Skip to content

E-mailheaders kunnen u vertellen over de oorsprong van spam

11 de juli de 2021
spam 56a6adeb3df78cf7728fb2ba

Spam stopt wanneer het niet langer winstgevend is. Spammers zullen hun winst zien dalen als niemand iets bij hen koopt (omdat je de ongewenste e-mails niet eens ziet). Dit is de gemakkelijkste manier om spam te bestrijden, en zeker een van de beste.

Klagen over spam

U kunt ook de uitgavenkant van de balans van een spammer beïnvloeden. Als u een klacht indient bij de internetprovider (ISP) van de spammer, verliezen ze hun verbinding en moeten ze mogelijk een boete betalen (afhankelijk van het acceptabele gebruiksbeleid van de ISP). Omdat spammers dergelijke meldingen kennen en er bang voor zijn, proberen ze zich te verbergen. Daarom is het niet altijd gemakkelijk om de juiste ISP te vinden. Er zijn echter tools zoals SpamCop die het correct rapporteren van spam naar het juiste adres vereenvoudigen.

De bron van spam bepalen

Hoe vindt SpamCop de juiste ISP om bij te klagen? Het neemt de kopregels van het spambericht onder de loep. Deze headers bevatten informatie over het pad dat een e-mail heeft afgelegd. SpamCop volgt het pad tot het punt van waaruit de spammer de e-mail heeft verzonden. Vanaf dit punt, ook wel bekend als een IP-adres, kan het de ISP van de spammer afleiden en het rapport naar de misbruikafdeling van deze ISP sturen. Laten we eens nader bekijken hoe dit werkt.

E-mailkoptekst en -tekst

Elk e-mailbericht bestaat uit twee delen, de body en de header. De koptekst is als de e-mailenvelop met het adres van de afzender, de ontvanger, het onderwerp en andere informatie. De body heeft de tekst en de bijlagen. Sommige koptekstinformatie die gewoonlijk door uw e-mailprogramma wordt weergegeven, omvat:

  • Van: De naam en het e-mailadres van de afzender.
  • Naar: De naam en het e-mailadres van de ontvanger.
  • Datum: De datum waarop het bericht is verzonden.
  • Onderwerpen: De onderwerpregel.

Koptekst smeden

De daadwerkelijke bezorging van e-mails is niet afhankelijk van een van deze headers. Ze zijn gewoon handig. Meestal wordt de Van-regel bijvoorbeeld naar het adres van de afzender gestuurd, zodat u weet van wie het bericht afkomstig is en snel kunt antwoorden. Spammers willen ervoor zorgen dat u niet gemakkelijk kunt antwoorden en zeker niet dat u weet wie ze zijn. Daarom plaatsen ze fictieve e-mailadressen in de Van-regels van hun ongewenste berichten.

Ontvangen lijnen

De Van-regel is nutteloos bij het bepalen van de echte bron van een e-mail. U hoeft er niet op te vertrouwen. De headers van elk e-mailbericht bevatten ook Received-regels. E-mailprogramma’s geven deze meestal niet weer, maar ze kunnen nuttig zijn bij het opsporen van spam.

Ontvangen kopregels parseren

Net zoals een postbrief op weg van afzender naar ontvanger meerdere postkantoren passeert, wordt een e-mailbericht door meerdere mailservers verwerkt en doorgestuurd. Stel je voor dat elk postkantoor een unieke postzegel op elke brief plaatst. De postzegel zou precies aangeven wanneer de post werd ontvangen, waar deze vandaan kwam en waar deze door het postkantoor naar toe werd gestuurd. Als je de brief hebt gekregen, kun je het exacte pad van de brief bepalen. Dit is precies wat er gebeurt met e-mail.

Ontvangen lijnen voor tracering

Als een mailserver een bericht verwerkt, voegt het een bepaalde regel toe aan de kop van het bericht. De regel Ontvangen bevat de servernaam en het IP-adres van de machine waarvan de server het bericht heeft ontvangen, en de naam van de mailserver. De regel Ontvangen staat altijd bovenaan de berichtkop. Om de reis van een e-mail van afzender naar ontvanger te reconstrueren, begint u bij de bovenste regel Ontvangen en gaat u naar de laatste, waar de e-mail vandaan komt.

Ontvangen lijn smeden

Spammers weten dat mensen deze procedure toepassen om hun verblijfplaats te achterhalen. Ze kunnen vervalste ontvangen regels invoegen die verwijzen naar iemand anders die het bericht verzendt om de beoogde ontvanger voor de gek te houden. Aangezien elke mailserver zijn Received-regel altijd bovenaan plaatst, kunnen de vervalste headers van spammers alleen onderaan de Received-regelketen staan. Daarom moet u uw analyse bovenaan beginnen en niet alleen het punt afleiden waar een e-mail afkomstig is van de eerste ontvangen regel (onderaan).

Hoe herken ik een vervalste ontvangen kopregel?

De vervalste ontvangen regels die door spammers zijn ingevoegd, zien eruit als alle andere ontvangen regels (tenzij ze een duidelijke fout maken). Op zichzelf kun je een vervalste Ontvangen lijn niet onderscheiden van een echte, en dat is waar een duidelijk kenmerk van Ontvangen lijnen in het spel komt. Elke server noteert wie het is en waar het het bericht vandaan heeft (in IP-adresvorm). Vergelijk wat een server beweert te zijn met wat de server in de keten zegt dat het is. Als de twee niet overeenkomen, is de eerdere een vervalste Ontvangen regel. In dit geval is de oorsprong van de e-mail wat de server direct na de vervalste Ontvangen heeft geplaatst.

Voorbeeld spam geanalyseerd en getraceerd

Nu we de theoretische onderbouwing kennen, gaan we een ongewenste e-mail analyseren om de oorsprong ervan in het echte leven te identificeren. We hebben zojuist een voorbeeldig stukje spam ontvangen dat we kunnen gebruiken om te sporten. Dit zijn de kopregels:

Ontvangen: van onbekend (HELO 38.118.132.100) (62.105.106.207) per mail1.infinology.com met SMTP; 16 nov 2003 19:50:37 -0000 Ontvangen: van [235.16.47.37] door 38.118.132.100 id; zo 16 nov 2003 13:38:22 -0600 Bericht-ID: Van: “Reinaldo Gilliam” Antwoord aan: “Reinaldo Gilliam” Aan: [email protected] Onderwerp: Categorie A Ontvang de medicijnen die u nodig hebt lgvkalfnqnh bbk Datum: zo 16 nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-versie: 1.0 Inhoudstype: meervoudig/alternatief; grens = “9B_9.._C_2EA.0DD_23” X-Prioriteit: 3 X-MSMail-Prioriteit: Normaal

Kun je het IP-adres vertellen waar de e-mail vandaan komt?

Afzender en onderwerp

Kijk eerst naar de vervalste Van-lijn. De spammer wil het laten lijken alsof het bericht van een Yahoo! Mail-account. Met de Reply-To-regel is dit Van-adres bedoeld om alle stuiterende berichten en boze antwoorden door te sturen naar een niet-bestaand Yahoo! Mail-account. Vervolgens is het onderwerp een merkwaardige opeenstapeling van willekeurige tekens. Het is nauwelijks leesbaar en ontworpen om spamfilters voor de gek te houden (elk bericht krijgt een iets andere set willekeurige tekens). Toch is het ook behoorlijk vakkundig gemaakt om de boodschap desondanks over te brengen.

De ontvangen lijnen

Tot slot de Ontvangen lijnen. Laten we beginnen met de oudste, Ontvangen van [235.16.47.37] door 38.118.132.100 id; zo 16 nov 2003 13:38:22 -0600. Er staan ​​geen hostnamen in, maar twee IP-adressen: 38.118.132.100 beweert het bericht te hebben ontvangen van 235.16.47.37. Als dit correct is, is 235.16.47.37 waar de e-mail vandaan komt, en we zouden uitzoeken van welke ISP dit IP-adres toebehoort, en vervolgens een misbruikrapport naar hen sturen. Laten we eens kijken of de volgende (en in dit geval laatste) server in de keten de beweringen van de eerste ontvangen regel bevestigt: Ontvangen: van onbekend (HELO 38.118.142.100) (62.105.106.207) per mail1.infinology.com met SMTP; 16 nov 2003 19:50:37 -0000. Aangezien mail1.infinology.com de laatste server in de keten is en inderdaad “onze” server, weten we dat we hem kunnen vertrouwen. Het heeft het bericht ontvangen van een “onbekende” host die beweert het IP-adres 38.118.132.100 te hebben (met behulp van de SMTP HELO-opdracht). Tot nu toe is dit in lijn met wat de vorige Received-regel zei. Laten we nu eens kijken waar onze mailserver het bericht vandaan heeft. Om erachter te komen, kijk naar het IP-adres tussen haakjes vlak ervoor per mail1.infinology.com. Dit is het IP-adres van waaruit de verbinding tot stand is gebracht, en het is niet 38.118.132.100. Nee, 62.105.106.207 is waar deze ongewenste e-mail vandaan kwam. Met deze informatie kunt u nu de ISP van de spammer identificeren en de ongevraagde e-mail aan hen rapporteren om de spammer van het internet te schoppen.