垃圾郵件將在不再有利可圖時結束。 如果沒有人從他們那裡購買垃圾郵件,他們的利潤就會下降(因為你甚至沒有看到垃圾郵件)。 這是打擊垃圾郵件的最簡單方法,當然也是最好的方法之一。
抱怨垃圾郵件
但是,您也可以影響垃圾郵件發送者的資產負債表的費用方面。 如果您向垃圾郵件發送者的互聯網服務提供商(ISP)投訴,他們將失去連接並可能需要支付罰款(取決於ISP的可接受使用政策)。
由於垃圾郵件發送者知道並擔心這種報告,他們試圖隱藏。 這就是為什麼找到合適的ISP並不總是容易的原因。 幸運的是,有像SpamCop這樣的工具可以輕鬆地將垃圾郵件正確地報告給正確的地址。
確定垃圾郵件的來源
SpamCop如何找到正確的ISP抱怨? 它仔細研究了垃圾郵件的 標題行 。 這些標題包含有關電子郵件所用路徑的信息。
SpamCop遵循這條路徑,直到發送電子郵件的地點。 從這個角度來看,也稱為IP地址 ,它可以派生垃圾郵件發送者的ISP並將報告發送給該ISP的濫用部門。
讓我們仔細看看它是如何工作的。
電子郵件:標題和正文
每封電子郵件由兩部分組成,正文和標題。 標題可以被視為郵件的信封,包含發件人,收件人,主題和其他信息的地址。 正文包含實際的文字和附件。
通常由您的電子郵件程序顯示的一些標題信息包括
標題鍛造
電子郵件的實際交付不取決於這些標題中的任何一個,它們只是方便的。
通常,例如,From:行將被設置為發件人的地址。 這可以確保您知道消息來自誰,並且可以輕鬆回复。
垃圾郵件發送者希望確保你不能輕鬆回复,當然也不希望你知道他們是誰。 這就是為什麼他們在他們的垃圾郵件的From:行中插入虛構的電子郵件地址。
收到:線
因此,如果我們想要確定電子郵件的真實來源,那麼From:行就沒用了。 幸運的是,我們不需要依賴它。 每封電子郵件的標題也包含Received:行。
這些通常不是通過電子郵件程序顯示的,但它們在跟踪垃圾郵件方面非常有用。
解析收到:標題行
就像一封郵件將從發件人到收件人的郵件一樣通過多個郵局,一封電子郵件將被多個郵件服務器處理並轉發。
想像一下,每個郵局都會在每封信上貼一張特別的郵票。 郵票會在收到郵件的時候,郵件的來源以及郵局的轉寄地址。 如果你收到這封信,你可以確定這封信的確切路徑。
這正是電子郵件發生的情況。
收到:跟踪線
當郵件服務器處理郵件時,它會在郵件的標題中添加一個特殊行,即Received:行。 Received:行包含,最有趣的是,
Received:行總是插入到郵件頭的頂部。 如果我們想重建電子郵件從發件人到收件人的旅程,我們也從最上面的Received:行開始(為什麼我們會這樣做會在一瞬間變得明顯),然後走下去,直到我們到達最後一個,這是電子郵件發起。
收到:Line Forging
垃圾郵件發送者知道我們將完全採用這一程序來揭露他們的下落。 為了欺騙我們,他們可能會插入偽造的Received:指向其他人發送消息的行。
由於每個郵件服務器將始終將其Received:行放在頂部,因此垃圾郵件發送者的偽造郵件頭只能位於Received:行鏈的底部。 這就是為什麼我們在頂端開始我們的分析,並不僅僅是從第一個Received:行(在底部)開始發送電子郵件。
如何判斷偽造的收件人:標題行
偽造的Received:由垃圾郵件發送者插入的行欺騙我們將看起來像所有其他Received:行(當然,除非他們明顯犯了錯誤)。 就其本身而言,你無法從真正的人那裡得知偽造的Received:線。
這就是Received:行的一個獨特特徵。 正如我們上面提到的,每個服務器不僅會記下它是誰,還會從哪裡獲得消息(以IP地址形式)。
我們只是比較一個服務器聲稱與服務器鏈上的服務器說的是什麼。 如果兩者不匹配,則早期的Received:行已被偽造。
在這種情況下,電子郵件的來源是偽造的Received:行後面的服務器必須說明收到消息的人。
你準備好了一個例子嗎?
垃圾郵件分析和追踪示例
現在我們知道了理論基礎,讓我們看看如何分析垃圾郵件以確定它的起源在現實生活中的作用。
我們剛剛收到了一段可用於練習的垃圾郵件。 以下是標題行:
收到:來自未知(HELO 38.118.132.100)(62.105.106.207)
通過mail1.infinology.com與SMTP; 2003年11月16日19:50:37 -0000
收到:來自[235.16.47.37] 38.118.132.100 id; 太陽,2003年11月16日13:38:22 -0600
消息ID:
來自:“Reinaldo Gilliam”
回复:“Reinaldo Gilliam”
致:ladedu@ladedu.com
主題:A類獲得藥物,你需要lgvkalfnqnh bbk
日期:2003年11月16日星期日13:38:22 GMT
X-Mailer:Internet郵件服務(5.5.2650.21)
MIME版本:1.0
內容類型:multipart / alternative;
邊界=“9B_9 .._ C_2EA.0DD_23”
X-Priority:3
X-MSMail優先級:正常
你能告訴IP地址的電子郵件來源?
發件人和主題
首先,看看 - 偽造 - 從:行。 垃圾郵件發送者希望使其看起來好像該郵件是從Yahoo! 郵件帳戶。 此From:地址與Reply-To:行一起,旨在將所有彈跳消息和憤怒回復指向不存在的Yahoo! 郵件帳戶。
接下來,主題:是一個奇怪的隨機字符聚集。 它幾乎沒有明顯的字體,顯然是為了欺騙垃圾郵件過濾器而設計的(每封郵件都有一組稍微不同的隨機字符),但它的設計也非常巧妙,即使是這樣,也可以傳遞信息。
收到:行
最後,收到:行。 讓我們從最老的Received:from [235.16.47.37]開始,ID為38.118.132.100; 太陽,2003年11月16日13:38:22 -0600 。 其中沒有主機名稱,但有兩個IP地址:38.118.132.100聲稱已收到來自235.16.47.37的消息。 如果這是正確的,那麼235.16.47.37是電子郵件的起源地址,我們會找出這個IP地址屬於哪個ISP,然後向他們發送濫用報告 。
讓我們看看鏈中的下一個(在本例中是最後一個)服務器是否通過mail1.infinology.com用SMTP確認了第一個Received:行的聲明: Received:from unknown(HELO 38.118.142.100)(62.105.106.207); 2003年11月16日19:50:37 -0000 。
由於mail1.infinology.com是鏈中最後一個服務器,而且確實是“我們”的服務器,我們知道我們可以信任它。 它已收到來自“未知”主機的消息,聲稱擁有IP地址38.118.132.100(使用SMTP HELO命令 )。 到目前為止,這符合之前收到的:line說的。
現在讓我們看看我們的郵件服務器從哪裡獲取消息。 為了找到答案 ,我們先通過mail1.infinology.com查看括號內的IP地址。 這是建立連接的IP地址,它不是38.118.132.100。 不,62.105.106.207是發送這封垃圾郵件的地方。
利用這些信息,您現在可以識別垃圾郵件發送者的ISP並向他們報告未經請求的電子郵件,這樣他們就可以將垃圾郵件發送者從網上踢走。