더 이상 수익이 발생하지 않으면 스팸이 종료됩니다. 스팸 발송자는 아무도 그들로부터 물건을 사지 않으면 그들의 이익이 떨어지는 것을 볼 것입니다 (당신은 정크 메일을 보지 못하기 때문입니다). 이것은 스팸 메일 방지를위한 가장 쉬운 방법이며, 물론 가장 좋은 방법 중 하나입니다.
스팸에 대한 불만
하지만 스패머의 대차 대조표 비용 측면에도 영향을 미칠 수 있습니다. 스패머의 인터넷 서비스 공급자 (ISP)에 불만을 제기하면 연결이 끊어지며 ISP의 허용 된 사용 정책에 따라 벌금을 지불해야 할 수 있습니다.
스팸 발송자는 이러한 보고서를 알고 두려워하므로 숨기려고합니다. 이것이 올바른 ISP를 찾는 것이 항상 쉬운 것은 아닙니다. 다행스럽게도 올바른 주소로 스팸을 정확하게보고하는 SpamCop과 같은 도구가 있습니다.
스팸의 출처 결정
SpamCop은 불만을 제기 할 적절한 ISP를 어떻게 찾습니까? 스팸 메시지의 헤더 행을 자세히 살펴 봅니다. 이 헤더에는 이메일이 보낸 경로에 대한 정보가 들어 있습니다.
SpamCop은 전자 메일을 보낸 지점까지 경로를 따라갑니다. 이 시점부터 IP 주소로 알고 있으면 스패머의 ISP를 파생시켜이 ISP의 남용 부서에 보낼 수 있습니다.
어떻게 작동하는지 자세히 살펴 보겠습니다.
이메일 : 헤더 및 본문
모든 전자 메일 메시지는 본문과 머리글의 두 부분으로 구성됩니다. 헤더는 보낸 사람의 주소,받는 사람, 제목 및 기타 정보를 포함하는 메시지의 봉투로 생각할 수 있습니다. 본문에는 실제 텍스트와 첨부 파일이 들어 있습니다.
이메일 프로그램에서 일반적으로 표시되는 일부 헤더 정보에는 다음이 포함됩니다.
- 에서: - 보낸 사람의 이름과 전자 메일 주소입니다.
- 에: -받는 사람의 이름과 전자 메일 주소입니다.
- 날짜: - 메시지를 보낸 날짜입니다.
- 제목: - 제목.
헤더 단조
전자 메일의 실제 전달은 이러한 헤더에 의존하지 않으며 단지 편의성 만 제공합니다.
일반적으로 From : 행은 발신자의 주소로 전송됩니다. 이렇게하면 메시지의 출처를 알 수 있고 쉽게 답장 할 수 있습니다.
스팸 발송자는 귀하가 쉽게 회신 할 수 없도록하고 싶습니다. 그리고 확실히 자신이 누구인지 알기를 원하지 않습니다. 그래서 정크 메일의 From : 행에 허구의 이메일 주소를 삽입합니다.
수신 : 회선
이메일의 실제 출처를 확인하려면 From : 행은 쓸모가 없습니다. 다행히도, 우리는 그것에 의존 할 필요가 없습니다. 모든 이메일 메시지의 헤더에는 Received : 행도 포함됩니다.
이메일 프로그램에서는 일반적으로 표시되지 않지만 스팸 추적에는 매우 유용합니다.
수신 된 구문 분석 : 헤더 행
우편 편지가 보낸 사람에서받는 사람에게가는 여러 우체국을 통과하는 것처럼 전자 메일 메시지는 여러 메일 서버에서 처리되고 전달됩니다.
모든 우체국이 각 편지에 특별한 우표를 찍는 것을 상상해보십시오. 우표가 편지를 받았을 때, 우표가 어디서 왔는지, 우체국에서 어디로 우송되었는지 정확히 알 수 있습니다. 편지를 받으면 편지로 찍은 정확한 경로를 결정할 수 있습니다.
이것은 정확히 이메일에서 일어나는 일입니다.
받은 : 추적 라인
메일 서버는 메시지를 처리 할 때 메시지 행의 헤더에 Received : 행이라는 특수 행을 추가합니다. Received : 행에는 가장 흥미롭게도,
- 서버가 메시지를 수신 한 시스템의 서버 이름과 IP 주소
- 메일 서버 자체의 이름.
Received : 행은 항상 메시지 헤더의 맨 위에 삽입됩니다. 보낸 사람에서받는 사람까지 전자 메일의 여행을 재구성하려는 경우 Received : 행의 맨 위에서 시작합니다 (이 작업을 수행하는 이유는 잠시 후에 분명해질 것입니다). 그리고 마지막 단계에 도달 할 때까지 아래로 걸어갑니다. 이메일이 시작되었습니다.
받은 : 라인 단조
스팸 발송자는 자신의 소재를 밝히기 위해이 절차를 정확히 적용 할 것을 알고 있습니다. 우리를 속이기 위해 메시지를 보내는 다른 누군가를 가리키는 Forged Received : 행을 삽입 할 수 있습니다.
모든 메일 서버는 항상 Received : 행을 맨 위에 표시하므로 스패머의 위조 된 헤더는 Received : 행 체인의 맨 아래에만있을 수 있습니다. 이것이 분석을 상단에서 시작한 이유는 이메일이 처음 Received : 행 (하단)에서 비롯된 지점을 파생하지 않기 때문입니다.
위조 된 편지를받는 방법 : 헤더 행
위조 된 Received : 스패머가 우리를 속이기 위해 삽입 한 줄은 다른 모든 Received : 줄처럼 보일 것입니다 (물론 명백한 실수를하지 않는 한). 그 자체만으로는 위조 된 Received : 라인을 정품으로 말할 수 없습니다.
여기서 Received : 행의 한 가지 고유 한 기능이 작동합니다. 앞에서 언급했듯이 모든 서버는 자신이 누구인지뿐만 아니라 (IP 주소 형태로) 메시지를받은 곳을 기록합니다.
우리는 간단히 말해서 서버가 누구인지와 비교해 보면 사슬에서 노치가있는 서버가 실제로 말하는 것과 비교할 수 있습니다. 두 개가 일치하지 않으면 초기 Received : 행이 위조되었습니다.
이 경우 전자 메일의 출처는 위조 된 Received : 서버가 메시지를 보낸 사람에 대해 말한 바로 다음의 서버입니다.
예를 들어 준비 되었습니까?
스팸 분석 및 추적 예제
이제 이론적 토대를 알게되었으므로 정크 메일을 분석하여 실생활에서 그 기원을 확인하십시오.
방금 운동에 사용할 수있는 모범적 인 스팸 메일을 받았습니다.다음은 헤더 행입니다.
받은 : 알 수없는 것 (HELO 38.118.132.100) (62.105.106.207)SMTP와의 mail1.infinology.com; 2003 년 11 월 16 일 19시 50 분 37 초 -0000받은 : 38.118.132.100에 의해 235.16.47.37에서 ID; Sun, 2003 년 11 월 16 일 13:38:22 -0600메시지 ID :올린 사람 : "Reinaldo Gilliam"답장 : "Reinaldo Gilliam"받는 사람 : [email protected]제목 : 카테고리 A 필요한 약 가져 오기 lgvkalfnqnh bbk날짜 : 일요일, 2003 년 11 월 16 일 13:38:22 GMTX-Mailer : 인터넷 메일 서비스 (5.5.2650.21)MIME 버전 : 1.0Content-Type : multipart / alternative;경계 = "9B_9 .._ C_2EA.0DD_23"X 우선 순위 : 3X-MSMail 우선 순위 : 보통
이메일이 발송 된 IP 주소를 알 수 있습니까?
보낸 사람 및 제목
먼저 - forged - From : 행을 살펴보십시오. 스팸 발송자는 메시지가 Yahoo!에서 보낸 것처럼 보이게하려고합니다. 메일 계정. Reply-To : 행과 함께 보낸 사람 : 주소는 모든 수신 거부 메시지와 존재하지 않는 Yahoo!에 대한 분노한 응답을 보내는 것을 목표로합니다. 메일 계정.
다음으로 Subject :는 무작위로 얽힌 호기심에 휩싸입니다. 거의 이해할 수없고 스팸 필터를 속일 수 있도록 설계되었습니다 (모든 메시지는 약간 다른 임의 문자 세트를 갖게됩니다). 그러나 이것에도 불구하고 메시지를 얻으려면 상당히 숙련되어 있습니다.
받은 : 라인
마지막으로 Received : 행. 가장 오래된 것부터 시작해 보겠습니다. 받은 : 38.118.132.100에 의해 235.16.47.37에서 ID; Sun, 2003 년 11 월 16 일 13:38:22 -0600 . 호스트 이름은 없지만 두 개의 IP 주소 : 38.118.132.100은 235.16.47.37에서 메시지를 수신했다고 주장합니다. 이것이 정확한지 235.16.47.37은 이메일이 발송 된 곳이며,이 IP 주소가 속한 ISP를 확인한 후 악용 사례 보고서를 보내드립니다.
체인의 다음 (그리고이 경우 마지막) 서버가 첫 번째 Received : 라인의 클레임을 확인하는지 봅시다. 수신 : 알 수없는 메일 (HELO 38.118.142.100) (62.105.106.207) by mail1.infinology.com (SMTP 포함). 2003 년 11 월 16 일 19시 50 분 37 초 -0000 .
mail1.infinology.com은 체인의 마지막 서버이고 실제로 "우리"서버이기 때문에 신뢰할 수 있음을 알고 있습니다. IP 주소가 38.118.132.100 (SMTP HELO 명령 사용) 인 것으로 주장 된 "알 수없는"호스트에서 메시지를 받았습니다. 지금까지, 이것은 이전의 Received : 행이 말한 것과 일치합니다.
이제 우리 메일 서버가 어디서 메시지를 받았는지 살펴 보겠습니다. 알아 내기 위해, 직전에 괄호 안에있는 IP 주소를 살펴 봅니다. 작성자 : mail1.infinology.com . 이것은 연결이 설정된 IP 주소이며 38.118.132.100이 아닙니다. 아니요, 62.105.106.207은이 정크 메일을 보낸 곳입니다.
이 정보를 사용하여 이제 스패머의 ISP를 식별하고 원치 않는 전자 메일을보고하여 스팸 발송자를 그물에서 쫓아 낼 수 있습니다.
