El spam terminará cuando ya no sea rentable. Los spammers verán caer sus ganancias si nadie les compra (porque usted ni siquiera ve los correos electrónicos no deseados). Esta es la forma más fácil de combatir el spam, y sin duda una de las mejores.
Quejándose de Spam
Pero también puede afectar los gastos del balance de un spammer. Si se queja ante el Proveedor de servicios de Internet (ISP) del remitente de correo no deseado, perderán la conexión y quizás tengan que pagar una multa (según la política de uso aceptable del ISP).
Como los spammers conocen y temen tales informes, intentan esconderse. Es por eso que encontrar el ISP correcto no siempre es fácil. Afortunadamente, existen herramientas como SpamCop que facilitan la notificación correcta del spam a la dirección correcta.
Determinando la Fuente de Spam
¿Cómo encuentra SpamCop el ISP correcto para quejarse? Observa de cerca las líneas del encabezado del mensaje de spam. Estos encabezados contienen información sobre la ruta que tomó un correo electrónico.
SpamCop sigue la ruta hasta el punto desde donde se envió el correo electrónico. Desde este punto, también conocido como una dirección IP, puede derivar el ISP del spammer y enviar el informe al departamento de abuso de este ISP.
Echemos un vistazo más de cerca cómo funciona esto.
Email: Encabezado y Cuerpo
Cada mensaje de correo electrónico consta de dos partes, el cuerpo y el encabezado. El encabezado se puede considerar como el sobre del mensaje, que contiene la dirección del remitente, el destinatario, el asunto y otra información. El cuerpo contiene el texto real y los archivos adjuntos.
Alguna información de encabezado que normalmente muestra su programa de correo electrónico incluye:
- Desde: - El nombre del remitente y la dirección de correo electrónico.
- A: - El nombre del destinatario y la dirección de correo electrónico.
- Fecha: - La fecha en que se envió el mensaje.
- Tema: - La línea de asunto.
Forja de cabecera
La entrega real de correos electrónicos no depende de ninguno de estos encabezados, solo son conveniencia.
Por lo general, la línea De:, por ejemplo, se enviará a la dirección del remitente. Esto asegura que usted sepa de quién es el mensaje y que pueda responder fácilmente.
Los spammers quieren asegurarse de que no pueda responder fácilmente, y ciertamente, no quiere que sepa quiénes son. Es por eso que insertan direcciones de correo electrónico ficticias en las líneas De: de sus mensajes no deseados.
Recibido: Líneas
Por lo tanto, la línea From: es inútil si queremos determinar la fuente real de un correo electrónico. Afortunadamente, no tenemos que confiar en ello. Los encabezados de cada mensaje de correo electrónico también contienen Received: líneas.
Estos no suelen mostrarse en los programas de correo electrónico, pero pueden ser muy útiles para rastrear el spam.
Análisis recibido: líneas de encabezado
Al igual que una carta postal pasará por varias oficinas postales desde el remitente hasta el destinatario, varios servidores de correo procesan y envían un mensaje de correo electrónico.
Imagina que cada oficina de correos pone un sello especial en cada carta. El sello diría exactamente cuándo se recibió la carta, de dónde vino y adónde fue enviada por la oficina de correos. Si recibió la carta, podría determinar el camino exacto que tomó la carta.
Esto es exactamente lo que pasa con el correo electrónico.
Recibido: Líneas para el rastreo.
Cuando un servidor de correo procesa un mensaje, agrega una línea especial, la línea Recibido: al encabezado del mensaje. La línea Received: contiene, lo más interesante,
- el nombre del servidor y la dirección IP de la máquina de la que el servidor recibió el mensaje y
- El nombre del propio servidor de correo.
La línea Received: siempre se inserta en la parte superior de los encabezados del mensaje. Si queremos reconstruir el viaje de un correo electrónico desde el remitente al destinatario, también comenzamos en la línea más recibida: por qué hacemos esto se hará evidente en un momento y caminamos hasta que hayamos llegado a la última, que es donde El correo electrónico se originó.
Recibido: Forja de línea
Los spammers saben que aplicaremos exactamente este procedimiento para descubrir su paradero. Para engañarnos, pueden insertar Recibido falsificado: líneas que apuntan a otra persona que envía el mensaje.
Dado que cada servidor de correo siempre pondrá su línea Received: en la parte superior, los encabezados falsificados de los spammers solo pueden estar en la parte inferior de la cadena Received: line. Esta es la razón por la cual comenzamos nuestro análisis en la parte superior y no solo derivamos el punto donde se originó un correo electrónico desde la primera línea Recibido: (en la parte inferior).
Cómo decirle a un forjado recibido: línea de encabezado
Las forjadas Received: las líneas insertadas por los spammers para engañarnos se verán como todas las demás Received: líneas (a menos que cometan un error obvio, por supuesto). Por sí mismo, no puede distinguir una línea falsificada de Received de una genuina.
Aquí es donde entra en juego una característica distinta de Received: lines. Como hemos señalado anteriormente, cada servidor no solo notará quién es, sino también de dónde recibió el mensaje (en forma de dirección IP).
Simplemente comparamos quién dice ser un servidor con lo que el servidor de una cadena en la cadena dice que realmente es. Si los dos no coinciden, la línea Received: anterior se ha forjado.
En este caso, el origen del correo electrónico es lo que el servidor inmediatamente después de la forjada Recibido: línea tiene que decir acerca de quién recibió el mensaje.
¿Estás listo para un ejemplo?
Ejemplo de Spam analizado y trazado
Ahora que conocemos el fundamento teórico, analicemos un correo no deseado para identificar su origen en la vida real.
Acabamos de recibir una pieza de spam ejemplar que podemos usar para hacer ejercicio.Aquí están las líneas de encabezado:
Recibido: de desconocido (HELO 38.118.132.100) (62.105.106.207)por mail1.infinology.com con SMTP; 16 de noviembre de 2003 19:50:37 -0000Recibido: de 235.16.47.37 por 38.118.132.100 id; Domingo, 16 de noviembre de 2003 13:38:22 -0600ID de mensaje:De: "Reinaldo Gilliam"Responder a: "Reinaldo Gilliam"Para: [email protected]Asunto: Categoría A Obtenga los medicamentos que necesita lgvkalfnqnh bbkFecha: dom. 16 nov. 2003 13:38:22 GMTX-Mailer: Servicio de correo de Internet (5.5.2650.21)Versión MIME: 1.0Tipo de contenido: multiparte / alternativa;boundary = "9B_9 .._ C_2EA.0DD_23"Prioridad X: 3X-MSMail-Priority: Normal
¿Puedes decir la dirección IP donde se originó el correo electrónico?
Remitente y asunto
Primero, eche un vistazo a la línea - forjada - De :. El spammer quiere que parezca que el mensaje fue enviado desde una cuenta de Yahoo! Cuenta de correo Junto con la línea Responder a: esta dirección de From: está dirigida a dirigir todos los mensajes de rebote y respuestas enojadas a un Yahoo! Cuenta de correo
A continuación, el Asunto: es una curiosa aglomeración de caracteres aleatorios. Es apenas legible y, obviamente, está diseñado para engañar a los filtros de correo no deseado (cada mensaje recibe un conjunto de caracteres aleatorios ligeramente diferente), pero también está diseñado con mucha habilidad para transmitir el mensaje a pesar de esto.
Las Recibidas: Líneas
Finalmente, las Recibidas: líneas. Empecemos por el más antiguo, Recibido: de 235.16.47.37 por 38.118.132.100 id; Domingo, 16 de noviembre de 2003 13:38:22 -0600 . No hay nombres de host en él, pero dos direcciones IP: 38.118.132.100 afirma haber recibido el mensaje de 235.16.47.37. Si esto es correcto, 235.16.47.37 es donde se originó el correo electrónico, y averiguamos a qué ISP pertenece esta dirección IP y luego les enviamos un informe de abuso.
Veamos si el siguiente (y en este caso el último) servidor de la cadena confirma las primeras reclamaciones de la línea Recibido: Recibido: de desconocido (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com con SMTP; 16 de noviembre de 2003 19:50:37 -0000 .
Dado que mail1.infinology.com es el último servidor de la cadena y, de hecho, "nuestro" servidor sabemos que podemos confiar en él. Ha recibido el mensaje de un host "desconocido" que decía tener la dirección IP 38.118.132.100 (usando el comando SMTP HELO). Hasta ahora, esto está en línea con lo que dijo la línea Recibido: anterior.
Ahora veamos de dónde nuestro servidor de correo recibió el mensaje. Para averiguarlo, echamos un vistazo a la dirección IP entre paréntesis inmediatamente antes por mail1.infinology.com . Esta es la dirección IP desde la que se estableció la conexión, y no es 38.118.132.100. No, 62.105.106.207 es desde donde se envió este correo basura.
Con esta información, ahora puede identificar el ISP del spammer e informarles de los correos electrónicos no solicitados para que puedan sacar al spammer de la red.
