El correu brossa s'acabarà quan ja no sigui rendible. Els spammers veuran com els seus beneficis cauen si ningú els compra (perquè ni tan sols veus els correus no desitjats). Aquesta és la manera més fàcil de combatre el correu brossa i, sens dubte, una de les millors.
Queixar-se del correu brossa
També podeu afectar el costat de les despeses del balanç d'un spammer. Si us queixeu amb el proveïdor de serveis d'Internet (ISP) de l'emissor, aquest perdrà la connexió i és possible que hagi de pagar una multa (segons la política d'ús acceptable de l'ISP).
Com que els spammers coneixen i temen aquests informes, intenten amagar-se. És per això que trobar l'ISP adequat no sempre és fàcil. Tanmateix, hi ha eines com SpamCop que simplifiquen la notificació correcta del correu brossa a l'adreça precisa.
Determinació de la font del correu brossa
Com troba SpamCop l'ISP adequat per a queixar-se? Es fa una ullada de prop a les línies de capçalera del missatge de correu brossa. Aquestes capçaleres contenen informació sobre el camí que va prendre un correu electrònic.
SpamCop segueix el camí fins al punt des del qual l'emissor va enviar el correu electrònic. A partir d'aquest punt, també conegut com a adreça IP, pot derivar l'ISP del spammer i enviar l'informe al departament d'abús d'aquest ISP.
Mirem de prop com funciona això.
Capçalera i cos del correu electrònic
Cada missatge de correu electrònic consta de dues parts, el cos i la capçalera. La capçalera és com el sobre de correu electrònic que conté l'adreça del remitent, el destinatari, l'assumpte i altra informació. El cos té el text i els fitxers adjunts.
Alguna informació de la capçalera que sol mostrar el vostre programa de correu electrònic inclou:
- De: nom i adreça electrònica del remitent.
- To: nom i adreça electrònica del destinatari.
- Data: la data en què es va enviar el missatge.
- Assumpte: L'assumpte.
Forja de capçaleres
El lliurament real dels correus electrònics no depèn de cap d'aquestes capçaleres. Són convenients.
Normalment, la línia De, per exemple, s'enviarà a l'adreça del remitent perquè sàpigues de qui és el missatge i puguis respondre ràpidament.
Els spammers volen assegurar-se que no responguis fàcilment i, certament, no volen que sàpigues qui són. És per això que insereixen adreces de correu electrònic fictícia a les línies De dels seus missatges no desitjats.
Línies rebudes
La línia De no serveix per determinar la font real d'un correu electrònic. No cal confiar-hi. Les capçaleres de cada missatge de correu electrònic també contenen línies rebudes.
Els programes de correu electrònic no solen mostrar-los, però poden ser beneficiosos per rastrejar el correu brossa.
Anàlisi de les línies de capçalera rebudes
De la mateixa manera que una carta postal passa per diverses oficines de correus en el seu camí del remitent al destinatari, diversos servidors de correu processen i reenvien un missatge de correu electrònic.
Imagineu-vos que cada oficina postal posa un segell únic a cada carta. El segell diria exactament quan es va rebre el correu, d'on prové i on va ser enviat per l'oficina de correus. Si heu rebut la carta, podríeu determinar el camí exacte que pren la carta.
Això és precisament el que passa amb el correu electrònic.
Línies rebudes per rastrejar
A mesura que un servidor de correu processa un missatge, afegeix una línia concreta a la capçalera del missatge. La línia Rebut conté el nom del servidor i l'adreça IP de la màquina des de la qual el servidor ha rebut el missatge, i el nom del servidor de correu.
La línia Rebut sempre es troba a la part superior de la capçalera del missatge. Per reconstruir el recorregut d'un correu electrònic des del remitent fins al destinatari, comenceu per la línia Rebut més alta i baixeu fins a l'última, que és on es va originar el correu electrònic.
Forjació de línies rebudes
Els spammers saben que la gent aplica aquest procediment per descobrir el seu parador. Poden inserir línies de Rebudes falsificades que assenyalin que algú més envia el missatge per enganyar el destinatari previst.
Com que cada servidor de correu sempre posarà la seva línia Rebuda a la part superior, les capçaleres falsificades dels emissors de correu brossa només poden estar a la part inferior de la cadena de línies Rebudes. És per això que hauríeu de començar l'anàlisi a la part superior i no només derivar el punt d'origen d'un correu electrònic a partir de la primera línia rebut (a la part inferior).
Com saber una línia de capçalera rebuda falsificada
Les línies rebudes falsificades inserides pels emissors de correu brossa semblen totes les altres línies rebudes (tret que cometin un error evident). Per si mateix, no podeu distingir una línia Rebuda falsificada d'una de genuïna, que és on entra en joc una característica diferent de les línies Rebudes. Cada servidor anota qui és i d'on ha rebut el missatge (en forma d'adreça IP).
Compareu el que diu ser un servidor amb el que diu que és el servidor d'una osca més amunt de la cadena. Si els dos no coincideixen, l'anterior és una línia rebuda falsificada.
En aquest cas, l'origen del correu electrònic és el que diu el servidor immediatament després de la falsificació rebut.
Exemple de correu brossa analitzat i rastrejat
Ara que coneixem el fonament teòric, analitzem un correu electrònic no desitjat per identificar-ne l'origen a la vida real.
Acabem de rebre un correu brossa exemplar que podem utilitzar per fer exercici. Aquí teniu les línies de capçalera:
Rebut: de desconegut (HELO 38.118.132.100) (62.105.106.207) per mail1.infinology.com amb SMTP; 16 nov 2003 19:50:37 -0000 Rebut: de [235.16.47.37] per 38.118.132.100 id; Dg, 16 de novembre de 2003 13:38:22 -0600 ID del missatge: De: "Reinaldo Gilliam" Resposta a: "Reinaldo Gilliam" A: [email protected] Assumpte: Categoria A Obteniu els medicaments que necessiteu lgvkalfnqnh bbk Data: Diumenge, 16 de novembre de 2003 13:38:22 GMT X-Mailer: Servei de correu d'Internet (5.5.2650.21) Versió MIME: 1.0 Tipus de contingut: multipart/ alternatiu; boundary="9B_9._C_2EA.0DD_23" X-Priority: 3 X-MSMail-Priority: Normal
Pots dir l'adreça IP d'on s'ha originat el correu electrònic?
Remitent i assumpte
Primer, mireu la línia De falsificada. L'emissor vol fer que sembli que el missatge prové d'un missatge de Yahoo! Compte de correu. Amb la línia Respon-To, aquesta adreça de part té com a objectiu dirigir tots els missatges de rebot i les respostes enutjades a un Yahoo! Compte de correu.
A continuació, el tema és una curiosa acumulació de caràcters aleatoris. Amb prou feines és llegible i està dissenyat per enganyar els filtres de correu brossa (cada missatge rep un conjunt de caràcters aleatoris lleugerament diferent). Tot i així, també està dissenyat amb força per fer arribar el missatge malgrat això.
Les línies rebudes
Finalment, les línies Rebudes. Comencem pel més antic, Rebut: de [235.16.47.37] per 38.118.132.100 id; Dg, 16 de novembre de 2003 13:38:22 -0600. No hi ha noms d'amfitrió, sinó dues adreces IP: 38.118.132.100 afirma haver rebut el missatge de 235.16.47.37. Si això és correcte, 235.16.47.37 és on s'ha originat el correu electrònic i esbrinaríem a quin ISP pertany aquesta adreça IP i, a continuació, els enviaríem un informe d'abús.
Vem si el següent (i en aquest cas l'últim) servidor de la cadena confirma les afirmacions de la primera línia Rebuda: Rebut: de desconegut (HELO 38.118.142.100) (62.105.106.207) per mail1.infinology.com amb SMTP; 16 de novembre de 2003 19:50:37 -0000.
Com que mail1.infinology.com és l'últim servidor de la cadena i, de fet, el "nostre" servidor, sabem que podem confiar-hi. Ha rebut el missatge d'un amfitrió "desconegut" que afirma tenir l'adreça IP 38.118.132.100 (utilitzant l'ordre SMTP HELO). Fins ara, això està en línia amb el que deia la línia anterior Rebut.
Ara anem a veure d'on va rebre el missatge el nostre servidor de correu. Per saber-ho, mireu l'adreça IP entre parèntesis immediatament abans per mail1.infinology.com. Aquesta és l'adreça IP des de la qual es va establir la connexió i no és 38.118.132.100. No, el 62.105.106.207 és d'on s'ha enviat aquest correu brossa.
Amb aquesta informació, ara podeu identificar l'ISP de l'emissor de correu brossa i informar-li del correu electrònic no sol·licitat per expulsar-lo de la xarxa.
