垃圾邮件将在不再有利可图时结束。如果没有人从他们那里购买垃圾邮件发送者将会看到他们的利润下降(因为你甚至没有看到垃圾邮件)。这是打击垃圾邮件的最简单方法,当然也是最好的方法之一。
抱怨垃圾邮件
但是,您也可以影响垃圾邮件发送者资产负债表的费用方面。如果您向垃圾邮件发送者的互联网服务提供商(ISP)投诉,他们将失去联系,可能需要支付罚款(取决于ISP的可接受使用政策)。
由于垃圾邮件发送者知道并担心此类报告,因此他们试图隐藏。这就是找到合适的ISP并不容易的原因。幸运的是,像SpamCop这样的工具可以轻松地将垃圾邮件正确地发送到正确的地址。
确定垃圾邮件的来源
SpamCop如何找到合适的ISP投诉?它仔细查看垃圾邮件的标题行。这些标头包含有关电子邮件路径的信息。
SpamCop遵循路径,直到发送电子邮件的位置。从这一点开始,也称为IP地址,它可以派生垃圾邮件发送者的ISP并将报告发送给该ISP的滥用部门。
让我们仔细看看它是如何工作的。
电子邮件:标题和正文
每封电子邮件都包含两部分:正文和标题。标题可以被认为是邮件的信封,包含发件人的地址,收件人,主题和其他信息。正文包含实际文本和附件。
您的电子邮件程序通常显示的一些标题信息包括:
- 从: - 发件人的姓名和电子邮件地址。
- 至: - 收件人的姓名和电子邮件地址。
- 日期: - 邮件发送的日期。
- 学科: - 主题行。
标头锻造
电子邮件的实际发送不依赖于任何这些标题,它们只是方便。
通常,例如,From:行将被发送到发件人的地址。这可以确保您知道消息来自谁,并且可以轻松回复。
垃圾邮件发送者希望确保您不能轻易回复,当然,不要让您知道他们是谁。这就是为什么他们在垃圾邮件的From:行中插入虚构的电子邮件地址。
收到:行
因此,如果我们想确定电子邮件的真实来源,那么From:行是没用的。幸运的是,我们不必依赖它。每封电子邮件的标题也包含Received:lines。
这些通常不会通过电子邮件程序显示,但它们在跟踪垃圾邮件方面非常有用。
收到的解析:标题行
就像邮政信件将在从发件人到收件人的途中经过多个邮局时,电子邮件将由多个邮件服务器处理和转发。
想象一下,每个邮局都会在每封信上加上特殊印章。邮票将准确说明收到信件的时间,邮件的来源以及邮局转发的地点。如果你收到了这封信,你可以确定这封信的确切路径。
这正是电子邮件发生的情况。
收到:追踪线
当邮件服务器处理邮件时,它会在邮件的标题中添加一条特殊的行,即Received:行。最有趣的是,Received:行包含
- 服务器从服务器接收消息的服务器名称和IP地址
- 邮件服务器本身的名称。
Received:行始终插入邮件头的顶部。如果我们想要重建电子邮件从发件人到收件人的旅程,我们也会从最顶端的收到:行开始(为什么我们这样做会在一瞬间变得明显)然后走下去,直到我们到达最后一个,这是电子邮件来自。
收到:Line Forging
垃圾邮件发送者知道我们将完全应用此程序来揭示他们的行踪。为了欺骗我们,他们可能会插入伪造的Received:指向其他人发送消息的行。
由于每个邮件服务器始终将其Received:行放在顶部,因此垃圾邮件制造者的伪造标题只能位于Received:行链的底部。这就是为什么我们在顶部开始我们的分析,而不仅仅是从第一个Received:line(在底部)发出电子邮件的原因。
如何判断伪造收到:标题行
伪造的收到:垃圾邮件发送者插入的线条欺骗我们将看起来像所有其他收到的:行(当然,除非他们犯了明显的错误)。就你自己而言,你不能告诉伪造的Received:line来自真正的。
这是Received:lines的一个独特功能发挥作用的地方。正如我们上面提到的,每个服务器不仅会记录它是谁,还会记录它从哪里得到消息(以IP地址形式)。
我们只是简单地比较一下服务器声称的服务器与服务器中的一个服务器所说的实际情况。如果两者不匹配,则先前的Received:行已被伪造。
在这种情况下,电子邮件的来源是伪造的Received:line之后的服务器必须说明它从谁获得消息。
你准备好了吗?
示例垃圾邮件分析和跟踪
现在我们知道了理论基础,让我们分析一下垃圾邮件,以确定它在现实生活中的起源。
我们刚收到一个可以用来锻炼的示范性垃圾邮件。以下是标题行:
收到:来自不明(HELO 38.118.132.100)(62.105.106.207)通过mail1.infinology.com与SMTP; 2003年11月16日19:50:37 -0000收到:自235.16.47.37 38.118.132.100 id;太阳,2003年11月16日13:38:22 -0600消息ID:来自:“Reinaldo Gilliam”回复:“Reinaldo Gilliam”致:[email protected]主题:A类获取药物你需要lgvkalfnqnh bbk日期:2003年11月16日星期日13:38:22 GMTX-Mailer:Internet邮件服务(5.5.2650.21)MIME版本:1.0内容类型:multipart / alternative;边界= “9B_9 .._ C_2EA.0DD_23”X优先级:3X-MSMail-Priority:正常
你能告诉电子邮件来源的IP地址吗?
发件人和主题
首先,看一下 - 伪造 - 从:行。垃圾邮件发送者希望看起来好像邮件是从Yahoo!发送的。邮件帐户。与Reply-To:行一起,此From:地址旨在将所有弹跳消息和愤怒的回复指向不存在的Yahoo!邮件帐户。
接下来,主题:是一个奇怪的随机字符聚集。它几乎看不清楚,显然是为了欺骗垃圾邮件过滤器(每个邮件都有一组略有不同的随机字符),但它也非常巧妙地制作,以便尽快传达信息。
收到的:行
最后,收到:行。让我们从最古老的, 收到:自235.16.47.37 38.118.132.100 id;太阳,2003年11月16日13:38:22 -0600 。其中没有主机名,但有两个IP地址:38.118.132.100声称已收到来自235.16.47.37的消息。如果这是正确的,235.16.47.37是电子邮件的来源,我们将找出该IP地址属于哪个ISP,然后向他们发送滥用报告。
让我们看看链中的下一个(在这种情况下是最后一个)服务器是否确认了第一个Received:line的声明: 收到:来自unknown(HELO 38.118.142.100)(62.105.106.207)的mail1.infinology.com与SMTP; 2003年11月16日19:50:37 -0000 .
由于mail1.infinology.com是链中的最后一个服务器,而且确实是“我们的”服务器,我们知道我们可以信赖它。它收到了来自声称拥有IP地址38.118.132.100(使用SMTP HELO命令)的“未知”主机的消息。到目前为止,这符合之前的Received:line所说的。
现在让我们看看我们的邮件服务器从哪里获取消息。为了找到答案,我们先看看括号中的IP地址 通过mail1.infinology.com 。这是建立连接的IP地址,它不是38.118.132.100。不,62.105.106.207是发送这封垃圾邮件的地方。
有了这些信息,您现在可以识别垃圾邮件发送者的ISP,并向他们报告未经请求的电子邮件,以便他们可以将垃圾邮件发送给网络。
