02:16:33 -0400
Received: from upstream (77-x.nowaves.com [222.222.23.23]) by
77x.nowaves.com (8.6.13/8.6.12) with SMTP id WAA29981; Sat, 31 Aug 1996
22:41:17 -0700
Message-Id: <199608310111.WAA29981@nowaves.com>
Comments: Authenticated sender is
From: "Your Friend"
Organization: Making You Rich
To: suckerlist@scumbags.com
Date: Sat, 31 Aug 1996 00:17:57 -600
MIME-Version: 1.0
Content-type: text/plain; charset=US-ASCII
Content-transfer-encoding: 7BIT
Subject: Extra Income For Everyone!!!
Reply-to: bigmoney@youfool.com
Priority: normal
X-mailer: Pegasus Mail for Win32 (v2.31)
Привет! Годы наших исследований показали, что Вы желаете купить мечту
и быть обобранным. Поэтому: отправьте деньги (только наличные) - по ад-
ресу: P.O. Box 666666, Noway, OH 99999, и я вышлю Вам указания, как пра-
вильно рассылать электронные письма с просьбами выслать наличность, как
подделать заголовки сообщений, и много чего еще. Вам ответит куча прос-
таков, Вы легко разбогатеете и сможете проводить все свое время в Сети.
P.S. Если Вы не хотите больше получать сообщений вроде этого, от-
ветьте на это письмо, указав в поле Subject: REMOVE.
На первый взгляд это сообщение могло поступить от
"freecash@scumbag.com". Но, погодите, поле "Reply To:" содержит
"bigmoney@youfool.com". По какому же из этих адресов слать свое мнение о
полученном сообщении?
Ни по одному из них. Оба - подделаны. Это можно проверить воспользо-
вавшись WWW интерфейсом для whois. Whois - это процедура, которая пре-
доставляет информацию об именах доменов - название, адрес и телефонный
номер компании, которой принадлежит домен; имена и электронные адреса
основных управляющих и имена доменов, используемые компанией, а также их
IP-адреса (группы из четырех чисел, разделенных точкой).
Попробуйте сами. Введите либо "scumbag.com", либо "youfool.com", и
Whois скажет Вам, что у нее нет информации об этих доменах. Естественно
- их не существует! (Если Вы введете имя домена своего провайдера, Вы
получите всю имеющуюся о нем информацию).
Ладно, спамер подделал заголовки. Вы не можете ни ответить ему, ни
пожаловаться его провайдеру... или все-таки можете? Хотя непосредственно
спамеру Вам вряд ли удастся что-либо послать, но его провайдера Вы "вы-
числить" сможете.
Как? Посмотрите на поле "Received from:". Сообщения в Сети передаются
от одного компьютера другому, и в поле "Received from:" содержится ин-
формация, через какие системы оно прошло прежде, чем поступить к Вам.
Первый заголовок говорит нам, что данное сообщение было послано с адреса
в CompuServe (compuserve.com), а в CompuServe попало с компьютера в
"nowawes.com".
Следующий заголовок говорит о том, что nowaves.com переслал сообщение
с другого компьютера на том же домене (nowaves.com). След обрывается на
следующем заголовке - поле "Message-Id:". В этом поле Вы видите уни-
кальное сочетание цифр и букв, которое начинается датой отсылки сообще-
ния (960831) и оканчивается идентификатором сообщения и его источником:
nowaves.com!
Обратите внимание, что спамеры иногда подделывают и эти заголовки,
включая в них IP адреса крупных и хорошо известных провайдеров в надеж-
де, что Вы пожалуетесь одному из них. Это еще один довод в пользу того,
что не следует грубить провайдеру, которому Вы жалуетесь. Он сам может
быть жертвой. Если Вы обругаете его, он не станет тратить на Вас время,
не говоря уже о помощи в поиске истинного адреса спамера.
Даже если спамеру удалось подделать заголовки "Received from:", он,
скорее всего, не сможет подделать идентификатор сообщения. На всякий
случай выпишите себе или получите IP-адрес домена nowaves.com (в нашем
примере он указан сразу после идентификатора сообщения). Получить же
этот адрес можно с помощью другой процедуры, также предоставляемой
InterNIC: преобразования IP адреса домена в его имя и обратно. После
этого Вы можете сравнить полученный IP адрес с другими IP адресами в за-
головках "Received from:". Если они совпадают, то, скорее всего, этот
провайдер и есть источник спама.
Введите имя домена, и эта процедура выдаст Вам IP-адрес. В идеале он
должен совпадать с IP-адресом, указанном в поле "Received from:". Если
это не так - ничего страшного: спамер подделал эти адреса, но у Вас есть
правильное имя домена. Вы можете ввести имя в процедуру Whois и получить
имя человека, которому Вы можете переслать копию спама и свои претензии.
Вы также можете получить список IP-адресов данного домена и сверить
их с полученными при помощи процедуры преобразования IP-адресов в имена
доменов (и наоборот).
С другой стороны, Вы можете ничего этого не делать. Если Вам повезет,
Вы увидите строку вроде этой из нашего примера:
Comments: Authenticated sender is [spamfool@nowaves.com]
или:
X-sender: spamfool@nowaves.com
Почти наверняка отправитель, указанный в любой из этих строк -
spamfool@nowaves.com - является автором сообщения. Большинство почтовых
программ используют одну из этих строк, даже если отправитель подделал
большую часть остальных заголовков.
Однако, эти строки не всегда присутствуют в заголовках письма (они
могут быть удалены или не заполнены). Кроме того, в них может быть ука-
зан IP-адрес, а не имя. Но Вы всегда можете получить имя домена, вос-
пользовавшись процедурой преобразования IP-адреса в имя домена. После
этого можете отсылать сообщение представителю провайдера, чей адрес Вы
получите с помощью процедуры Whois, или на адрес postmaster системы.
Бывает, что заголовки полученного Вами сообщения на первый взгляд ка-
жутся подделанными. Однако, проявив настойчивость, Вы все же сможете
найти источник. Пропустите все IP-адреса и имена доменов, встречающиеся
в заголовках, через процедуру Whois и процедуру преобразования IP-адре-
сов в адреса доменов, а потом сравните полученные результаты. Если ка-
кая-либо пара результатов совпадет - Вы, вероятно, нашли источник. Если
Вы не уверены, перешлите сообщение на адрес postmaster провайдера или
запросите его проходило ли данное сообщение через их систему.
Вы также можете пропустить подозрительные имена доменов через более
элегантную процедуру, чем Whois. Она называется Gopher-поиск по базе
данных InterNIC, который использует сама процедура Whois. Используя ее,
я несколько раз восстанавливал фальшивые имена доменов. (Всякий раз это
были имена доменов, купленные спамером у провайдера. Они полностью конт-
ролировались спамерами. Однако в базе данных Whois указан первичный вла-
делец этих доменов, куда я и направлял свои претензии).
Как бороться со спамерами
Другие способы воздействия на спамеров
Одной из разновидностей "почтового спама" являются т.н. "бесплатные
бюллетени" или их аналоги, а по сути - просто сборники рекламных объяв-
лений. Эти объявления даются людьми, которые обычно не подозревают, что
бюллетень рассылается по электронной почте огромному множеству случайных
адресатов. Спамеры обычно говорят клиентам, что они рассылают рекламу
"подписчикам" (хотя практически никто не стремится попасть в список рас-
сылки) или "специально отобранной группе" (однако списки рассылки чаще
всего составляются по случайному принципу). Если Вы задумаете пожало-
ваться непосредственно рекламодателям, то обнаружите, что многие из них
расстроены не меньше вашего.
Будьте осторожны: спамеры иногда "разбавляют" заказную рекламу своей
собственной, а также посторонними или заведомо фальшивыми объявлениями.
При этом Вам не предоставляется ничей электронный адрес, кроме адреса
самого спамера, а он практически бесполезен.
Более технически просвещенные пользователи имеют доступ к программам,
фильтрующим сообщения e-mail и Usenet по имени отправителя, домену про-
вайдера или полю "Тема" (Subject). Таким образом, можно избавиться от
спама в Вашем почтовом ящике. Подобные способы еще не стали общеупотре-
бительными, но, если Вы интересуетесь этой темой, обратитесь кThe
Filtering Mail FAQ.
Получив серию жалоб от пользователей, провайдер может начать блокиро-
вать худшие сайты. Мораль: жалуйтесь своему провайдеру всякий раз, как
только сталкиваетесь со спамом. С другой стороны, можно также обратиться
к провайдеру с предложением установить на сервере программное обеспече-
ние, блокирующее корреспонденцию, которая поступает от определенных
польззователей или с определенного домена.
Не стесняйтесь спросить у провайдера, можно ли получить у них прог-
рамму для блокирования электронной почты.
Что еще Вы можете сделать? Главное (Вы наверняка понимаете это отлич-
но) - не обращайтесь сами к спаммеру за очередной порцией рекламной
жвачки и ничего у него не покупайте.
