Les en-têtes d'e-mail peuvent vous renseigner sur l'origine du spam

Table des matières:

Les en-têtes d'e-mail peuvent vous renseigner sur l'origine du spam
Les en-têtes d'e-mail peuvent vous renseigner sur l'origine du spam
Anonim

Le spam prendra fin lorsqu'il ne sera plus rentable. Les spammeurs verront leurs bénéfices chuter si personne n'achète chez eux (car vous ne voyez même pas les courriers indésirables). C'est le moyen le plus simple de lutter contre le spam, et certainement l'un des meilleurs.

Se plaindre de spam

Vous pouvez également affecter le côté dépenses du bilan d'un spammeur. Si vous portez plainte auprès du fournisseur de services Internet (FAI) du spammeur, il perdra sa connexion et pourrait devoir payer une amende (selon la politique d'utilisation acceptable du FAI).

Comme les spammeurs connaissent et craignent de tels signalements, ils essaient de se cacher. C'est pourquoi trouver le bon FAI n'est pas toujours facile. Cependant, il existe des outils comme SpamCop qui simplifient le signalement correct du spam à l'adresse exacte.

Image
Image

Déterminer la source du spam

Comment SpamCop trouve-t-il le bon FAI auquel se plaindre ? Il examine de près les lignes d'en-tête du message de spam. Ces en-têtes contiennent des informations sur le chemin emprunté par un e-mail.

SpamCop suit le chemin jusqu'au point à partir duquel le spammeur a envoyé l'e-mail. À partir de ce point, également connu sous le nom d'adresse IP, il peut dériver le FAI du spammeur et envoyer le rapport au service d'abus de ce FAI.

Regardons de plus près comment cela fonctionne.

En-tête et corps de l'e-mail

Chaque message électronique se compose de deux parties, le corps et l'en-tête. L'en-tête est comme l'enveloppe de l'e-mail contenant l'adresse de l'expéditeur, le destinataire, le sujet et d'autres informations. Le corps contient le texte et les pièces jointes.

Certaines informations d'en-tête généralement affichées par votre programme de messagerie incluent:

  • From: le nom et l'adresse e-mail de l'expéditeur.
  • To: le nom et l'adresse e-mail du destinataire.
  • Date: La date à laquelle le message a été envoyé.
  • Sujet: la ligne d'objet.

Forge d'en-tête

La livraison réelle des e-mails ne dépend d'aucun de ces en-têtes. Ils sont juste pratiques.

Habituellement, la ligne De, par exemple, sera envoyée à l'adresse de l'expéditeur afin que vous sachiez de qui provient le message et que vous puissiez répondre rapidement.

Les spammeurs veulent s'assurer que vous ne pouvez pas répondre facilement et ne veulent certainement pas que vous sachiez qui ils sont. C'est pourquoi ils insèrent des adresses e-mail fictives dans les lignes De de leurs messages indésirables.

Lignes reçues

La ligne De est inutile pour déterminer la véritable source d'un e-mail. Vous n'avez pas besoin de vous y fier. Les en-têtes de chaque e-mail contiennent également des lignes Received.

Les programmes de messagerie ne les affichent généralement pas, mais ils peuvent être utiles pour détecter les spams.

Analyse des lignes d'en-tête reçues

Tout comme une lettre postale passe par plusieurs bureaux de poste entre l'expéditeur et le destinataire, un e-mail est traité et transmis par plusieurs serveurs de messagerie.

Imaginez que chaque bureau de poste appose un timbre unique sur chaque lettre. Le timbre indiquerait exactement quand le courrier a été reçu, d'où il vient et où il a été réacheminé par le bureau de poste. Si vous avez obtenu la lettre, vous pourriez déterminer le chemin exact emprunté par la lettre.

C'est précisément ce qui se passe avec les e-mails.

Lignes reçues pour le traçage

Lorsqu'un serveur de messagerie traite un message, il ajoute une ligne particulière à l'en-tête du message. La ligne Reçu contient le nom du serveur et l'adresse IP de la machine à partir de laquelle le serveur a reçu le message, ainsi que le nom du serveur de messagerie.

La ligne Reçu est toujours en haut de l'en-tête du message. Pour reconstituer le parcours d'un e-mail de l'expéditeur à un destinataire, commencez par la ligne Received la plus élevée et descendez jusqu'à la dernière, d'où provient l'e-mail.

forgeage de ligne reçu

Les spammeurs savent que les gens appliquent cette procédure pour découvrir où ils se trouvent. Ils peuvent insérer de fausses lignes Received qui pointent vers quelqu'un d'autre envoyant le message pour tromper le destinataire prévu.

Étant donné que chaque serveur de messagerie placera toujours sa ligne Received en haut, les en-têtes falsifiés des spammeurs ne peuvent se trouver qu'en bas de la chaîne de lignes Received. C'est pourquoi vous devez commencer votre analyse en haut et ne pas simplement dériver le point d'origine d'un e-mail à partir de la première ligne Received (en bas).

Comment reconnaître une fausse ligne d'en-tête reçue

Les fausses lignes Received insérées par les spammeurs ressemblent à toutes les autres lignes Received (à moins qu'elles ne commettent une erreur manifeste). En soi, vous ne pouvez pas distinguer une ligne reçue falsifiée d'une ligne authentique, c'est là qu'une caractéristique distincte des lignes reçues entre en jeu. Chaque serveur note qui il est et d'où il a reçu le message (sous forme d'adresse IP).

Comparez ce qu'un serveur prétend être avec ce que le serveur d'un cran dans la chaîne dit qu'il est. Si les deux ne correspondent pas, la première est une fausse ligne Received.

Dans ce cas, l'origine de l'e-mail correspond à ce que le serveur a placé immédiatement après le faux Reçu.

Exemple de spam analysé et tracé

Maintenant que nous connaissons le fondement théorique, analysons un courrier indésirable pour identifier son origine dans la vie réelle.

Nous venons de recevoir un spam exemplaire que nous pouvons utiliser pour faire de l'exercice. Voici les lignes d'en-tête:

Reçu: d'un inconnu (HELO 38.118.132.100) (62.105.106.207) par mail1.infinology.com avec SMTP; 16 novembre 2003 19:50:37 -0000 Reçu: de [235.16.47.37] par 38.118.132.100 id; Dim, 16 Nov 2003 13:38:22 -0600 Message-ID: De: "Reinaldo Gilliam" Réponse à: "Reinaldo Gilliam" À: [email protected] Objet: Catégorie A Obtenez les médicaments dont vous avez besoin lgvkalfnqnh bbk Date: Sun, 16 Nov 2003 13:38:22 GMT X-Mailer: Internet Mail Service (5.5.2650.21) MIME-Version: 1.0 Content-Type: multipart/ alternative; bound="9B_9._C_2EA.0DD_23" Priorité X: 3 Priorité X-MSMail: Normal

Pouvez-vous indiquer l'adresse IP d'où provient l'e-mail ?

Expéditeur et objet

Premièrement, regardez la ligne From falsifiée. Le spammeur veut donner l'impression que le message provient d'un Yahoo! Compte de messagerie. Avec la ligne Reply-To, cette adresse De vise à diriger tous les messages rebondissants et les réponses en colère vers un Yahoo! Compte de messagerie.

Ensuite, le Sujet est une curieuse accumulation de caractères aléatoires. Il est à peine lisible et conçu pour tromper les filtres anti-spam (chaque message reçoit un ensemble légèrement différent de caractères aléatoires). Pourtant, il est également assez habilement conçu pour faire passer le message malgré cela.

Les lignes reçues

Enfin, les lignes reçues. Commençons par le plus ancien, Reçu: de [235.16.47.37] par 38.118.132.100 id; Dim, 16 novembre 2003 13:38:22 -0600. Il n'y a pas de noms d'hôte, mais deux adresses IP: 38.118.132.100 prétend avoir reçu le message de 235.16.47.37. Si cela est correct, 235.16.47.37 est l'origine de l'e-mail, et nous trouverions à quel FAI appartient cette adresse IP, puis leur enverrions un rapport d'abus.

Voyons si le serveur suivant (et dans ce cas le dernier) de la chaîne confirme les réclamations de la première ligne Received: Reçu: de l'inconnu (HELO 38.118.142.100) (62.105.106.207) par mail1.infinology.com avec SMTP; 16 novembre 2003 19:50:37 -0000.

Puisque mail1.infinology.com est le dernier serveur de la chaîne et en fait "notre" serveur, nous savons que nous pouvons lui faire confiance. Il a reçu le message d'un hôte "inconnu" prétendant avoir l'adresse IP 38.118.132.100 (en utilisant la commande SMTP HELO). Jusqu'à présent, cela correspond à ce que disait la ligne Received précédente.

Maintenant, voyons d'où notre serveur de messagerie a reçu le message. Pour le savoir, regardez l'adresse IP entre parenthèses juste avant par mail1.infinology.com. Il s'agit de l'adresse IP à partir de laquelle la connexion a été établie, et ce n'est pas 38.118.132.100. Non, 62.105.106.207 est l'endroit d'où ce courrier indésirable a été envoyé.

Grâce à ces informations, vous pouvez désormais identifier le FAI du spammeur et lui signaler l'e-mail non sollicité pour expulser le spammeur du réseau.

Conseillé: