Spam hört auf, wenn es nicht mehr rentabel ist. Spammer werden sehen, wie ihre Gewinne einbrechen, wenn niemand bei ihnen kauft (weil Sie nicht einmal die Junk-E-Mails sehen). Dies ist der einfachste Weg, Spam zu bekämpfen, und sicherlich einer der besten.
Spam-Beschwerde
Sie können auch die Kostenseite der Bilanz eines Spammers beeinflussen. Wenn Sie sich beim Internetdienstanbieter (ISP) des Spammers beschweren, verliert dieser seine Verbindung und muss möglicherweise eine Geldstrafe zahlen (abhängig von den akzeptablen Nutzungsrichtlinien des ISP).
Da Spammer solche Meldungen kennen und fürchten, versuchen sie sich zu verstecken. Deshalb ist es nicht immer einfach, den richtigen ISP zu finden. Es gibt jedoch Tools wie SpamCop, die das Melden von Spam an die richtige Adresse vereinfachen.
Bestimmung der Spam-Quelle
Wie findet SpamCop den richtigen ISP, um sich zu beschweren? Es wirft einen genauen Blick auf die Kopfzeilen der Spam-Nachricht. Diese Header enth alten Informationen über den Pfad, den eine E-Mail genommen hat.
SpamCop folgt dem Pfad bis zu dem Punkt, von dem der Spammer die E-Mail gesendet hat. Von diesem Punkt, der auch als IP-Adresse bekannt ist, kann er den ISP des Spammers ableiten und den Bericht an die Missbrauchsabteilung dieses ISPs senden.
Schauen wir uns genauer an, wie das funktioniert.
E-Mail-Kopfzeile und -Text
Jede E-Mail-Nachricht besteht aus zwei Teilen, dem Hauptteil und dem Header. Der Header ist wie der E-Mail-Umschlag, der die Adresse des Absenders, den Empfänger, den Betreff und andere Informationen enthält. Der Körper enthält den Text und die Anhänge.
Einige Header-Informationen, die normalerweise von Ihrem E-Mail-Programm angezeigt werden, beinh alten:
- From: Name und E-Mail-Adresse des Absenders.
- An: Name und E-Mail-Adresse des Empfängers.
- Date: Das Datum, an dem die Nachricht gesendet wurde.
- Subject: Die Betreffzeile.
Kopfschmieden
Die tatsächliche Zustellung von E-Mails hängt von keinem dieser Header ab. Sie sind einfach praktisch.
Normalerweise wird beispielsweise die From-Zeile an die Adresse des Absenders gesendet, damit Sie wissen, von wem die Nachricht stammt, und schnell antworten können.
Spammer möchten sicherstellen, dass Sie nicht so einfach antworten können, und schon gar nicht, dass Sie wissen, wer sie sind. Deshalb fügen sie fiktive E-Mail-Adressen in die Absenderzeilen ihrer Junk-Nachrichten ein.
Empfangene Zeilen
Die Von-Zeile ist nutzlos, um die wahre Quelle einer E-Mail zu bestimmen. Sie müssen sich nicht darauf verlassen. Die Kopfzeilen jeder E-Mail-Nachricht enth alten auch Received-Zeilen.
E-Mail-Programme zeigen diese normalerweise nicht an, aber sie können beim Aufspüren von Spam hilfreich sein.
Empfangene Kopfzeilen parsen
So wie ein Brief auf seinem Weg vom Absender zum Empfänger mehrere Postämter durchläuft, wird eine E-Mail von mehreren Mailservern verarbeitet und weitergeleitet.
Stell dir vor, jedes Postamt stempelt jeden Brief individuell ab. Auf dem Stempel stand genau, wann die Post eingegangen war, woher sie kam und wohin sie von der Post weitergeleitet wurde. Wenn Sie den Brief erh alten haben, können Sie den genauen Weg bestimmen, den der Brief genommen hat.
Genau das passiert mit E-Mails.
Empfangene Zeilen zur Verfolgung
Wenn ein Mailserver eine Nachricht verarbeitet, fügt er dem Header der Nachricht eine bestimmte Zeile hinzu. Die Zeile Empfangen enthält den Servernamen und die IP-Adresse des Geräts, von dem der Server die Nachricht erh alten hat, sowie den Namen des Mailservers.
Die Received-Zeile steht immer ganz oben im Nachrichtenkopf. Um den Weg einer E-Mail vom Absender zum Empfänger zu rekonstruieren, beginnen Sie in der obersten Received-Zeile und gehen Sie nach unten zur letzten Zeile, wo die E-Mail ihren Ursprung hat.
Empfangsleitungsfälschung
Spammer wissen, dass Menschen dieses Verfahren anwenden, um ihren Aufenth altsort aufzudecken. Sie könnten gefälschte Received-Zeilen einfügen, die darauf hinweisen, dass jemand anderes die Nachricht gesendet hat, um den beabsichtigten Empfänger zu täuschen.
Da jeder Mailserver seine Received-Zeile immer ganz oben platziert, können die gefälschten Header der Spammer nur am Ende der Received-Zeilenkette stehen. Beginnen Sie deshalb mit der Analyse ganz oben und leiten Sie nicht nur aus der ersten Received-Zeile (ganz unten) den Ursprungsort einer E-Mail ab.
Wie man eine gefälschte empfangene Header-Zeile mitteilt
Die von Spammern eingefügten gefälschten Received-Zeilen sehen aus wie alle anderen Received-Zeilen (es sei denn, sie machen einen offensichtlichen Fehler). An sich können Sie eine gefälschte Received-Linie nicht von einer echten unterscheiden, und hier kommt ein besonderes Merkmal von Received-Linien ins Spiel. Jeder Server merkt sich, wer er ist und woher er die Nachricht hat (in Form der IP-Adresse).
Vergleichen Sie, was ein Server zu sein vorgibt, mit dem, was der Server eine Stufe höher in der Kette sagt. Wenn die beiden nicht übereinstimmen, ist die frühere eine gefälschte Received-Zeile.
In diesem Fall ist der Ursprung der E-Mail das, was der Server unmittelbar nach dem gefälschten Received platziert hat.
Beispiel-Spam analysiert und verfolgt
Nun, da wir die theoretische Grundlage kennen, wollen wir eine Junk-E-Mail analysieren, um ihren Ursprung im wirklichen Leben zu identifizieren.
Wir haben gerade eine beispielhafte Spam-Nachricht erh alten, die wir zu Übungszwecken verwenden können. Hier sind die Kopfzeilen:
Empfangen: von unbekannt (HELO 38.118.132.100) (62.105.106.207) von mail1.infinology.com mit SMTP; 16. November 2003 19:50:37 -0000 Empfangen: von [235.16.47.37] von 38.118.132.100 id; Sonntag, 16. November 2003 13:38:22 -0600 Nachrichten-ID: Von: „Reinaldo Gilliam“Antwort an: „Reinaldo Gilliam“An: [email protected] Betreff: Kategorie A Holen Sie sich die Medikamente, die Sie brauchen lgvkalfnqnh bbk Datum: Sonntag, 16. November 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-Version: 1.0 Inh altstyp: multipart/ alternative; X-Priorität: 3 X-MSMail-Priorität: Normal
Können Sie die IP-Adresse angeben, von der die E-Mail stammt?
Absender und Betreff
Sehen Sie sich zuerst die gefälschte Von-Zeile an. Der Spammer möchte es so aussehen lassen, als käme die Nachricht von einem Yahoo! E-mail Konto. Mit der Reply-To-Zeile zielt diese Absenderadresse darauf ab, alle unzustellbaren Nachrichten und verärgerten Antworten an ein nicht existierendes Yahoo! E-Mail-Konto.
Als nächstes ist der Betreff eine seltsame Ansammlung zufälliger Zeichen. Es ist kaum lesbar und dient dazu, Spamfilter zu täuschen (jede Nachricht erhält einen etwas anderen Satz zufälliger Zeichen). Dennoch ist es auch ziemlich geschickt gest altet, um die Botschaft trotzdem zu vermitteln.
Die empfangenen Zeilen
Schließlich die empfangenen Zeilen. Beginnen wir mit dem ältesten, Received: from [235.16.47.37] by 38.118.132.100 id; Sonntag, 16. November 2003 13:38:22 -0600. Darin stehen keine Hostnamen, sondern zwei IP-Adressen: 38.118.132.100 behauptet, die Nachricht von 235.16.47.37 erh alten zu haben. Wenn dies korrekt ist, stammt die E-Mail von 235.16.47.37, und wir würden herausfinden, zu welchem ISP diese IP-Adresse gehört, und dann einen Missbrauchsbericht an ihn senden.
Mal sehen, ob der nächste (und in diesem Fall letzte) Server in der Kette die Behauptungen der ersten Received-Zeile bestätigt: Received: from unknown (HELO 38.118.142.100) (62.105.106.207) by mail1.infinology.com with SMTP; 16. November 2003 19:50:37 -0000.
Da mail1.infinology.com der letzte Server in der Kette und tatsächlich "unser" Server ist, wissen wir, dass wir ihm vertrauen können. Es hat die Nachricht von einem "unbekannten" Host erh alten, der behauptet, die IP-Adresse 38.118.132.100 zu haben (unter Verwendung des SMTP-Befehls HELO). Bisher stimmt dies mit dem überein, was die vorherige Received-Zeile sagte.
Sehen wir uns nun an, woher unser Mailserver die Nachricht bekommen hat. Um dies herauszufinden, sehen Sie sich die IP-Adresse in Klammern direkt vor mail1.infinology.com an. Dies ist die IP-Adresse, von der aus die Verbindung hergestellt wurde, und sie ist nicht 38.118.132.100. Nein, von 62.105.106.207 wurde diese Junk-Mail gesendet.
Mit diesen Informationen können Sie jetzt den ISP des Spammers identifizieren und ihm die unerwünschte E-Mail melden, um den Spammer aus dem Netz zu werfen.
