E-Mail-Header können Sie über den Ursprung von Spam informieren

Ethical Hacking - Email Header Analysis (Juli 2024)

Ethical Hacking - Email Header Analysis (Juli 2024)
Anonim

Spam endet, wenn es nicht mehr rentabel ist. Spammer werden ihren Gewinn fallen sehen, wenn niemand von ihnen kauft (weil Sie nicht einmal die Junk-E-Mails sehen). Dies ist der einfachste Weg, um Spam zu bekämpfen, und sicherlich einer der besten.

Beschwerden über Spam

Sie können jedoch auch die Ausgabenseite der Spammer-Bilanz beeinflussen. Wenn Sie sich beim Internet Service Provider (ISP) des Spammers beschweren, verliert er seine Verbindung und muss möglicherweise eine Geldstrafe zahlen (abhängig von den akzeptablen Nutzungsrichtlinien des ISP).

Da Spammer solche Berichte kennen und fürchten, versuchen sie zu verstecken. Deshalb ist es nicht immer leicht, den richtigen ISP zu finden. Glücklicherweise gibt es Tools wie SpamCop, die das korrekte Melden von Spam an die richtige Adresse erleichtern.

Bestimmen der Spam-Quelle

Wie findet SpamCop den richtigen ISP, um sich zu beschweren? Es werden die Kopfzeilen der Spam-Nachricht unter die Lupe genommen. Diese Header enthalten Informationen über den Pfad, den eine E-Mail genommen hat.

SpamCop folgt dem Pfad bis zu dem Punkt, von dem aus die E-Mail gesendet wurde. Von diesem Punkt aus, der auch als IP-Adresse bekannt ist, kann er den ISP des Spammers ableiten und den Bericht an die Missbrauchsabteilung dieses ISP senden.

Schauen wir uns genauer an, wie das funktioniert.

E-Mail: Kopfzeile und Text

Jede E-Mail-Nachricht besteht aus zwei Teilen, dem Hauptteil und der Kopfzeile. Der Header kann als der Umschlag der Nachricht betrachtet werden, der die Adresse des Absenders, des Empfängers, des Betreffs und anderer Informationen enthält. Der Hauptteil enthält den eigentlichen Text und die Anhänge.

Einige Header-Informationen, die normalerweise von Ihrem E-Mail-Programm angezeigt werden, umfassen:

  • Von: - Name und E-Mail-Adresse des Absenders.
  • Zu: - Name und E-Mail-Adresse des Empfängers.
  • Datum: - Das Datum, an dem die Nachricht gesendet wurde.
  • Gegenstand: - Die Betreffzeile.

Kopfschmieden

Die tatsächliche Zustellung von E-Mails hängt von keinem dieser Header ab, sie dienen lediglich der Bequemlichkeit.

Normalerweise wird beispielsweise die Zeile Von: an die Adresse des Absenders gesendet. So stellen Sie sicher, dass Sie wissen, von wem die Nachricht stammt, und können leicht antworten.

Spammer möchten sicherstellen, dass Sie nicht so leicht antworten können, und sicher nicht, dass Sie wissen, wer sie sind. Deshalb fügen sie fiktive E-Mail-Adressen in die From: -Zeilen ihrer Junk-Nachrichten ein.

Erhalten: Zeilen

Die Zeile From: ist also unbrauchbar, wenn wir die tatsächliche Quelle einer E-Mail ermitteln möchten. Glücklicherweise brauchen wir uns nicht darauf zu verlassen. Die Kopfzeilen jeder E-Mail-Nachricht enthalten auch Received: -Zeilen.

Diese werden normalerweise nicht von E-Mail-Programmen angezeigt, können jedoch bei der Suche nach Spam sehr hilfreich sein.

Parsen erhalten: Kopfzeilen

So wie ein Postbrief auf seinem Weg vom Absender zum Empfänger durch mehrere Postämter geht, wird eine E-Mail-Nachricht von mehreren Mail-Servern verarbeitet und weitergeleitet.

Stellen Sie sich vor, jede Poststelle stelle jedem Brief einen besonderen Stempel auf. Der Stempel würde genau sagen, wann der Brief eingegangen ist, woher er kam und wohin er von der Post weitergeleitet wurde. Wenn Sie den Brief erhalten haben, können Sie den genauen Weg des Briefes bestimmen.

Genau das passiert bei E-Mails.

Erhalten: Zeilen für die Verfolgung

Wenn ein Mail-Server eine Nachricht verarbeitet, fügt er dem Header der Nachricht eine spezielle Zeile (Received:) hinzu. Die Received: -Zeile enthält am interessantesten:

  • Servername und IP-Adresse des Computers, von dem der Server die Nachricht erhalten hat
  • der Name des Mailservers selbst.

Die Zeile Received: wird immer oben in den Kopfzeilen der Nachricht eingefügt. Wenn wir die Reise einer E-Mail vom Absender zum Empfänger rekonstruieren möchten, beginnen wir auch bei der obersten Received: -Zeile (warum wir dies sofort machen werden) und gehen den Weg hinunter, bis wir bei der letzten angekommen sind Die E-Mail wurde erstellt.

Erhalten: Schmieden der Linie

Spammer wissen, dass wir genau dieses Verfahren anwenden, um ihren Aufenthaltsort aufzudecken. Um uns zu täuschen, können sie gefälschte Received einfügen: Zeilen, die auf jemanden verweisen, der die Nachricht sendet.

Da jeder Mail-Server immer die Received: -Zeile oben platziert, können sich die gefälschten Header der Spammer nur am unteren Rand der Received: -Zeile befinden. Aus diesem Grund beginnen wir mit unserer Analyse oben und leiten nicht nur den Punkt ab, an dem eine E-Mail von der ersten Received: -Zeile (unten) stammt.

So informieren Sie einen gefälschten Empfänger: Kopfzeile

Die gefälschten Received: Zeilen, die von Spammern eingefügt wurden, um uns zu täuschen, werden wie alle anderen Received: Zeilen aussehen (es sei denn, sie machen natürlich einen offensichtlichen Fehler). Sie können eine gefälschte Received: -Linie von einer echten nicht unterscheiden.

Hier kommt ein besonderes Merkmal von Received: Lines ins Spiel. Wie bereits erwähnt, wird jeder Server nicht nur feststellen, wer er ist, sondern auch, von wo er die Nachricht erhalten hat (in Form der IP-Adresse).

Wir vergleichen einfach, wer ein Server zu sein vorgibt, mit dem, was der Server in der Kette ist, der behauptet, es sei wirklich. Wenn die beiden nicht übereinstimmen, wurde die frühere Received: -Zeile gefälscht.

In diesem Fall ist der Ursprung der E-Mail das, was der Server unmittelbar nach der gefälschten Received: -Zeile darüber sagt, von wem er die Nachricht erhalten hat.

Bist du bereit für ein Beispiel?

Beispiel Spam analysiert und verfolgt

Nun, da wir die theoretischen Grundlagen kennen, analysieren wir eine Junk-E-Mail, um ihre Herkunft im wirklichen Leben herauszufinden.

Wir haben gerade ein beispielhaftes Stück Spam erhalten, das wir für das Training verwenden können.Hier sind die Kopfzeilen:

Erhalten: von unbekannt (HELO 38.118.132.100) (62.105.106.207)von mail1.infinology.com mit SMTP; 16. November 2003 19:50:37 - 0000Erhalten: von 235.16.47.37 bis 38.118.132.100 id; So, 16 Nov 2003 13:38:22 - 600Nachrichten ID:Aus: "Reinaldo Gilliam"Antwort an: "Reinaldo Gilliam"An: [email protected]Betreff: Kategorie A Holen Sie sich die Medikamente, die Sie brauchen lgvkalfnqnh bbkDatum: So, 16. November 2003 um 13:38:22 Uhr GMTX-Mailer: Internet Mail-Dienst (5.5.2650.21)MIME-Version: 1.0Inhaltstyp: mehrteilig / alternativ;border = "9B_9 .._ C_2EA.0DD_23"X-Priorität: 3X-MSMail-Priorität: Normal

Können Sie der IP-Adresse mitteilen, woher die E-Mail stammt?

Absender und Betreff

Schauen Sie sich zuerst die - geschmiedete - From: -Linie an. Der Spammer möchte, dass es so aussieht, als ob die Nachricht von einem Yahoo! E-mail Konto. Zusammen mit der Zeile Reply-To: Diese From: -Adresse zielt darauf ab, alle abprallenden Nachrichten und verärgerten Antworten an ein nicht vorhandenes Yahoo! E-mail Konto.

Als nächstes ist das Thema: eine merkwürdige Ansammlung zufälliger Zeichen. Es ist kaum lesbar und offensichtlich für Spam-Filter ausgelegt (jede Nachricht erhält eine etwas andere Anzahl von zufälligen Zeichen), aber sie ist auch sehr geschickt konstruiert, um die Nachricht trotzdem zu vermitteln.

Die Erhaltenen: Zeilen

Zum Schluss die Erhaltenen: Zeilen. Beginnen wir mit dem ältesten, Erhalten: von 235.16.47.37 bis 38.118.132.100 id; So, 16 Nov 2003 13:38:22 - 600 . Es enthält keine Hostnamen, aber zwei IP-Adressen: 38.118.132.100 gibt an, die Nachricht von 235.16.47.37 erhalten zu haben. Wenn dies richtig ist, wurde die E-Mail mit der Adresse 235.16.47.37 erstellt, und wir würden herausfinden, zu welchem ​​ISP diese IP-Adresse gehört, und dann einen Missbrauchsbericht an sie senden.

Mal sehen, ob der nächste (und in diesem Fall der letzte) Server in der Kette die Ansprüche der ersten Received: -Linie bestätigt: Erhalten: von unbekannt (HELO 38.118.142.100) (62.105.106.207) von mail1.infinology.com mit SMTP; 16. November 2003 19:50:37 - 0000 .

Da mail1.infinology.com der letzte Server in der Kette und tatsächlich "unser" Server ist, wissen wir, dass wir ihm vertrauen können. Sie hat die Nachricht von einem "unbekannten" Host erhalten, der angab, die IP-Adresse 38.118.132.100 zu haben (mit dem SMTP-Befehl HELO). Bisher stimmt dies mit dem überein, was die vorherige Zeile Received: gesagt hat.

Nun wollen wir sehen, woher unser Mailserver die Nachricht erhalten hat. Um dies herauszufinden, werfen wir einen Blick auf die IP-Adresse in Klammern unmittelbar zuvor von mail1.infinology.com . Dies ist die IP-Adresse, von der aus die Verbindung hergestellt wurde, und nicht 38.118.132.100. Nein, 62.105.106.207 ist, von wo aus diese Junk-Mail verschickt wurde.

Mit diesen Informationen können Sie jetzt den ISP des Spammers identifizieren und die unerwünschten E-Mails an ihn melden, damit er den Spammer aus dem Netz werfen kann.

Informieren Sie sich über das gleichzeitige Gmail IMAP-Verbindungslimit

Informieren Sie sich über das gleichzeitige Gmail IMAP-Verbindungslimit

Wenn der Google Mail-Fehler "zu viele gleichzeitige Verbindungen" angezeigt wird, ermitteln Sie, warum dieser Fehler auftreten kann, und führen Sie die erforderlichen Schritte zur Behebung des Problems aus.

Cortana: Was Sie über den virtuellen Assistenten von Microsoft wissen müssen

Cortana: Was Sie über den virtuellen Assistenten von Microsoft wissen müssen

Cortana ist Microsofts virtueller, digitaler Assistent und in Windows 10 enthalten. Erfahren Sie, wie sie zu Hause arbeitet und wie Menschen mit ihr interagieren.

Was Personalchefs denken, wenn sie sich online über Sie informieren - die Muse

Was Personalchefs denken, wenn sie sich online über Sie informieren - die Muse

Wir haben mit Managern gesprochen, um zu sehen, was sie wirklich denken, wenn sie nach einem Bewerber suchen.

Tipp Der Redaktion