O spam terminará quando não for mais lucrativo. Os spammers verão seus lucros despencarem se ninguém comprar deles (porque você nem vê os e-mails de lixo eletrônico). Esta é a maneira mais fácil de combater o spam e, certamente, um dos melhores.
Reclamando Sobre o Spam
Mas você também pode afetar o lado das despesas do balanço de um spammer. Se você reclamar com o ISP (Provedor de Serviços de Internet) do remetente de spam, ele perderá a conexão e talvez tenha que pagar uma multa (dependendo da política de uso aceitável do ISP).
Como os spammers conhecem e temem esses relatórios, eles tentam se esconder. É por isso que encontrar o provedor certo nem sempre é fácil. Felizmente, existem ferramentas como o SpamCop que facilitam o envio de spam corretamente para o endereço correto.
Determinando a fonte de spam
Como o SpamCop encontra o ISP correto para reclamar? Ele examina de perto as linhas de cabeçalho da mensagem de spam. Esses cabeçalhos contêm informações sobre o caminho percorrido por um email.
O SpamCop segue o caminho até o ponto de onde o email foi enviado. A partir deste ponto, também conhecido como um endereço IP, ele pode derivar o ISP do remetente de spam e enviar o relatório para o departamento de abuso do ISP.
Vamos dar uma olhada em como isso funciona.
E-mail: cabeçalho e corpo
Cada mensagem de email consiste em duas partes, o corpo e o cabeçalho. O cabeçalho pode ser considerado como o envelope da mensagem, contendo o endereço do remetente, o destinatário, o assunto e outras informações. O corpo contém o texto atual e os anexos.
Algumas informações de cabeçalho normalmente exibidas pelo seu programa de email incluem:
- De: - O nome do remetente e endereço de email.
- Para: - O nome e endereço de email do destinatário.
- Encontro: - A data em que a mensagem foi enviada.
- Sujeito: - A linha de assunto.
Forjamento de cabeçalho
A entrega real de e-mails não depende de nenhum desses cabeçalhos, eles são apenas convenientes.
Normalmente, a linha De:, por exemplo, será enviada para o endereço do remetente. Isso garante que você saiba de quem é a mensagem e pode responder com facilidade.
Os spammers querem ter certeza de que você não pode responder facilmente e, certamente, não querem que você saiba quem eles são. É por isso que eles inserem endereços de e-mail fictícios nas linhas De: de suas mensagens indesejadas.
Recebido: Linhas
Portanto, a linha De: é inútil se quisermos determinar a origem real de um email. Felizmente, não precisamos confiar nisso. Os cabeçalhos de cada mensagem de email também contêm Recebido: linhas.
Geralmente, eles não são exibidos por programas de e-mail, mas podem ser muito úteis no rastreamento de spam.
Análise recebida: linhas de cabeçalho
Assim como uma carta postal passa por várias agências de correio a caminho do remetente ao destinatário, uma mensagem de e-mail é processada e encaminhada por vários servidores de e-mail.
Imagine todos os correios colocando um carimbo especial em cada letra. O selo diria exatamente quando a carta foi recebida, de onde veio e para onde foi encaminhada pelos correios. Se você recebesse a carta, poderia determinar o caminho exato tomado pela carta.
Isso é exatamente o que acontece com o email.
Recebido: linhas para rastreamento
Como um servidor de correio processa uma mensagem, ele adiciona uma linha especial, a linha Received: ao cabeçalho da mensagem. A linha Recebida: contém, o mais interessante,
- o nome do servidor e o endereço IP da máquina em que o servidor recebeu a mensagem e
- o nome do próprio servidor de email.
A linha Recebida: é sempre inserida no topo dos cabeçalhos das mensagens. Se quisermos reconstruir a jornada de um e-mail do remetente ao destinatário, também começaremos na linha superior Recebida: (por que isso se tornará aparente daqui a pouco) e caminharemos até chegarmos ao último, que é onde o email foi originado.
Recebido: forjamento de linha
Os spammers sabem que aplicaremos exatamente esse procedimento para descobrir o paradeiro deles. Para nos enganar, eles podem inserir forjado Received: linhas que apontam para outra pessoa enviando a mensagem.
Como cada servidor de e-mail sempre colocará sua linha Received: na parte superior, os cabeçalhos forjados dos remetentes de spam só poderão estar na parte inferior da cadeia de linhas Recebidos. É por isso que começamos nossa análise no topo e não apenas derivamos o ponto em que um e-mail originou-se da primeira linha Received: (na parte inferior).
Como informar um forjado recebido: linha de cabeçalho
O forjado Recebido: linhas inseridas por remetentes de spam para nos enganar se parecerão com todas as outras Linhas Recebidas: (a menos que comessem um erro óbvio, é claro). Por si só, você não pode dizer uma linha Recebida: de uma genuína.
É aqui que entra uma característica distinta de Received: lines. Como observamos acima, cada servidor não apenas notará quem é, mas também de onde recebeu a mensagem (no formulário de endereço IP).
Simplesmente comparamos quem um servidor alega estar com o que o servidor de um nível da cadeia diz que realmente é. Se os dois não corresponderem, a linha anterior Recebida: foi forjada.
Nesse caso, a origem do email é o que o servidor imediatamente após a linha Recebido: forjado tem a dizer sobre quem recebeu a mensagem.
Você está pronto para um exemplo?
Exemplo de spam analisado e rastreado
Agora que conhecemos a base teórica, vamos analisar um lixo eletrônico para identificar sua origem na vida real.
Acabamos de receber uma amostra exemplar de spam que podemos usar para o exercício.Aqui estão as linhas de cabeçalho:
Recebido: de desconhecido (HELO 38.118.132.100) (62.105.106.207)por mail1.infinology.com com SMTP; 16 de novembro de 2003 19:50:37 -0000Recebido: de 235.16.47.37 por 38.118.132.100 id; Dom, 16 de novembro de 2003 13:38:22 -0600ID da mensagem:De: "Reinaldo Gilliam"Responder para: "Reinaldo Gilliam"Para: [email protected]Assunto: Categoria A Obter os remédios que você precisa lgvkalfnqnh bbkData: domingo, 16 de novembro de 2003 13:38:22 GMTX-Mailer: serviço de correio da Internet (5.5.2650.21)Versão MIME: 1.0Tipo de Conteúdo: multiparte / alternativa;limite = "9B_9 .._ C_2EA.0DD_23"X-prioridade: 3Prioridade X-MSMail: Normal
Você pode informar o endereço IP de onde o email foi originado?
Remetente e Assunto
Primeiro, dê uma olhada no - forjado - De: linha. O spammer quer fazer parecer que a mensagem foi enviada de um site do Yahoo! Conta de correio. Juntamente com a linha Reply-To:, esse endereço From: destina-se a direcionar todas as mensagens saltantes e respostas iradas para um Yahoo! Conta de correio.
Em seguida, o assunto: é uma curiosa aglomeração de caracteres aleatórios. É pouco legível e obviamente projetado para enganar os filtros de spam (cada mensagem recebe um conjunto ligeiramente diferente de caracteres aleatórios), mas também é bastante habilmente trabalhada para passar a mensagem apesar disso.
O Recebido: Linhas
Finalmente, o Recebido: linhas. Vamos começar com o mais antigo, Recebido: de 235.16.47.37 por 38.118.132.100 id; Dom, 16 de novembro de 2003 13:38:22 -0600 . Não há nomes de host, mas dois endereços IP: 38.118.132.100 afirma ter recebido a mensagem de 235.16.47.37. Se isso estiver correto, 235.16.47.37 é onde o e-mail foi originado, e nós descobriríamos a qual ISP esse endereço IP pertence e depois enviaremos um relatório de abuso para eles.
Vamos ver se o próximo (e neste último caso) servidor da cadeia confirma as primeiras afirmações Recebidas: linha: Recebido: de desconhecido (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com com SMTP; 16 de novembro de 2003 19:50:37 -0000 .
Como o mail1.infinology.com é o último servidor da cadeia e, de fato, "nosso" servidor, sabemos que podemos confiar nele. Ele recebeu a mensagem de um host "desconhecido" que afirmou ter o endereço IP 38.118.132.100 (usando o comando SMTP HELO). Até agora, isso está de acordo com o que a linha anterior recebeu: disse.
Agora vamos ver de onde nosso servidor de email recebeu a mensagem. Para descobrir, damos uma olhada no endereço IP entre parênteses imediatamente antes por mail1.infinology.com . Este é o endereço IP de onde a conexão foi estabelecida, e não é 38.118.132.100. Não, 62.105.106.207 é de onde este pedaço de lixo eletrônico foi enviado.
Com essas informações, você pode identificar o ISP do remetente de spam e relatar o e-mail não solicitado para que ele possa expulsar o spammer da rede.
