Le intestazioni di posta elettronica possono dirti sull'origine dello spam

Week 7 (Giugno 2025)

Week 7 (Giugno 2025)
Anonim

Lo spam finirà quando non sarà più redditizio. Gli spammer vedranno i loro profitti crollare se nessuno li compra (perché non si vedono nemmeno le e-mail spazzatura). Questo è il modo più semplice per combattere lo spam e sicuramente uno dei migliori.

Lamentarsi di spam

Ma puoi anche influenzare il lato delle spese del bilancio di uno spammer. Se ti lamenti con l'ISP (Internet Service Provider) dello spammer, perderanno la connessione e potrebbero dover pagare una multa (a seconda della politica di utilizzo accettabile dell'ISP).

Poiché gli spammer conoscono e temono tali rapporti, cercano di nascondersi. Ecco perché trovare il giusto ISP non è sempre facile. Fortunatamente, esistono strumenti come SpamCop che rendono facile segnalare lo spam di segnalazione all'indirizzo giusto.

Determinazione della fonte dello spam

In che modo SpamCop trova l'ISP giusto a cui lamentarsi? Osserva da vicino le linee di intestazione del messaggio spam. Queste intestazioni contengono informazioni sul percorso seguito da un'e-mail.

SpamCop segue il percorso fino al punto da cui è stata inviata l'email. Da questo punto, noto anche come indirizzo IP, può derivare l'ISP dello spammer e inviare il report al reparto di abuso di questo ISP.

Diamo un'occhiata più da vicino a come funziona.

Email: intestazione e corpo

Ogni messaggio di posta elettronica è costituito da due parti, il corpo e l'intestazione. L'intestazione può essere considerata come la busta del messaggio, contenente l'indirizzo del mittente, il destinatario, l'oggetto e altre informazioni. Il corpo contiene il testo e gli allegati effettivi.

Alcune informazioni di intestazione visualizzate di solito dal tuo programma di posta elettronica includono:

  • A partire dal: - Il nome e l'indirizzo email del mittente.
  • A: - Il nome del destinatario e l'indirizzo email.
  • Data: - La data in cui il messaggio è stato inviato.
  • Soggetto: - La riga dell'oggetto.

Intestazione

La consegna effettiva delle e-mail non dipende da nessuna di queste intestazioni, sono solo convenienza.

Di solito, la riga Da:, ad esempio, verrà inviata all'indirizzo del mittente. Questo assicura che tu sappia da chi viene il messaggio e che possa rispondere facilmente.

Gli spammer vogliono assicurarsi di non poter rispondere facilmente e, certamente, non vogliono che tu sappia chi sono. Ecco perché inseriscono indirizzi email fittizi nelle righe From: dei loro messaggi indesiderati.

Ricevuto: linee

Quindi la riga From: è inutile se vogliamo determinare la vera fonte di un'e-mail. Fortunatamente, non dobbiamo fare affidamento su di esso. Le intestazioni di ogni messaggio di posta elettronica contengono anche Ricevuto: linee.

Questi non vengono solitamente visualizzati dai programmi di posta elettronica, ma possono essere molto utili per tracciare lo spam.

Analisi ricevuta: linee di intestazione

Proprio come una lettera postale passerà attraverso un certo numero di uffici postali nel suo percorso dal mittente al destinatario, un messaggio di posta elettronica viene elaborato e inoltrato da diversi server di posta.

Immagina ogni ufficio postale mettendo un timbro speciale su ogni lettera. Il timbro direbbe esattamente quando la lettera è stata ricevuta, da dove proviene e dove è stata inoltrata dall'ufficio postale. Se hai ricevuto la lettera, potresti determinare il percorso esatto preso dalla lettera.

Questo è esattamente ciò che succede con la posta elettronica.

Ricevuto: Lines for Tracing

Quando un server di posta elabora un messaggio, aggiunge una riga speciale, la riga Received: line all'intestazione del messaggio. La riga Received: contiene, in modo più interessante,

  • il nome del server e l'indirizzo IP della macchina che il server ha ricevuto il messaggio da e
  • il nome del server di posta stesso.

La riga Received: viene sempre inserita nella parte superiore delle intestazioni dei messaggi. Se vogliamo ricostruire il percorso di un'e-mail dal mittente al destinatario, iniziamo anche dal punto più alto Ricevuto: linea (perché lo facciamo diventare chiaro in un momento) e camminiamo fino a quando non siamo arrivati ​​all'ultimo, che è dove l'email è stata originata.

Ricevuto: forgiatura di linee

Gli spammer sanno che applicheremo esattamente questa procedura per scoprire dove si trovano. Per ingannarci, possono inserire falsi Ricevuti: linee che puntano a qualcun altro che invia il messaggio.

Dal momento che ogni server di posta metterà sempre il suo Received: line in cima, le intestazioni forgiate degli spammer possono essere solo nella parte inferiore della catena di linee Received:. Questo è il motivo per cui iniziamo la nostra analisi in alto e non deriviamo solo il punto in cui un'e-mail è originata dalla prima linea: Received: (in basso).

Come dire a un forgiato Ricevuto: Header Line

I falsi ricevuti: le righe inserite dagli spammer per ingannarci assomiglieranno a tutte le altre righe Ricevute: (a meno che non facciano un ovvio errore, ovviamente). Di per sé, non puoi dire a un falso Ricevuto: linea da vero.

Qui è dove una caratteristica distinta di Ricevuto: le linee entra in gioco. Come notato sopra, ogni server non solo noterà chi è ma anche da dove ha ricevuto il messaggio (nel modulo indirizzo IP).

Semplicemente paragoniamo chi un server afferma di stare con quello che il server si è fermato nella catena dice che lo è davvero. Se i due non corrispondono, la riga Ricevuto in precedenza: è stata falsificata.

In questo caso, l'origine dell'email è ciò che il server immediatamente dopo il Ricevuto forgiato: la linea ha da dire su chi ha ricevuto il messaggio.

Sei pronto per un esempio?

Esempio di spam analizzato e tracciato

Ora che conosciamo la base teorica, analizziamo un'e-mail indesiderata per identificare le sue origini nella vita reale.

Abbiamo appena ricevuto una porzione esemplare di spam che possiamo usare per l'esercizio.Ecco le linee di intestazione:

Ricevuto: da sconosciuto (HELO 38.118.132.100) (62.105.106.207)per mail1.infinology.com con SMTP; 16 Nov 2003 19:50:37 -0000Ricevuto: da 235.16.47.37 per 38.118.132.100 id; Dom 16 Nov 2003 13:38:22 -0600Message-ID:Da: "Reinaldo Gilliam"Rispondi a: "Reinaldo Gilliam"A: [email protected]Oggetto: Categoria A Prendi le medicine che ti servono lgvkalfnqnh bbkData: dom 16 Nov 2003 13:38:22 GMTX-Mailer: servizio posta Internet (5.5.2650.21)Versione MIME: 1.0Content-Type: multipart / alternative;boundary = "9B_9 .._ C_2EA.0DD_23"Priorità X: 3X-MSMail-Priority: normale

Puoi dire l'indirizzo IP dove è stata originata l'email?

Mittente e Soggetto

Per prima cosa, dai un'occhiata a - forged - From: line. Lo spammer vuole far sembrare che il messaggio sia stato inviato da Yahoo! Account di posta Insieme a Reply-To: line, questo indirizzo From: è volto a indirizzare tutti i messaggi che rimbalzano e le risposte rabbiose a un Yahoo! non esistente. Account di posta

Successivamente, il Soggetto: è un curioso agglomerato di personaggi casuali. È appena leggibile e ovviamente progettato per ingannare i filtri spam (ogni messaggio riceve un insieme leggermente diverso di caratteri casuali), ma è anche abilmente predisposto per trasmettere il messaggio nonostante ciò.

Il Ricevuto: Linee

Finalmente, Received: lines. Iniziamo con il più vecchio, Ricevuto: da 235.16.47.37 per 38.118.132.100 id; Dom 16 Nov 2003 13:38:22 -0600 . Non ci sono nomi host, ma due indirizzi IP: 38.118.132.100 afferma di aver ricevuto il messaggio da 235.16.47.37. Se questo è corretto, 235.16.47.37 è il luogo in cui è stata originata la posta elettronica e dovremmo scoprire a quale ISP appartiene questo indirizzo IP, quindi inviare loro un rapporto di abuso.

Vediamo se il prossimo (e in questo caso l'ultimo) server della catena conferma il primo Received: line claim: Ricevuto: da sconosciuto (HELO 38.118.142.100) (62.105.106.207) da mail1.infinology.com con SMTP; 16 Nov 2003 19:50:37 -0000 .

Poiché mail1.infinology.com è l'ultimo server della catena e in effetti il ​​"nostro" server sappiamo che possiamo fidarci di esso. Ha ricevuto il messaggio da un host "sconosciuto" che ha affermato di avere l'indirizzo IP 38.118.132.100 (utilizzando il comando HELO SMTP). Finora, questo è in linea con ciò che il precedente Ricevuto: linea ha detto.

Ora vediamo da dove il nostro server di posta ha ricevuto il messaggio. Per scoprirlo, daremo un'occhiata all'indirizzo IP tra parentesi immediatamente prima per mail1.infinology.com . Questo è l'indirizzo IP da cui è stata stabilita la connessione e non è 38.118.132.100. No, il 62.105.106.207 è da dove è stato spedito questo pezzo di posta indesiderata.

Con queste informazioni, ora puoi identificare l'ISP dello spammer e segnalare loro l'e-mail non richiesta in modo che possano eliminare lo spammer dalla rete.

Come rimuovere gli account di posta elettronica nei client di posta elettronica Microsoft

Come rimuovere gli account di posta elettronica nei client di posta elettronica Microsoft

Se preferisci non ricevere email tramite un account specifico in Microsoft Outlook o Windows 10 Mail, ecco come eliminarlo sul tuo computer.

Come accedere a un'origine dei messaggi di posta elettronica in Outlook.com

Come accedere a un'origine dei messaggi di posta elettronica in Outlook.com

La lettura delle intestazioni di origine di un messaggio di posta elettronica nella posta in arrivo di Outlook.com offre un sacco di informazioni su chi l'ha inviata e su come è entrata nella tua casella di posta.

Come eliminare la posta elettronica sull'iPad

Come eliminare la posta elettronica sull'iPad

Le persone che desiderano mantenere pulita la propria casella di posta elettronica devono sapere come eliminare una e-mail sull'iPad per rimanere produttivi.

Scelta Del Redattore