Как расшифровывать заголовки

Статья создана: , обновлена:

Спамеры часто фальсифицируют заголовки своих посланий, особенно заголовок «From:» (От кого:). Если они заняты мошенничеством, при котором от вас требуется контактировать с ними по телефону или факсу или посылать деньги на абонентский ящик, они сфальсифицируют сколько угодно заголовков, включая «Reply То:» (Ответить:) и другие. Это может сбить с толку, но если вы не будете торопиться, вы сможете определить настоящий источник большей части подложных электронных сообщений.

Два главнейших элемента включены в прослеживание провайдера: имя домена и адрес IP. Имя домена идентифицирует провайдера, например, netcom.com, compuserve.com, aol.com и iag.net (все они, кстати, реагируют на жалобы о спамах должным образом). Адрес IP - это последовательности из четырех чисел, разделенных точками, такие как 222.22.222.2. Это числовая разновидность имени домена. (Обратите внимание, что у одного провайдера может быть более одного адреса IP.)

Один из примеров спама

Sender: freeса sh@scumbags.com

Received: from nowaves.com (mail.nowaves.com [222.222.22.2]) by hil-img-4.compuserve.com (8.6.10/5.950515) id BCC09029; Sat, 31 Aug 1996 02:16:33 -0400

Received: from upstream (77-x.nowaves.com [222.222.23.23]) by 77x. nowaves.com

(8.6.13/8.6.12) with SMTP id WAA29981; Sat, 31 Aug 1996 22:41:17 -0700

Message-Id: <199708310111.WAA29981@nowaves.com>

Comments: Authenticated sender is

From: "Ваш друг"

Organization: Ваше обогащение

To: suckerlistescumbags.com

Date: Sat, 31 Aug 1997 00:17:57 -600

MIME-Version: 1.0

Content-type: text/plain; charset=US-ASCII

Content-transfer-encoding: 7BIT

Subject: Дополнительный доход для каждого!

Reply-to: bigmoneydyoufool. com

Priority: normal

X-mailer: Pegasus Mail for Win32 (v2.31)

Привет. Многолетние исследования показали, что вы не прочь купить воздушный замок и хотите, чтобы вас ободрали как липку. Поэтому: Пошлите деньги - только наличные - по: а/я 666666, Нигдегорск, штат Огайо, 99999, и мы вышлем вам инструкции о том, как рассылать попрошайскую

электронную почту, как подделать свой ID и о многом другом. Вам ответит такое количество фраеров, что вы разбогатеете и сможете проводить все время, лазая по Интернету!

P. S. Если вы больше не хотите получать идиотских сообщений вроде нашего, пошлите ответ со словом «удалить» в поле «Re:» (Тема:).

Рассмотрим теперь, где подвох

На первый взгляд, сообщение пришло из freecash@scumbags.com. Но постойте - под заголовком «Reply to:» (Ответить:) сказано bigmoney@youfool.com. Так по которому же из этих неправдоподобных адресов должны мы выслать наше мнение об этом сообщении?

Ни по которому. Оба подложны. Можете проверить это с помощью WEB интерфейса к whois. Утилита whois предоставляет информацию об имени домена - имя, адрес и номер телефона компании-владельца, имена и электронные адреса ключевых фигур в администрации, имена доменов, используемых ими, вместе с их адресами IP (группы из четырех чисел, разделенных точками).

В нашем примере вы можете ввести либо «scumbags.com», либо «youfool.com», и у whois не будет никакой информации об их именах доменов, потому что они не существуют. (Чтобы получить «живой» пример, введите имя домена вашего провайдера. Вам покажут доступную информацию.)

Отлично. Значит, спамер подделал свои адреса в «From:» (От кого:) и «Reply То:» (Ответить:). Вы не можете ни ответить, ни пожаловаться его провайдеру.

Или можете? Хотя вы вряд ли можете послать что-либо прямо спамеру, вы в силах угадать имя его провайдера.

Как? Проверьте заголовок Received from: (Получено от:). Интернетовские сообщения передаются от одного компьютера к другому, и заголовок Received from делает видимым след, ведущий в узловую систему спамера.

Первый заголовок говорит нам о том, что это сообщение было послано по адресу в CompuServe (compuserve.com) и что CompuServe получил его от компьютера по nowaves.com.

Следующий заголовок показывает, что nowaves.com принял это сообщение от другого компьютера в nowaves.com. След заканчивается на следующей строке, начинающейся с ID сообщения:». В этой строке мы видим единственную в своем роде последовательность букв и цифр, начинающуюся с даты, когда сообщение было отправлено (19970831), и заканчивающуюся алфавитно-цифровым идентификатором сообщения и источником сообщения: nowaves.com

Обратите внимание: спамеры иногда фальсифицируют эти заголовки, вставляя имена доменов или адреса IP крупных, известных провайдеров или сетевых служб. Это упреждающий удар: они надеются, что вы не пойдете жаловаться на один из этих узлов. (Это, кстати, еще одна причина, по которой не надо набрасываться на провайдера. Он сам может быть жертвой обмана. А если вы поссоритесь с провайдером, его сотрудники могут не проявить рвения в прослеживании настоящего источника.)

Не забываем про адрес IP

Даже если спамеру удалось сфабриковать заголовок Received From:, он вряд ли так же сфабриковал номер ID сообщения. На всякий случай получите цифровой адрес nowaves.com (в нашем примере он следует за номером ID сообщения). Это можно сделать с помощью другой утилиты - IP Address to Host Name and Vice Versa (Адрес IP по имени узла и наоборот).

Когда вы введете имя домена, эта утилита выдаст вам адрес IP из четырех чисел. В идеале он должен совпадать с числами IP в заголовке Received From:. В противном случае, ничего страшного: спамер сфабриковал эти числа тоже, но у вас уже есть годное имя. Вы можете вернуться с этим именем на интерфейс к whois и получить имя контактного лица, которому можно послать копию спама и вашу жалобу.

Вы также можете сравнить числовой адрес IP с другими адресами IP в заголовках «Получено от.» Если вы обнаружите совпадение, данный провайдер скорее всего является источником спама.

С другой стороны, вы можете не делать ничего из вышеизложенного. Если вам повезет, вы увидите такую строку (в нашем примере она следующая):

Comments: Authenticated sender is [spamfool@nowaves.com]

или:

X-sender: spamfool@nowaves.com

Высока вероятность того, что отправитель, поименованный в любой из этих двух строк - spamfool@nowaves.com, - является источником вашего сообщения. Большинство почтовых программ не задумываясь вставляют одну или другую из этих строк, даже если отравитель подделывает остальные заголовки.

Иногда, однако, эти строки вообще отсутствуют или не заполнены. Они также могут включать не имя, а числовой адрес IP. В последнем случае вы можете получить имя домена, набрав адрес IP в интерфейсе Address IP к Host Name. На этом этапе вам нужно переслать сообщение контактному лицу провайдера, указанному в интерфейсе к whois или почтмейстеру системы.

В редких случаях вы получите сообщение, в котором все заголовки очевидно сфабрикованы. Проявив упорство, вы можете, однако, проследить источник. Запустите каждый адрес IP и имя домена через интерфейсы к whois и IP Address к Host Name и посмотрите, совпадут ли два из них. Если вам кажется, что вы добрались до источника, но вы не уверены - перешлите сообщение постмастеру провайдера или контактному лицу с запросом, не пришло ли это сообщение из их системы.

С неидентифицированными именами доменов, которые вы нашли в заголовках, вы также можете обратиться к более элегантной версии интерфейса к whois: Gopher-поиск базы данных InterNIC. С помощью этого механизма поиска я в некоторых случаях прослеживал подложные имена доменов вплоть до их источников. (В каждом случае спамер приобретал имена доменов у провайдера и полностью контролировал эти имена. База данных whois, однако, показывала, кто поддерживает эти имена доменов, - и именно туда я направлял жалобы.)

Чтобы быть полностью уверенным, можно запустить самый первый числовой адрес IP в заголовке через шлюз Traceroute, например, Internet Tools Gateway по magibox.net.

Пример неудачного спамерства

Одним из самых потешных спамеров, вступившим в неравный бой с информационными рогатками и заставами, был субъект, которого я назову Тревор. Если бы за спамерство выставлялись оценки, он получил бы тройку за старание и кол - за результат.

Он спешил по-простому. On предлагал способ спамить, не подвергаясь опасности почтовой бомбардировки, - с гарантией. Он был настолько уверен в своей технике, что приглашал получателей бомбардировать его сообщениями.

Не надо было этого делать. Его выпихнули из Интернета.

Найти его было просто. Меньше чем за десять минут я нашел два его электронных адреса, плюс домашний адрес и номер телефона. Я послал ему краткую записку: «Вы все делаете не так! Попробуйте еще раз, но не включайте меня в список». Но я был не один. Известие о вызове, брошенном Тревором, быстро распространилось, особенно среди завсегдатаев антиспамерской теле-конференции (news.admin.net-abuse). Тысячи людей сделали Тревору одолжение, начав бомбардировку, согласно его просьбе, и все уже надеялись, что он исчез с концами.

Ко всеобщему удивлению, через два месяца Тревор вернулся. Очевидно, в промежутке он совершенствовал свою технику. Под якобы надежным прикрытием нового провайдера он снова бросил перчатку, предлагая Интернету испытать его «пуленепробиваемую» технику спама.

И опять его встретили тысячами разгневанных сообщений. Это было в середине 1996 года. С тех пор никто не слышал о Треворе.

Дополнительная информация по теме

Как выбрать колонки

Статья о том, как правильно выбирать компьютерные колонки для дома и при этом с экономить значительную часть денег

Как реагировать на спаммеров

Предполагаемые действия для человека, которому посыпались различные подозрительные предложения

Как заработать на блоге

Как ведя свой блог заработать денег с помощью сервиса Rotapost, а так же раскрутить блог

Как архивировать файл в PHP

Инструкция по архивированию файлов средствами PHP с примерами и рекомендациями опытных программистов

Ссылка для обмена:

Ссылка для форума:

Ссылка для сайта:

Есть вопросы, замечания, дополнения? Пишите в комментариях.
Заказать тексты для сайта (онлайн форма) - цена от 60 рублей, срок 24 часа
спам, адрес, заголовок, мошенничество

Страница: Как расшифровывать заголовки

Дата публикации: 2011-10-28 15:57. Последние изменения: 2015-07-30 14:11

наверх