더 이상 수익이 발생하지 않으면 스팸이 종료됩니다. 스팸 발송자는 아무도 그들로부터 물건을 사지 않으면 그들의 이익이 떨어지는 것을 볼 것입니다 (당신은 정크 메일을 보지 못하기 때문입니다). 이것은 스팸 메일 방지를위한 가장 쉬운 방법이며, 물론 가장 좋은 방법 중 하나입니다.
스팸에 대한 불만
하지만 스패머의 대차 대조표 비용 측면에도 영향을 미칠 수 있습니다. 스패머의 인터넷 서비스 공급자 (ISP)에 불만을 제기하면 연결이 끊어지며 ISP의 허용 된 사용 정책에 따라 벌금을 지불해야 할 수 있습니다.
스팸 발송자는 이러한 보고서를 알고 두려워하므로 숨기려고합니다. 이것이 올바른 ISP를 찾는 것이 항상 쉬운 것은 아닙니다. 다행스럽게도 올바른 주소로 스팸을 정확하게보고 하는 SpamCop 과 같은 도구가 있습니다.
스팸의 출처 결정
SpamCop은 불만을 제기 할 적절한 ISP를 어떻게 찾습니까? 스팸 메시지의 헤더 행을 자세히 살펴 봅니다. 이 헤더에는 이메일이 보낸 경로에 대한 정보가 들어 있습니다.
SpamCop은 전자 메일을 보낸 지점까지 경로를 따라갑니다. 이 시점부터 IP 주소 로 알고 있으면 스패머의 ISP를 파생 시켜이 ISP의 남용 부서에 보낼 수 있습니다.
어떻게 작동하는지 자세히 살펴 보겠습니다.
이메일 : 헤더 및 본문
모든 전자 메일 메시지 는 본문과 머리글의 두 부분으로 구성됩니다. 헤더는 보낸 사람의 주소,받는 사람, 제목 및 기타 정보를 포함하는 메시지의 봉투로 생각할 수 있습니다. 본문에는 실제 텍스트와 첨부 파일이 들어 있습니다.
이메일 프로그램에서 일반적으로 표시되는 일부 헤더 정보에는 다음이 포함됩니다.
헤더 단조
전자 메일 의 실제 전달은 이러한 헤더에 의존하지 않으며 단지 편의성 만 제공합니다.
일반적으로 From : 행은 발신자의 주소로 설정됩니다. 이렇게하면 메시지의 출처를 알 수 있고 쉽게 답장 할 수 있습니다.
스팸 발송자는 귀하가 쉽게 답장을 보내지 못하도록하고 싶어하며, 누구인지 쉽게 알기를 원하지 않습니다. 그래서 정크 메일의 From : 행에 허구의 이메일 주소를 삽입합니다.
수신 : 회선
이메일의 실제 출처를 확인하려면 From : 행은 쓸모가 없습니다. 다행히도, 우리는 그것에 의존 할 필요가 없습니다. 모든 이메일 메시지의 헤더에는 Received : 행도 포함됩니다.
이메일 프로그램에서는 일반적으로 표시되지 않지만 스팸 추적에는 매우 유용합니다.
수신 된 구문 분석 : 헤더 행
우편 편지가 보낸 사람에서받는 사람에게가는 여러 우체국을 통과하는 것처럼 전자 메일 메시지는 여러 메일 서버에서 처리되고 전달됩니다.
모든 우체국이 각 편지에 특별한 우표를 찍는 것을 상상해보십시오. 우표가 편지를 받았을 때, 우표가 어디서 왔는지, 우체국에서 어디로 우송되었는지 정확히 알 수 있습니다. 편지를 받으면 편지로 찍은 정확한 경로를 결정할 수 있습니다.
이것은 정확히 이메일에서 일어나는 일입니다.
받은 : 추적 라인
메일 서버 는 메시지를 처리 할 때 메시지 행의 헤더에 Received : 행이라는 특수 행을 추가합니다. Received : 행에는 가장 흥미롭게도,
Received : 행은 항상 메시지 헤더의 맨 위에 삽입됩니다. 보낸 사람에서받는 사람까지 전자 메일의 여행을 재구성하려는 경우 Received : 행의 맨 위에서 시작합니다 (이 작업을 수행하는 이유는 잠시 후에 분명해질 것입니다). 그리고 마지막 단계에 도달 할 때까지 아래로 걸어갑니다. 이메일이 시작되었습니다.
받은 : 라인 단조
스팸 발송자는 자신의 소재를 밝히기 위해이 절차를 정확히 적용 할 것을 알고 있습니다. 우리를 속이기 위해 메시지를 보내는 다른 누군가를 가리키는 Forged Received : 행을 삽입 할 수 있습니다.
모든 메일 서버는 항상 Received : 행을 맨 위에 표시하므로 스패머의 위조 된 헤더는 Received : 행 체인의 맨 아래에만있을 수 있습니다. 이것이 분석을 상단에서 시작한 이유는 이메일이 처음 Received : 행 (하단)에서 비롯된 지점을 파생하지 않기 때문입니다.
위조 된 편지를받는 방법 : 헤더 행
위조 된 Received : 스패머가 우리를 속이기 위해 삽입 한 줄은 다른 모든 Received : 줄처럼 보일 것입니다 (물론 명백한 실수를하지 않는 한). 그 자체만으로는 위조 된 Received : 라인을 정품으로 말할 수 없습니다.
여기서 Received : 행의 한 가지 고유 한 기능이 작동합니다. 앞에서 언급했듯이 모든 서버는 자신이 누구인지뿐만 아니라 (IP 주소 형태로) 메시지를받은 곳을 기록합니다.
우리는 간단히 말해서 서버가 누구인지와 비교해 보면 사슬에서 노치가있는 서버가 실제로 말하는 것과 비교할 수 있습니다. 두 개가 일치하지 않으면 초기 Received : 행이 위조되었습니다.
이 경우 전자 메일의 출처는 위조 된 Received : 서버가 메시지를 보낸 사람에 대해 말한 바로 다음의 서버입니다.
예를 들어 준비 되었습니까?
스팸 분석 및 추적 예제
이제 이론적 토대를 알게되었으므로 정크 메일을 분석하여 실제 상황에서 그 원점을 식별하는 방법을 알아 봅시다.
방금 운동에 사용할 수있는 모범적 인 스팸 메일을 받았습니다. 다음은 헤더 행입니다.
받은 : 알 수없는 것 (HELO 38.118.132.100) (62.105.106.207)
SMTP와의 mail1.infinology.com; 2003 년 11 월 16 일 19시 50 분 37 초 -0000
받은 : 38.118.132.100에 의해 [235.16.47.37]에서 ID; Sun, 2003 년 11 월 16 일 13:38:22 -0600
메시지 ID :
올린 사람 : "Reinaldo Gilliam"
답장 : "Reinaldo Gilliam"
받는 사람 : ladedu@ladedu.com
제목 : 카테고리 A 필요한 약 가져 오기 lgvkalfnqnh bbk
날짜 : 일요일, 2003 년 11 월 16 일 13:38:22 GMT
X-Mailer : 인터넷 메일 서비스 (5.5.2650.21)
MIME 버전 : 1.0
Content-Type : multipart / alternative;
경계 = "9B_9 .._ C_2EA.0DD_23"
X 우선 순위 : 3
X-MSMail 우선 순위 : 보통
이메일이 발송 된 IP 주소를 알 수 있습니까?
보낸 사람 및 제목
먼저 - forged - From : 행을 살펴보십시오. 스팸 발송자는 메시지가 Yahoo!에서 보낸 것처럼 보이게하려고합니다. 메일 계정. Reply-To : 행과 함께 보낸 사람 : 주소는 모든 수신 거부 메시지와 존재하지 않는 Yahoo!에 대한 분노한 응답을 보내는 것을 목표로합니다. 메일 계정.
다음으로 Subject :는 무작위로 얽힌 호기심에 휩싸입니다. 거의 이해할 수없고 스팸 필터를 속일 수 있도록 설계되었습니다 (모든 메시지는 약간 다른 임의 문자 세트를 갖게됩니다). 그러나 이것에도 불구하고 메시지를 얻으려면 상당히 숙련되어 있습니다.
받은 : 라인
마지막으로 Received : 행. 가장 오래된 것으로 시작해 보겠습니다. Received : from [235.16.47.37] by 38.118.132.100 id; Sun, 2003 년 11 월 16 일 13:38:22 -0600 . 호스트 이름은 없지만 두 개의 IP 주소 : 38.118.132.100은 235.16.47.37에서 메시지를 수신했다고 주장합니다. 이것이 정확한지 235.16.47.37은 이메일이 발송 된 곳이며,이 IP 주소가 속한 ISP를 확인한 후 악용 사례 보고서 를 보내드립니다.
체인의 다음 (그리고이 경우 마지막) 서버가 첫 번째 Received : 라인의 클레임을 확인하는지 봅시다. Received : unknown (HELO 38.118.142.100) (62.105.106.207) by mail1.infinology.com (SMTP 포함). 2003 년 11 월 16 일 19시 50 분 37 초 -0000 .
mail1.infinology.com은 체인의 마지막 서버이고 실제로 "우리"서버이기 때문에 신뢰할 수 있음을 알고 있습니다. IP 주소가 38.118.132.100 ( SMTP HELO 명령 사용 ) 인 것으로 주장 된 "알 수없는"호스트에서 메시지를 받았습니다. 지금까지, 이것은 이전의 Received : 행이 말한 것과 일치합니다.
이제 우리 메일 서버가 어디서 메시지를 받았는지 살펴 보겠습니다. 알아 내기 위해, 우리는 mail1.infinology.com에 의해 직전에 괄호 안에있는 IP 주소를 살펴 본다. 이것은 연결이 설정된 IP 주소이며 38.118.132.100이 아닙니다. 아니요, 62.105.106.207은이 정크 메일을 보낸 곳입니다.
이 정보를 사용하여 이제 스패머의 ISP를 식별하고 원치 않는 전자 메일을보고 하여 스팸 발송자를 그물에서 쫓아 낼 수 있습니다.