垃圾邮件将在不再有利可图时结束。 如果没有人从他们那里购买垃圾邮件,他们的利润就会下降(因为你甚至没有看到垃圾邮件)。 这是打击垃圾邮件的最简单方法,当然也是最好的方法之一。
抱怨垃圾邮件
但是,您也可以影响垃圾邮件发送者的资产负债表的费用方面。 如果您向垃圾邮件发送者的互联网服务提供商(ISP)投诉,他们将失去连接并可能需要支付罚款(取决于ISP的可接受使用政策)。
由于垃圾邮件发送者知道并担心这种报告,他们试图隐藏。 这就是为什么找到合适的ISP并不总是容易的原因。 幸运的是,有像SpamCop这样的工具可以轻松地将垃圾邮件正确地报告给正确的地址。
确定垃圾邮件的来源
SpamCop如何找到正确的ISP抱怨? 它仔细研究了垃圾邮件的 标题行 。 这些标题包含有关电子邮件所用路径的信息。
SpamCop遵循这条路径,直到发送电子邮件的地点。 从这个角度来看,也称为IP地址 ,它可以派生垃圾邮件发送者的ISP并将报告发送给该ISP的滥用部门。
让我们仔细看看它是如何工作的。
电子邮件:标题和正文
每封电子邮件由两部分组成,正文和标题。 标题可以被视为邮件的信封,包含发件人,收件人,主题和其他信息的地址。 正文包含实际的文字和附件。
通常由您的电子邮件程序显示的一些标题信息包括
标题锻造
电子邮件的实际交付不取决于这些标题中的任何一个,它们只是方便的。
通常,例如,From:行将被设置为发件人的地址。 这可以确保您知道消息来自谁,并且可以轻松回复。
垃圾邮件发送者希望确保你不能轻松回复,当然也不希望你知道他们是谁。 这就是为什么他们在他们的垃圾邮件的From:行中插入虚构的电子邮件地址。
收到:线
因此,如果我们想要确定电子邮件的真实来源,那么From:行就没用了。 幸运的是,我们不需要依赖它。 每封电子邮件的标题也包含Received:行。
这些通常不是通过电子邮件程序显示的,但它们在跟踪垃圾邮件方面非常有用。
解析收到:标题行
就像一封邮件将从发件人到收件人的邮件一样通过多个邮局,一封电子邮件将被多个邮件服务器处理并转发。
想象一下,每个邮局都会在每封信上贴一张特别的邮票。 邮票会在收到邮件的时候,邮件的来源以及邮局的转寄地址。 如果你收到这封信,你可以确定这封信的确切路径。
这正是电子邮件发生的情况。
收到:跟踪线
当邮件服务器处理邮件时,它会在邮件的标题中添加一个特殊行,即Received:行。 Received:行包含,最有趣的是,
Received:行总是插入到邮件头的顶部。 如果我们想重建电子邮件从发件人到收件人的旅程,我们也从最上面的Received:行开始(为什么我们会这样做会在一瞬间变得明显),然后走下去,直到我们到达最后一个,这是电子邮件发起。
收到:Line Forging
垃圾邮件发送者知道我们将完全采用这一程序来揭露他们的下落。 为了欺骗我们,他们可能会插入伪造的Received:指向其他人发送消息的行。
由于每个邮件服务器将始终将其Received:行放在顶部,因此垃圾邮件发送者的伪造邮件头只能位于Received:行链的底部。 这就是为什么我们在顶端开始我们的分析,并不仅仅是从第一个Received:行(在底部)开始发送电子邮件。
如何判断伪造的收件人:标题行
伪造的Received:由垃圾邮件发送者插入的行欺骗我们将看起来像所有其他Received:行(当然,除非他们明显犯了错误)。 就其本身而言,你无法从真正的人那里得知伪造的Received:线。
这就是Received:行的一个独特特征。 正如我们上面提到的,每个服务器不仅会记下它是谁,还会从哪里获得消息(以IP地址形式)。
我们只是比较一个服务器声称与服务器链上的服务器说的是什么。 如果两者不匹配,则早期的Received:行已被伪造。
在这种情况下,电子邮件的来源是伪造的Received:行后面的服务器必须说明收到消息的人。
你准备好了一个例子吗?
垃圾邮件分析和追踪示例
现在我们知道了理论基础,让我们看看如何分析垃圾邮件以确定它的起源在现实生活中的作用。
我们刚刚收到了一段可用于练习的垃圾邮件。 以下是标题行:
收到:来自未知(HELO 38.118.132.100)(62.105.106.207)
通过mail1.infinology.com与SMTP; 2003年11月16日19:50:37 -0000
收到:来自[235.16.47.37] 38.118.132.100 id; 太阳,2003年11月16日13:38:22 -0600
消息ID:
来自:“Reinaldo Gilliam”
回复:“Reinaldo Gilliam”
致:ladedu@ladedu.com
主题:A类获得药物,你需要lgvkalfnqnh bbk
日期:2003年11月16日星期日13:38:22 GMT
X-Mailer:Internet邮件服务(5.5.2650.21)
MIME版本:1.0
内容类型:multipart / alternative;
边界= “9B_9 .._ C_2EA.0DD_23”
X-Priority:3
X-MSMail优先级:正常
你能告诉IP地址的电子邮件来源?
发件人和主题
首先,看看 - 伪造 - 从:行。 垃圾邮件发送者希望使其看起来好像该邮件是从Yahoo! 邮件帐户。 此From:地址与Reply-To:行一起,旨在将所有弹跳消息和愤怒回复指向不存在的Yahoo! 邮件帐户。
接下来,主题:是一个奇怪的随机字符聚集。 它几乎没有明显的字体,显然是为了欺骗垃圾邮件过滤器而设计的(每封邮件都有一组稍微不同的随机字符),但它的设计也非常巧妙,即使是这样,也可以传递信息。
收到:行
最后,收到:行。 让我们从最老的Received:from [235.16.47.37]开始,ID为38.118.132.100; 太阳,2003年11月16日13:38:22 -0600 。 其中没有主机名称,但有两个IP地址:38.118.132.100声称已收到来自235.16.47.37的消息。 如果这是正确的,那么235.16.47.37是电子邮件的起源地址,我们会找出这个IP地址属于哪个ISP,然后向他们发送滥用报告 。
让我们看看链中的下一个(在本例中是最后一个)服务器是否通过mail1.infinology.com用SMTP确认了第一个Received:行的声明: Received:from unknown(HELO 38.118.142.100)(62.105.106.207); 2003年11月16日19:50:37 -0000 。
由于mail1.infinology.com是链中最后一个服务器,而且确实是“我们”的服务器,我们知道我们可以信任它。 它已收到来自“未知”主机的消息,声称拥有IP地址38.118.132.100(使用SMTP HELO命令 )。 到目前为止,这符合之前收到的:line说的。
现在让我们看看我们的邮件服务器从哪里获取消息。 为了找到答案 ,我们先通过mail1.infinology.com查看括号内的IP地址。 这是建立连接的IP地址,它不是38.118.132.100。 不,62.105.106.207是发送这封垃圾邮件的地方。
利用这些信息,您现在可以识别垃圾邮件发送者的ISP并向他们报告未经请求的电子邮件,这样他们就可以将垃圾邮件发送者从网上踢走。