba quen son. É por iso que insírense enderezos de correo ficticios nas liñas From: das súas mensaxes lixo.
Recibido: liñas
Polo tanto, a liña From: inútil se queremos determinar a verdadeira fonte dun correo electrónico. Afortunadamente, non necesitamos confiar nela. Os encabezados de cada mensaxe de correo electrónico tamén conteñen Liñas recibidas:.
Non se amosan habitualmente por programas de correo electrónico, pero poden ser moi útiles para rastrexar spam.
Reparación recibida: Liñas de cabeceira
Do mesmo xeito que unha carta postal pasará por varias oficinas de correos ao seu paso do remitente ao destinatario, varios mensaxes procesan e reenvían varios servidores de correo.
Imaxina todas as oficinas de correos poñendo un selo especial en cada carta. O selo diría exactamente cando recibiu a carta, de onde viña e onde foi enviada pola oficina de correos. Se recibiu a carta, podería determinar o camiño exacto que tomou a letra.
Isto é exactamente o que ocorre co correo electrónico.
Recibido: liñas de seguimento
Como un servidor de correo procesa unha mensaxe, engade unha liña especial, a liña Received: ao encabezado da mensaxe. A liña Received contén, o máis interesante,
- o nome do servidor e o enderezo IP da máquina que o servidor recibiu a mensaxe de e
- o nome do propio servidor de correo .
A liña Received: sempre inserida na parte superior dos encabezados da mensaxe. Se queremos reconstruír a viaxe dun correo electrónico dende o remitente ata o destinatario, tamén comezamos na liña superior recibida: (por que facemos isto, veremos aparente nun momento) e percorreremos ata chegar ao último, onde é onde o correo electrónico orixinouse.
Recibido: forxa de liña
Os spammers saben que imos aplicar exactamente este procedemento para descubrir o seu paradero. Para engañarnos, poden inserir forxado Received: liñas que apuntan a outra persoa enviando a mensaxe.
Xa que cada servidor de correo sempre colocará a súa liña Received: na parte superior, os encabezados forxados de spammers só poden estar na parte inferior da cadea de liña Received:. É por iso que comezamos a nosa análise na parte superior e non só derivamos o punto onde se orixinou un correo electrónico desde a primeira liña recibida: (na parte inferior).
Como contar un forxado recibido: liña de cabeceira
O forxado recibido: as liñas inseridas polos spammers para enganarnos veranse como todas as outras liñas recibidas: a menos que cometan un erro evidente, por suposto). Por si só, non podes contar unha liña Forxada recibida: desde unha auténtica.
Aquí é onde unha característica distinta das liñas Received: entra en xogo. Como observamos anteriormente, cada servidor non só notará quen é, senón tamén onde recibiu a mensaxe (en formato de enderezo IP).
Simplemente comprobamos quen é o servidor que pretende estar co que o servidor de primeira liña na cadea di que realmente é. Se os dous non coinciden, forzouse a liña anterior Received:.
Neste caso, a orixe do correo electrónico é o que o servidor inmediatamente despois do fornecido Received: liña ten que dicir sobre quen recibiu a mensaxe.
Estás listo para un exemplo?
Exemplo de spam analizado e trazado
Agora que coñecemos o soporte teórico, vexamos como analizar un correo lixo para identificar os seus traballos de orixe na vida real.
Acabamos de recibir un exemplar de spam que podemos usar para o exercicio. Aquí tes as liñas de cabeceiras:
Recibido: de descoñecido (HELO 38.118.132.100) (62.105.106.207)
por mail1.infinology.com con SMTP; 16 nov 2003 19:50:37 -0000
Recibido: de [235.16.47.37] por 38.118.132.100 id; Dom, 16 de novembro de 2003 13:38:22 -0600
ID da mensaxe:
De: "Reinaldo Gilliam"
Responder a: "Reinaldo Gilliam"
Para: ladedu@ladedu.com
Asunto: Categoría A Obter as meds u need lgvkalfnqnh bbk
Data: domingo, 16 de novembro de 2003 13:38:22 GMT
X-Mailer: Servizo de correo de Internet (5.5.2650.21)
Versión MIME: 1.0
Tipo de contido: multiparte / alternativa;
boundary = "9B_9 .._ C_2EA.0DD_23"
X-Prioridade: 3
X-MSMail-Prioridade: Normal
¿Podes dicir a dirección IP onde se orixinou o correo electrónico?
Remitente e asunto
En primeiro lugar, bote a liña forxada de liña. O spammer quere facelo coma se a mensaxe fose enviada desde un Yahoo! Conta de correo. Xunto coa liña de resposta a: esta dirección de: está dirixida a dirixir todas as mensaxes de despedida e respostas irritadas a un Yahoo! non existente. Conta de correo.
A continuación, o Asunto: é unha curiosa aglomeración de personaxes aleatorios. Apenas é lexible e, obviamente, está deseñado para enxugar os filtros de spam (cada mensaxe obtén un conxunto lixeiramente diferente de caracteres aleatorios), pero tamén é moi habilitado para obter a mensaxe a pesar diso.
Os recibidos: liñas
Finalmente, as liñas Received:. Empecemos co máis antigo, recibido: de [235.16.47.37] por 38.118.132.100 id; Dom, 16 de novembro de 2003 13:38:22 -0600 . Non hai ningún nome de servidor nel, pero dúas direccións IP: 38.118.132.100 afirman recibir a mensaxe de 235.16.47.37. Se isto é correcto, 235.16.47.37 é o lugar onde se orixinou o correo electrónico e descubrimos que ISP pertence a este enderezo IP e, a continuación, envíanos un informe de abuso .
A ver se o seguinte (e neste último caso) o servidor da cadea confirma as primeiras reclamacións de Received: line: Recibidas: de descoñecidas (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com con SMTP; 16 nov 2003 19:50:37 -0000 .
Dado que mail1.infinology.com é o último servidor da cadea e de feito o noso "servidor" sabemos que podemos confiar nel. Recibiu a mensaxe dun servidor "descoñecido" que afirmaba ter a dirección IP 38.118.132.100 (usando o comando SMTP HELO ). Ata agora, isto está en consonancia co que dixo a liña anterior Received:
Agora vexamos de onde chegou a mensaxe o noso servidor de correo. Para descubrir, imos consultar o enderezo IP entre corchetes inmediatamente antes por mail1.infinology.com . Este é o enderezo IP desde que se estableceu a conexión e non é 38.118.132.100. Non, 62.105.106.207 é onde se enviou esta peza de correo lixo.
Con esta información, agora pode identificar o ISP do spammer e informarlle o correo electrónico non solicitado para que poidan expulsar o spammer fóra da rede.