もはや収益が上がらなくなるとスパムは終了します。スパマーは、誰もそれらから購入しなければ、利益を転落させることになるでしょう(あなたは迷惑メールを見ていないからです)。これはスパムと戦う最も簡単な方法であり、確かに最高のものです。
スパムについて不平を言う
しかし、スパマーの貸借対照表の費用面にも影響を与えることができます。スパマーのインターネットサービスプロバイダ(ISP)に苦情を申し立てた場合、ISPとの接続が失われ、ISPの許容される使用ポリシーに応じて罰金を支払う必要があります。
スパム発信者はそのようなレポートを知っていて恐れているので、彼らは隠そうとします。そのため、適切なISPを見つけることは必ずしも容易ではありません。幸運なことに、SpamCopのような適切なアドレスへのスパムの報告を簡単にするツールがあります。
スパムの原因を特定する
SpamCopはどのようにして適切なISPを見つけるのですか?スパムメッセージのヘッダー行を詳しく見ています。これらのヘッダーには、電子メールが受け取ったパスに関する情報が含まれています。
SpamCopは、電子メールが送信された時点までのパスに従います。この時点から、IPアドレスとしても知られており、スパマーのISPを導出し、このISPの濫用部門に報告を送信することができます。
これがどのように機能するかを詳しく見ていきましょう。
メール:ヘッダーと本文
すべての電子メールメッセージは、本文とヘッダーの2つの部分で構成されています。ヘッダーは、送信者のアドレス、受信者、件名、およびその他の情報を含むメッセージのエンベロープと考えることができます。本文には実際のテキストと添付ファイルが含まれています。
電子メールプログラムで通常表示されるヘッダー情報には、次のものがあります。
- から: - 送信者の名前と電子メールアドレス。
- に: - 受信者の名前と電子メールアドレス。
- 日付: - メッセージが送信された日付。
- 件名: - 件名。
ヘッダー鍛造
電子メールの実際の配信は、これらのヘッダーのどれにも依存せず、利便性に過ぎません。
通常、From:行は送信者のアドレスに送信されます。これにより、メッセージの出所を知り、簡単に返信することができます。
スパマーはあなたが簡単に返信できないようにしたいと思っています。確かに、彼らが誰であるかを知りたくはありません。そのため、彼らは迷惑メールのFrom:行に架空のメールアドレスを挿入しています。
受信済み:回線
したがって、電子メールの実際の送信元を特定したい場合は、From:行は無用です。幸いにも、私たちはそれに頼る必要はありません。すべての電子メールメッセージのヘッダーにはReceived:行も含まれています。
これらは電子メールプログラムでは通常表示されませんが、スパムの追跡には非常に役立ちます。
受信された解析:ヘッダー行
郵便の手紙が送信者から受取人に向かう途中に多数の郵便局を通過するように、電子メールメッセージは処理され、いくつかのメールサーバーによって転送されます。
すべての郵便局が各手紙に特別な印を付けたと想像してください。切手は、手紙が届いたとき、どこから来たのか、そしてそれが郵便局によってどこに送られたのかを正確に言うでしょう。あなたが手紙を手に入れたら、その手紙が取った正確な道を決めることができます。
これはまさに電子メールで起こることです。
受け取った:トレースのための行
メールサーバーはメッセージを処理するので、特別な行、Received:行をメッセージのヘッダーに追加します。 Received:行には、最も興味深いことに、
- サーバがメッセージを受信したマシンのサーバ名とIPアドレス
- メールサーバー自体の名前。
Received:行は常にメッセージヘッダーの一番上に挿入されます。送信者から受信者までの電子メールの旅程を再構築する場合は、Received:行の一番上から開始します(これを行う理由はすぐに明らかになります)。最後の行に到着するまで下りる電子メールが発信されました。
受信:ライン鍛造
スパマーは、この手順を正確に適用して所在を明らかにすることを知っています。私たちをだますために、メッセージを送信している他の人を指す偽のReceived:行を挿入することがあります。
すべてのメールサーバーは常にReceived:行を一番上に置くため、スパマーの偽造ヘッダーはReceived:行チェーンの一番下になければなりません。このため、分析を上から開始し、最初のReceived:行(下端)から電子メールが発信された時点を導出するだけではありません。
受信した偽造品のヘッダー行を伝える方法
Spammerによって挿入された偽のReceived:行は、他のすべてのReceived:行のように見えます(当然間違いがない限り)。それだけで、偽造されたReceived:行を本物のものから伝えることはできません。
これは、Received:行の1つの異なる機能が作用する場所です。上記のように、すべてのサーバーは、それが誰であるかだけでなく、(IPアドレス形式で)メッセージを取得した場所も記録します。
私たちは単純に、サーバーが誰であると主張しているかを、チェーン内のノッチが本当にそうであるサーバーと比較します。 2つが一致しない場合、以前のReceived:行は偽造されています。
この場合、電子メールの発信元は、偽造されたReceivedの直後のサーバーの行です。
あなたは事例の準備ができていますか?
スパムの例と分析
理論的な根底にあることを知ったので、迷惑メールを分析して、その起源を実生活で特定してみましょう。
私たちは運動のために使用できる模範的なスパムメールを受信しました。ヘッダー行は次のとおりです。
受け取った:未知から(HELO 38.118.132.100)(62.105.106.207)mail1.infinology.comによるSMTP; 2003年11月16日19:50:37 -0000受け取った:235.16.47.37から38.118.132.100 IDで; Sun、2003年11月16日13:38:22 -0600メッセージID:投稿者: "Reinaldo Gilliam"返信先: "Reinaldo Gilliam"To:[email protected]件名:カテゴリーA必要な薬を入手するlgvkalfnqnh bbk日付:日、2003年11月16日13:38:22 GMTX-Mailer:インターネットメールサービス(5.5.2650.21)MIMEバージョン:1.0コンテンツタイプ:multipart / alternative;boundary = "9B_9.._ C_2EA.0DD_23"X優先度:3X-MSメール - 優先度:通常
電子メールの発信元IPアドレスを教えてください。
送信者と件名
まず、 - forged - From:行を見てください。スパマーは、メッセージがYahoo!から送信されたかのように見せたいと考えています。メールアカウント。 Reply-To:行とともに、From:アドレスは、すべてのバウンスメッセージと怒っている応答を存在しないYahoo!に誘導することを目的としていますメールアカウント。
次に、Subject:はランダムな文字の奇妙な集まりです。スパムフィルタを欺くためにはほとんど目立たず、明らかに設計されていますが(すべてのメッセージが少し違ったランダムな文字セットを取得します)、これにもかかわらずメッセージを巧みに手に入れています。
受信:ライン
最後に、Received:行。一番古いものから始めてみましょう。 受け取った:235.16.47.37から38.118.132.100 IDで; Sun、2003年11月16日13:38:22 -0600 。ホスト名はありませんが、2つのIPアドレス:38.118.132.100は235.16.47.37からメッセージを受信したと主張しています。これが正しければ、235.16.47.37は電子メールの発信元であり、このIPアドレスがどのISPに属しているのかを知り、迷惑行為レポートを送信します。
チェーン内の次の(そしてこの場合は最後の)サーバが最初のReceived:ラインのクレームを確認するかどうかを見てみましょう: 受け取ったもの:不明なもの(HELO 38.118.142.100)(62.105.106.207)by mail1.infinology.com、SMTP付き。 2003年11月16日19:50:37 -0000 .
mail1.infinology.comはチェーン内の最後のサーバーであり、確かに「私たちの」サーバーであるため、信頼できることがわかっています。 IPアドレスが38.118.132.100であると主張している "不明な"ホストからのメッセージを受信しました(SMTP HELOコマンドを使用)。これまでのところ、これは以前のReceived:行が言ったことと一致しています。
さて、私たちのメールサーバがどこからメッセージを受け取ったのかを見てみましょう。調べるには、直前の角括弧内のIPアドレスを見てください mail1.infinology.comで 。これは、接続が確立されたIPアドレスであり、38.118.132.100ではありません。いいえ、62.105.106.207は、この迷惑メールの送信元です。
この情報により、スパマーのISPを特定し、スパマーをネットから蹴ることができるように迷惑メールを報告することができます。
