Le spam cessera lorsqu'il ne sera plus rentable. Les spammeurs verront leurs profits s'effondrer si personne ne les achète (parce que vous ne voyez même pas les courriels indésirables). C’est le moyen le plus simple de lutter contre le spam, et certainement l’un des meilleurs.
Se plaindre du spam
Mais vous pouvez également affecter les dépenses du bilan d'un spammeur. Si vous vous plaignez auprès du fournisseur de services Internet du fournisseur de courrier indésirable, celui-ci perdra sa connexion et devra éventuellement payer une amende (en fonction de la politique d'utilisation acceptable de ce dernier).
Comme les spammeurs savent et craignent de tels rapports, ils essaient de se cacher. C'est pourquoi il n'est pas toujours facile de trouver le bon fournisseur de services Internet. Heureusement, il existe des outils tels que SpamCop qui permettent de signaler facilement les spams à la bonne adresse.
Déterminer la source du spam
Comment SpamCop trouve-t-il le bon fournisseur d'accès auquel se plaindre? Il examine de près les lignes d'en-tête du message de spam. Ces en-têtes contiennent des informations sur le chemin emprunté par un courrier électronique.
SpamCop suit le chemin jusqu'au point d'envoi de l'e-mail. À partir de ce moment, également connu sous le nom d'adresse IP, il peut dériver le fournisseur d'accès Internet du polluposteur et envoyer le rapport au service des abus de ce dernier.
Regardons de plus près comment cela fonctionne.
Email: En-tête et corps
Chaque message électronique est composé de deux parties, le corps et l'en-tête. L'en-tête peut être considéré comme l'enveloppe du message, contenant l'adresse de l'expéditeur, le destinataire, le sujet et d'autres informations. Le corps contient le texte et les pièces jointes.
Certaines informations d'en-tête généralement affichées par votre programme de messagerie incluent:
- De: - Le nom et l'adresse email de l'expéditeur.
- À: - Le nom et l'adresse email du destinataire.
- Rendez-vous amoureux: - La date d'envoi du message.
- Assujettir: - La ligne d'objet.
Forgeage d'en-tête
La livraison réelle des e-mails ne dépend d'aucun de ces en-têtes, ils ne sont que commodité.
En règle générale, la ligne De:, par exemple, sera envoyée à l'adresse de l'expéditeur. Cela vous permet de savoir de qui provient le message et de pouvoir y répondre facilement.
Les spammeurs veulent s'assurer que vous ne pouvez pas répondre facilement, et ne voulez certainement pas que vous sachiez qui ils sont. C'est pourquoi ils insèrent des adresses électroniques fictives dans les lignes De: de leurs messages indésirables.
Reçu: lignes
Ainsi, la ligne De: est inutile si nous voulons déterminer la source réelle d'un email. Heureusement, nous n'avons pas besoin de compter dessus. Les en-têtes de chaque message électronique contiennent également des lignes Reçu:.
Celles-ci ne sont généralement pas affichées par les programmes de messagerie, mais elles peuvent être très utiles pour suivre le courrier indésirable.
Analyse syntaxique reçue: lignes d'en-tête
Tout comme une lettre postale passe par un certain nombre de bureaux de poste entre expéditeurs et destinataires, un message électronique est traité et transmis par plusieurs serveurs de messagerie.
Imaginez chaque bureau de poste apposant un timbre spécial sur chaque lettre. Le timbre indiquerait exactement quand la lettre a été reçue, d'où elle vient et où elle a été envoyée par le bureau de poste. Si vous avez la lettre, vous pouvez déterminer le chemin exact emprunté par la lettre.
C'est exactement ce qui se passe avec le courrier électronique.
Reçu: Lignes de traçage
Lorsqu'un serveur de messagerie traite un message, il ajoute une ligne spéciale, la ligne Reçu: à l'en-tête du message. La ligne Received: contient, chose intéressante,
- le nom du serveur et l'adresse IP de la machine par laquelle le serveur a reçu le message et
- le nom du serveur de messagerie lui-même.
La ligne Reçu: est toujours insérée en haut des en-têtes de message. Si nous voulons reconstituer le parcours d’un courrier électronique d’envoyeur à destinataire, nous commençons également par la dernière ligne Received: l'e-mail est originaire.
Reçu: forgeage en ligne
Les spammeurs savent que nous appliquerons exactement cette procédure pour découvrir où ils se trouvent. Pour nous tromper, ils peuvent insérer des lignes Reçu: qui pointent vers une autre personne qui envoie le message.
Étant donné que chaque serveur de messagerie mettra toujours sa ligne Received: en haut, les en-têtes falsifiés des spammeurs ne peuvent être qu'au bas de la chaîne de lignes Received:. C’est la raison pour laquelle nous commençons notre analyse par le haut et ne déduisons pas seulement le point où un email provient de la première ligne Received: (en bas).
Comment identifier une fausse réception: ligne d'en-tête
Les fausses lignes Received: insérées par les spammeurs pour nous duper vont ressembler à toutes les autres lignes Received: (à moins qu’elles ne commettent une erreur évidente, bien sûr). En soi, vous ne pouvez pas distinguer une fausse ligne Received: d'une vraie.
C'est là qu'une caractéristique distincte de Received: lines entre en jeu. Comme nous l'avons noté ci-dessus, chaque serveur notera non seulement de qui il s'agit, mais également d'où il a reçu le message (sous forme d'adresse IP).
Nous comparons simplement qui un serveur prétend être avec ce que le serveur un cran dans la chaîne dit qu'il est vraiment. Si les deux ne correspondent pas, la ligne Received: antérieure a été falsifiée.
Dans ce cas, l'origine de l'e-mail est ce que le serveur immédiatement après la falsifiée Received: line doit indiquer à propos de qui il a reçu le message.
Êtes-vous prêt pour un exemple?
Exemple de spam analysé et tracé
Maintenant que nous connaissons les bases théoriques, analysons un courrier indésirable pour identifier son origine dans la vie réelle.
Nous venons de recevoir un spam exemplaire que nous pouvons utiliser pour faire de l'exercice.Voici les lignes d'en-tête:
Reçu: de inconnu (HELO 38.118.132.100) (62.105.106.207)par mail1.infinology.com avec SMTP; 16 novembre 2003 19:50:37 -0000Reçu: à partir de 235.16.47.37 le 38.118.132.100 id; Dim. 16 nov. 2003 13:38:22 -0600ID du message:De: "Reinaldo Gilliam"Reply-To: "Reinaldo Gilliam"Pour: [email protected]Objet: Catégorie A Obtenir les médicaments dont vous avez besoin lgvkalfnqnh bbkDate: Dim 16 nov 2003 13:38:22 GMTX-Mailer: Service de messagerie Internet (5.5.2650.21)MIME-Version: 1.0Type de contenu: multipart / alternative;frontière = "9B_9 .._ C_2EA.0DD_23"Priorité X: 3X-MSMail-Priority: Normal
Pouvez-vous indiquer l'adresse IP d'où provient l'e-mail?
Expéditeur et sujet
Tout d’abord, jetez un coup d’œil à la ligne - forgée - De:. Le polluposteur veut faire croire que le message a été envoyé par un compte Yahoo! Compte de messagerie. Avec la ligne Reply-To:, cette adresse De: a pour but de diriger tous les messages renvoyés et les réponses en colère à un compte Yahoo! non existant. Compte de messagerie.
Ensuite, le sujet: est une agglomération curieuse de caractères aléatoires. Il est à peine lisible et conçu pour tromper les filtres anti-spam (chaque message reçoit un ensemble de caractères aléatoires légèrement différent), mais il est également assez habile pour faire passer le message malgré tout.
Le reçu: lignes
Enfin, les lignes Received :. Commençons par le plus vieux, Reçu: à partir de 235.16.47.37 le 38.118.132.100 id; Dim. 16 nov. 2003 13:38:22 -0600 . Il ne contient aucun nom d’hôte, mais deux adresses IP: 38.118.132.100 déclare avoir reçu le message de 235.16.47.37. Si cela est correct, 235.16.47.37 correspond à l'origine de l'e-mail. Nous rechercherions le fournisseur d'accès auquel cette adresse IP appartient, puis leur enverrons un rapport sur les abus.
Voyons si le serveur suivant (et dans ce cas le dernier) de la chaîne confirme les revendications de la première ligne Received: line: Reçu: de inconnu (HELO 38.118.142.100) (62.105.106.207) par mail1.infinology.com avec SMTP; 16 novembre 2003 19:50:37 -0000 .
Comme mail1.infinology.com est le dernier serveur de la chaîne, et "notre" serveur, nous savons que nous pouvons lui faire confiance. Il a reçu le message d'un hôte "inconnu" qui prétendait avoir l'adresse IP 38.118.132.100 (à l'aide de la commande SMTP HELO). Jusqu'ici, cela correspond à ce que disait la précédente ligne Received:.
Voyons maintenant où notre serveur de messagerie a reçu le message. Pour le savoir, jetons un coup d'œil à l'adresse IP entre parenthèses juste avant par mail1.infinology.com . C'est l'adresse IP à partir de laquelle la connexion a été établie et il ne s'agit pas de 38.118.132.100. Non, 62.105.106.207 est l’endroit où ce courrier indésirable a été envoyé.
Avec ces informations, vous pouvez maintenant identifier le fournisseur d'accès Internet du polluposteur et lui signaler le courrier électronique non sollicité afin qu'il puisse expulser le polluposteur du réseau.
