Cabeçalhos de e-mail podem informar sobre a origem do spam

Índice:

Cabeçalhos de e-mail podem informar sobre a origem do spam
Cabeçalhos de e-mail podem informar sobre a origem do spam
Anonim

Spam terminará quando não for mais lucrativo. Os spammers verão seus lucros caírem se ninguém comprar deles (porque você nem vê os e-mails indesejados). Esta é a maneira mais fácil de combater o spam e certamente uma das melhores.

Reclamação de spam

Você também pode afetar o lado das despesas do balanço de um spammer. Se você reclamar com o provedor de serviços de Internet (ISP) do spammer, ele perderá a conexão e poderá ter que pagar uma multa (dependendo da política de uso aceitável do ISP).

Como os spammers conhecem e temem tais relatórios, eles tentam esconder. É por isso que encontrar o ISP certo nem sempre é fácil. No entanto, existem ferramentas como o SpamCop que simplificam a denúncia de spam corretamente para o endereço correto.

Image
Image

Determinando a origem do spam

Como o SpamCop encontra o ISP certo para reclamar? Ele examina de perto as linhas de cabeçalho da mensagem de spam. Esses cabeçalhos contêm informações sobre o caminho de um e-mail.

SpamCop segue o caminho até o ponto de onde o spammer enviou o email. A partir deste ponto, também conhecido como endereço IP, ele pode derivar o ISP do spammer e enviar a denúncia para o departamento de abuso desse ISP.

Vamos dar uma olhada em como isso funciona.

Cabeçalho e corpo do e-mail

Toda mensagem de e-mail consiste em duas partes, o corpo e o cabeçalho. O cabeçalho é como o envelope de e-mail contendo o endereço do remetente, o destinatário, o assunto e outras informações. O corpo tem o texto e os anexos.

Algumas informações de cabeçalho geralmente exibidas pelo seu programa de e-mail incluem:

  • De: O nome e o endereço de e-mail do remetente.
  • To: O nome e o endereço de e-mail do destinatário.
  • Data: A data em que a mensagem foi enviada.
  • Assunto: A linha de assunto.

Forja de Cabeçalho

A entrega real de e-mails não depende de nenhum desses cabeçalhos. Eles são apenas convenientes.

Normalmente, a linha De, por exemplo, será enviada para o endereço do remetente para que você saiba de quem é a mensagem e possa responder rapidamente.

Spammers querem ter certeza de que você não pode responder facilmente, e certamente não querem que você saiba quem eles são. É por isso que eles inserem endereços de e-mail fictícios nas linhas De de suas mensagens indesejadas.

Linhas Recebidas

A linha From é inútil para determinar a origem real de um email. Você não precisa confiar nele. Os cabeçalhos de cada mensagem de e-mail também contêm linhas recebidas.

Os programas de e-mail geralmente não os exibem, mas podem ser úteis no rastreamento de spam.

Analisando linhas de cabeçalho recebidas

Assim como uma carta postal passa por várias agências de correio no caminho do remetente para o destinatário, uma mensagem de e-mail é processada e encaminhada por vários servidores de e-mail.

Imagine todos os correios colocando um carimbo exclusivo em cada carta. O selo dizia exatamente quando a correspondência era recebida, de onde vinha e para onde era encaminhada pelos correios. Se você recebeu a carta, pode determinar o caminho exato seguido pela carta.

Isso é exatamente o que acontece com o e-mail.

Linhas Recebidas para Rastreamento

À medida que um servidor de correio processa uma mensagem, ele adiciona uma linha específica ao cabeçalho da mensagem. A linha Recebido contém o nome do servidor e o endereço IP da máquina da qual o servidor recebeu a mensagem e o nome do servidor de correio.

A linha Recebida está sempre no topo do cabeçalho da mensagem. Para reconstruir a jornada de um e-mail do remetente ao destinatário, comece na linha de Recebidos mais alta e desça até a última, que é a origem do e-mail.

Forja de Linha Recebida

Spammers sabem que as pessoas aplicam este procedimento para descobrir seu paradeiro. Eles podem inserir linhas recebidas forjadas que apontam para outra pessoa enviando a mensagem para enganar o destinatário pretendido.

Como todo servidor de e-mail sempre colocará sua linha Recebida no topo, os cabeçalhos forjados dos remetentes de spam só podem estar na parte inferior da cadeia de linhas Recebidas. É por isso que você deve começar sua análise no topo e não apenas derivar o ponto em que um e-mail se originou da primeira linha Recebida (na parte inferior).

Como saber uma linha de cabeçalho recebida forjada

As linhas recebidas forjadas inseridas por spammers se parecem com todas as outras linhas recebidas (a menos que cometam um erro óbvio). Por si só, você não pode distinguir uma linha recebida forjada de uma genuína, que é onde uma característica distinta das linhas recebidas entra em jogo. Cada servidor anota quem é e de onde recebeu a mensagem (no formato de endereço IP).

Compare o que um servidor afirma ser com o que o servidor um degrau acima na cadeia diz que é. Se os dois não corresponderem, o mais antigo é uma linha Recebida forjada.

Neste caso, a origem do email é o que o servidor colocou imediatamente após o Recebido forjado.

Exemplo de spam analisado e rastreado

Agora que conhecemos a base teórica, vamos analisar um lixo eletrônico para identificar sua origem na vida real.

Acabamos de receber um exemplar de spam que podemos usar como exercício. Aqui estão as linhas do cabeçalho:

Recebido: de desconhecido (HELO 38.118.132.100) (62.105.106.207) por mail1.infinology.com com SMTP; 16 de novembro de 2003 19:50:37 -0000 Recebido: de [235.16.47.37] por 38.118.132.100 id; Dom, 16 de novembro de 2003 13:38:22 -0600 ID da mensagem: De: "Reinaldo Gilliam" Responder para: "Reinaldo Gilliam" Para: [email protected] Assunto: Categoria A Obtenha os medicamentos que você precisa lgvkalfnqnh bbk Data: Dom, 16 de novembro de 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) Versão MIME: 1.0 Tipo de conteúdo: multipart/ alternative; Prioridade X: 3 Prioridade X-MSMail: Normal

Você pode informar o endereço IP de onde o e-mail se originou?

Remetente e Assunto

Primeiro, olhe para a linha From forjada. O spammer quer fazer parecer que a mensagem veio de um Yahoo! Conta de correio. Com a linha Reply-To, este endereço De visa direcionar todas as mensagens rejeitadas e respostas irritadas para um Yahoo! inexistente! Conta de correio.

A seguir, o Assunto é um curioso acúmulo de caracteres aleatórios. É pouco legível e projetado para enganar os filtros de spam (cada mensagem recebe um conjunto ligeiramente diferente de caracteres aleatórios). Ainda assim, também é habilmente trabalhado para transmitir a mensagem apesar disso.

As Linhas Recebidas

Finalmente, as linhas Recebidas. Vamos começar com o mais antigo, Recebido: de [235.16.47.37] por 38.118.132.100 id; Dom, 16 de novembro de 2003 13:38:22 -0600. Não há nomes de host, mas dois endereços IP: 38.118.132.100 afirma ter recebido a mensagem de 235.16.47.37. Se estiver correto, 235.16.47.37 é a origem do e-mail, e descobriremos a qual ISP esse endereço IP pertence e enviaremos uma denúncia de abuso a eles.

Vamos ver se o próximo (e neste caso o último) servidor na cadeia confirma as declarações da primeira linha Received: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com com SMTP; 16 de novembro de 2003 19:50:37 -0000.

Como mail1.infinology.com é o último servidor da cadeia e, de fato, "nosso" servidor, sabemos que podemos confiar nele. Ele recebeu a mensagem de um host "desconhecido" alegando ter o endereço IP 38.118.132.100 (usando o comando SMTP HELO). Até agora, isso está de acordo com o que a linha Recebida anterior disse.

Agora vamos ver de onde nosso servidor de correio recebeu a mensagem. Para descobrir, veja o endereço IP entre colchetes imediatamente antes por mail1.infinology.com. Este é o endereço IP de onde a conexão foi estabelecida e não é 38.118.132.100. Não, 62.105.106.207 é de onde este lixo eletrônico foi enviado.

Com esta informação, agora você pode identificar o ISP do spammer e reportar o e-mail não solicitado a ele para expulsar o spammer da rede.

Recomendado: