สแปมจะสิ้นสุดเมื่อไม่มีผลกำไรอีกต่อไป ผู้ส่งอีเมลขยะจะเห็นผลกำไรของพวกเขาพังทลายถ้าไม่มีใครซื้อจากพวกเขา (เพราะคุณไม่เห็นอีเมลขยะด้วยซ้ำ) นี่เป็นวิธีที่ง่ายที่สุดในการต่อสู้กับสแปม และเป็นหนึ่งในวิธีที่ดีที่สุดแน่นอน
บ่นเกี่ยวกับสแปม
คุณสามารถส่งผลกระทบต่อด้านค่าใช้จ่ายของงบดุลของผู้ส่งอีเมลขยะได้เช่นกัน หากคุณร้องเรียนกับผู้ให้บริการอินเทอร์เน็ต (ISP) ของผู้ส่งอีเมลขยะ พวกเขาจะขาดการเชื่อมต่อและอาจต้องจ่ายค่าปรับ (ขึ้นอยู่กับนโยบายการใช้งานที่ยอมรับได้ของ ISP)
เนื่องจากนักส่งสแปมรู้และกลัวรายงานดังกล่าว พวกเขาจึงพยายามซ่อน นั่นเป็นสาเหตุที่การค้นหา ISP ที่เหมาะสมไม่ใช่เรื่องง่ายเสมอไป อย่างไรก็ตาม มีเครื่องมืออย่าง SpamCop ที่ช่วยให้การรายงานสแปมง่ายขึ้นไปยังที่อยู่ที่ถูกต้อง
การระบุแหล่งที่มาของสแปม
SpamCop ค้นหา ISP ที่เหมาะสมเพื่อร้องเรียนได้อย่างไร จะตรวจสอบบรรทัดส่วนหัวของข้อความสแปมอย่างใกล้ชิด ส่วนหัวเหล่านี้มีข้อมูลเกี่ยวกับเส้นทางที่อีเมลใช้
SpamCop ตามเส้นทางจนถึงจุดที่ผู้ส่งอีเมลขยะส่งอีเมล จากจุดนี้ หรือที่เรียกว่าที่อยู่ IP ก็สามารถรับ ISP ของผู้ส่งอีเมลขยะและส่งรายงานไปยังแผนกการละเมิดของ ISP นี้
มาดูวิธีการทำงานกันดีกว่า
ส่วนหัวและเนื้อหาของอีเมล
ทุกข้อความอีเมลประกอบด้วยสองส่วนคือเนื้อหาและส่วนหัว ส่วนหัวจะเหมือนกับซองอีเมลที่มีที่อยู่ของผู้ส่ง ผู้รับ หัวเรื่อง และข้อมูลอื่นๆ เนื้อหามีข้อความและไฟล์แนบ
ข้อมูลส่วนหัวบางส่วนที่โปรแกรมอีเมลของคุณมักแสดงประกอบด้วย:
- From: ชื่อผู้ส่งและที่อยู่อีเมล
- To: ชื่อผู้รับและที่อยู่อีเมล
- Date: วันที่ส่งข้อความ
- Subject: หัวเรื่อง
การตีขึ้นรูป
การส่งอีเมลตามจริงไม่ได้ขึ้นอยู่กับส่วนหัวเหล่านี้ แค่สะดวก
โดยปกติ เช่น บรรทัด From จะถูกส่งไปยังที่อยู่ของผู้ส่ง เพื่อให้คุณรู้ว่าข้อความนั้นมาจากใครและสามารถตอบกลับได้อย่างรวดเร็ว
นักส่งสแปมต้องการให้แน่ใจว่าคุณไม่สามารถตอบกลับได้อย่างง่ายดาย และแน่นอนว่าไม่ต้องการให้คุณรู้ว่าพวกเขาเป็นใคร นั่นเป็นเหตุผลที่พวกเขาใส่ที่อยู่อีเมลปลอมในบรรทัดจากของข้อความขยะ
สายที่ได้รับ
บรรทัด From นั้นไร้ประโยชน์ในการระบุแหล่งที่มาที่แท้จริงของอีเมล คุณไม่จำเป็นต้องพึ่งพามัน ส่วนหัวของทุกข้อความอีเมลยังมีบรรทัดที่ได้รับ
โปรแกรมอีเมลมักจะไม่แสดงสิ่งเหล่านี้ แต่อาจเป็นประโยชน์ในการติดตามสแปม
แยกหัวแถวที่ได้รับ
เช่นเดียวกับไปรษณีย์ที่ส่งผ่านที่ทำการไปรษณีย์หลายแห่งระหว่างผู้ส่งถึงผู้รับ ข้อความอีเมลจะได้รับการประมวลผลและส่งต่อโดยเซิร์ฟเวอร์อีเมลหลายแห่ง
ลองนึกภาพที่ทำการไปรษณีย์ทุกแห่งมีตราประทับที่ไม่ซ้ำกันบนจดหมายแต่ละฉบับ ตราประทับจะระบุเวลาที่ไปรษณีย์ได้รับ ที่มา และที่ทำการไปรษณีย์ หากคุณได้รับจดหมาย คุณก็กำหนดเส้นทางที่แน่นอนของจดหมายนั้นได้
นี่คือสิ่งที่เกิดขึ้นกับอีเมลอย่างแน่นอน
รับสายสำหรับติดตาม
ในขณะที่เซิร์ฟเวอร์อีเมลประมวลผลข้อความ เซิร์ฟเวอร์จะเพิ่มบรรทัดเฉพาะลงในส่วนหัวของข้อความ บรรทัดที่ได้รับประกอบด้วยชื่อเซิร์ฟเวอร์และที่อยู่ IP ของเครื่องที่เซิร์ฟเวอร์ได้รับข้อความ และชื่อของเซิร์ฟเวอร์เมล
บรรทัดที่ได้รับจะอยู่ด้านบนสุดของส่วนหัวของข้อความเสมอ ในการสร้างเส้นทางของอีเมลใหม่จากผู้ส่งไปยังผู้รับ ให้เริ่มต้นที่บรรทัดบนสุดที่ได้รับแล้วลงไปที่บรรทัดสุดท้าย ซึ่งเป็นที่มาของอีเมล
รับสายปลอม
นักส่งสแปมรู้ว่าผู้คนใช้ขั้นตอนนี้เพื่อค้นหาที่อยู่ของตน พวกเขาอาจแทรกบรรทัดที่ได้รับปลอมซึ่งชี้ไปที่บุคคลอื่นที่ส่งข้อความเพื่อหลอกผู้รับที่ต้องการ
เนื่องจากทุกเซิร์ฟเวอร์อีเมลจะวางบรรทัดที่ได้รับไว้ที่ด้านบนสุดเสมอ ส่วนหัวปลอมแปลงของผู้ส่งอีเมลขยะจะต้องอยู่ที่ด้านล่างของห่วงโซ่สายที่ได้รับเท่านั้น นี่คือเหตุผลที่คุณควรเริ่มการวิเคราะห์ที่ด้านบนสุด ไม่ใช่แค่หาจุดที่อีเมลมาจากบรรทัดแรกที่ได้รับ (ที่ด้านล่าง)
วิธีการบอกบรรทัดส่วนหัวที่ได้รับปลอม
บรรทัดรับที่ปลอมแปลงโดยผู้ส่งอีเมลขยะจะดูเหมือนบรรทัดที่ได้รับอื่นๆ ทั้งหมด (เว้นแต่พวกเขาจะทำผิดพลาดอย่างชัดแจ้ง)ด้วยตัวมันเอง คุณไม่สามารถบอกสายที่รับที่ปลอมแปลงจากสายแท้ ซึ่งเป็นที่ที่คุณลักษณะที่แตกต่างของสายที่รับเข้ามามีบทบาท เซิร์ฟเวอร์ทุกเครื่องบันทึกว่าใครเป็นใครและได้รับข้อความจากที่ใด (ในรูปแบบที่อยู่ IP)
เปรียบเทียบสิ่งที่เซิร์ฟเวอร์อ้างว่าเป็นกับสิ่งที่เซิร์ฟเวอร์หนึ่งอยู่ในห่วงโซ่บอกว่าเป็น หากทั้งสองไม่ตรงกัน ก่อนหน้านี้จะเป็นบรรทัดรับปลอม
ในกรณีนี้ ต้นทางของอีเมลคือสิ่งที่เซิร์ฟเวอร์วางไว้ทันทีหลังจากที่ได้รับข้อความว่าผู้รับปลอมแปลง
ตัวอย่างการวิเคราะห์และติดตามสแปม
ตอนนี้เรารู้หลักทฤษฎีแล้ว มาวิเคราะห์อีเมลขยะเพื่อระบุที่มาในชีวิตจริงกัน
เราเพิ่งได้รับสแปมที่เป็นแบบอย่างสำหรับออกกำลังกาย นี่คือหัวเรื่อง:
ได้รับ: จากที่ไม่รู้จัก (HELO 38.118.132.100) (62.105.106.207) โดย mail1.infinology.com พร้อม SMTP; 16 พ.ย. 2546 19:50:37 -0000 ได้รับ: จาก [235.16.47.37] โดย 38.118.132.100 id; อา. 16 พ.ย. 2546 13:38:22 -0600 Message-ID: จาก: "Reinaldo Gilliam" ตอบกลับไปยัง: "Reinaldo Gilliam" ถึง: [email protected] เรื่อง: Category A Get the meds u need lgvkalfnqnh bbk วันที่: อา. 16 พ.ย. 2546 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-Version: 1.0 Content-Type: multipart/ alternative; boundary="9B_9._C_2EA.0DD_23" X-Priority: 3 X-MSMail-Priority: ปกติ
คุณบอกที่อยู่ IP ของอีเมลได้ไหม
ผู้ส่งและหัวเรื่อง
ดูเส้น From ปลอมก่อน นักส่งสแปมต้องการทำให้ดูเหมือนว่าข้อความมาจาก Yahoo! บัญชีเมล ด้วยบรรทัดตอบกลับ ที่อยู่ "ต้นทาง" นี้มีจุดมุ่งหมายเพื่อส่งข้อความตีกลับทั้งหมดและการตอบกลับอย่างโกรธเคืองไปยัง Yahoo! บัญชีเมล
ถัดมา หัวเรื่องคือกลุ่มอักขระสุ่มที่น่าสงสัย มันอ่านยากและออกแบบมาเพื่อหลอกตัวกรองสแปม (ทุกข้อความจะมีชุดอักขระสุ่มที่แตกต่างกันเล็กน้อย) ถึงกระนั้น ก็ยังถูกสร้างมาอย่างชำนาญในการถ่ายทอดข้อความแม้ว่าจะเป็นเช่นนั้น
สายที่ได้รับ
สุดท้าย สายที่ได้รับ เริ่มต้นด้วยที่เก่าแก่ที่สุด รับแล้ว: จาก [235.16.47.37] โดย 38.118.132.100 id; อา. 16 พ.ย. 2546 13:38:22 -0600. ไม่มีชื่อโฮสต์ในนั้น แต่มีที่อยู่ IP สองแห่ง: 38.118.132.100 อ้างว่าได้รับข้อความจาก 235.16.47.37 หากถูกต้อง 235.16.47.37 คือที่มาของอีเมล และเราจะค้นหาว่าที่อยู่ IP นี้เป็นของ ISP ใด จากนั้นส่งรายงานการละเมิดให้พวกเขา
มาดูกันว่าเซิร์ฟเวอร์ถัดไป (และในกรณีนี้คือสุดท้าย) ในกลุ่มยืนยันการอ้างสิทธิ์ของบรรทัดแรกที่ได้รับ: ได้รับแล้ว: จากที่ไม่รู้จัก (HELO 38.118.142.100) (62.105.106.207) โดย mail1.infinology.com ด้วย SMTP; 16 พ.ย. 2546 19:50:37 -0000.
ตั้งแต่ mail1.infinology.com เป็นเซิร์ฟเวอร์สุดท้ายในเครือข่ายและเป็นเซิร์ฟเวอร์ "ของเรา" อย่างแท้จริง เรารู้ว่าเราวางใจได้ ได้รับข้อความจากโฮสต์ "ไม่รู้จัก" ที่อ้างว่ามีที่อยู่ IP 38.118.132.100 (โดยใช้คำสั่ง SMTP HELO)จนถึงตอนนี้สอดคล้องกับบรรทัดที่รับก่อนหน้านี้กล่าว
ตอนนี้มาดูกันว่าเซิร์ฟเวอร์อีเมลของเราได้รับข้อความจากที่ใด หากต้องการทราบ ให้ดูที่อยู่ IP ในวงเล็บก่อนโดย mail1.infinology.com นี่คือที่อยู่ IP ที่สร้างการเชื่อมต่อ และไม่ใช่ 38.118.132.100 ไม่ 62.105.106.207 เป็นที่ที่ส่งเมลขยะชิ้นนี้มา
ด้วยข้อมูลนี้ คุณสามารถระบุ ISP ของผู้ส่งสแปมและรายงานอีเมลที่ไม่พึงประสงค์ไปยังพวกเขาเพื่อไล่ผู้ส่งสแปมออกจากเน็ตได้