ТОП авторов и книг ИСКАТЬ КНИГУ В БИБЛИОТЕКЕ
(Заметьте, что провайдер может иметь несколько
IP адресов).
Теперь, рассмотрим пример:
---------------------------------------------------------------
Sender: freecash scumbags.com
Received: from nowaves.com (mail.nowaves.com [222.222.22.2]) by
hil-img-4.compuserve.com (8.6.10/5.950515) id BCC09029; Sat, 31 Aug 1996
02:16:33 -0400
Received: from upstream (77-x.nowaves.com [222.222.23.23]) by
77x.nowaves.com (8.6.13/8.6.12) with SMTP id WAA29981; Sat, 31 Aug 1996
22:41:17 -0700
Message-Id: <199608310111.WAA29981 nowaves.com>
Comments: Authenticated sender is
From: "Your Friend"
Organization: Making You Rich
To: suckerlist scumbags.com
Date: Sat, 31 Aug 1996 00:17:57 -600
MIME-Version: 1.0
Content-type: text/plain; charset=US-ASCII
Content-transfer-encoding: 7BIT
Subject: Extra Income For Everyone!!!
Reply-to: bigmoney youfool.com
Priority: normal
X-mailer: Pegasus Mail for Win32 (v2.31)
Привет! Годы наших исследований показали, что Вы желаете купить мечту
и быть обобранным. Поэтому: отправьте деньги (только наличные) - по ад-
ресу: P.O. Box 666666, Noway, OH 99999, и я вышлю Вам указания, как пра-
вильно рассылать электронные письма с просьбами выслать наличность, как
подделать заголовки сообщений, и много чего еще. Вам ответит куча прос-
таков, Вы легко разбогатеете и сможете проводить все свое время в Сети.
P.S. Если Вы не хотите больше получать сообщений вроде этого, от-
ветьте на это письмо, указав в поле Subject: REMOVE.
На первый взгляд это сообщение могло поступить от
"freecash scumbag.com". Но, погодите, поле "Reply To:" содержит
"bigmoney youfool.com". По какому же из этих адресов слать свое мнение о
полученном сообщении?
Ни по одному из них. Оба - подделаны. Это можно проверить воспользо-
вавшись WWW интерфейсом для whois. Whois - это процедура, которая пре-
доставляет информацию об именах доменов - название, адрес и телефонный
номер компании, которой принадлежит домен; имена и электронные адреса
основных управляющих и имена доменов, используемые компанией, а также их
IP-адреса (группы из четырех чисел, разделенных точкой).
Попробуйте сами. Введите либо "scumbag.com", либо "youfool.com", и
Whois скажет Вам, что у нее нет информации об этих доменах. Естественно
- их не существует! (Если Вы введете имя домена своего провайдера, Вы
получите всю имеющуюся о нем информацию).
Ладно, спамер подделал заголовки. Вы не можете ни ответить ему, ни
пожаловаться его провайдеру... или все-таки можете? Хотя непосредственно
спамеру Вам вряд ли удастся что-либо послать, но его провайдера Вы "вы-
числить" сможете.
Как? Посмотрите на поле "Received from:". Сообщения в Сети передаются
от одного компьютера другому, и в поле "Received from:" содержится ин-
формация, через какие системы оно прошло прежде, чем поступить к Вам.
Первый заголовок говорит нам, что данное сообщение было послано с адреса
в CompuServe (compuserve.com), а в CompuServe попало с компьютера в
"nowawes.com".
Следующий заголовок говорит о том, что nowaves.com переслал сообщение
с другого компьютера на том же домене (nowaves.com). След обрывается на
следующем заголовке - поле "Message-Id:". В этом поле Вы видите уни-
кальное сочетание цифр и букв, которое начинается датой отсылки сообще-
ния (960831) и оканчивается идентификатором сообщения и его источником:
nowaves.com!
Обратите внимание, что спамеры иногда подделывают и эти заголовки,
включая в них IP адреса крупных и хорошо известных провайдеров в надеж-
де, что Вы пожалуетесь одному из них. Это еще один довод в пользу того,
что не следует грубить провайдеру, которому Вы жалуетесь. Он сам может
быть жертвой. Если Вы обругаете его, он не станет тратить на Вас время,
не говоря уже о помощи в поиске истинного адреса спамера.
Даже если спамеру удалось подделать заголовки "Received from:", он,
скорее всего, не сможет подделать идентификатор сообщения. На всякий
случай выпишите себе или получите IP-адрес домена nowaves.com (в нашем
примере он указан сразу после идентификатора сообщения). Получить же
этот адрес можно с помощью другой процедуры, также предоставляемой
InterNIC: преобразования IP адреса домена в его имя и обратно. После
этого Вы можете сравнить полученный IP адрес с другими IP адресами в за-
головках "Received from:". Если они совпадают, то, скорее всего, этот
провайдер и есть источник спама.
Введите имя домена, и эта процедура выдаст Вам IP-адрес. В идеале он
должен совпадать с IP-адресом, указанном в поле "Received from:". Если
это не так - ничего страшного: спамер подделал эти адреса, но у Вас есть
правильное имя домена. Вы можете ввести имя в процедуру Whois и получить
имя человека, которому Вы можете переслать копию спама и свои претензии.
Вы также можете получить список IP-адресов данного домена и сверить
их с полученными при помощи процедуры преобразования IP-адресов в имена
доменов (и наоборот).
С другой стороны, Вы можете ничего этого не делать. Если Вам повезет,
Вы увидите строку вроде этой из нашего примера:
Comments: Authenticated sender is [spamfool nowaves.com]
или:
X-sender: spamfool nowaves.com
Почти наверняка отправитель, указанный в любой из этих строк -
spamfool nowaves.com - является автором сообщения. Большинство почтовых
программ используют одну из этих строк, даже если отправитель подделал
большую часть остальных заголовков.
Однако, эти строки не всегда присутствуют в заголовках письма (они
могут быть удалены или не заполнены). Кроме того, в них может быть ука-
зан IP-адрес, а не имя. Но Вы всегда можете получить имя домена, вос-
пользовавшись процедурой преобразования IP-адреса в имя домена. После
этого можете отсылать сообщение представителю провайдера, чей адрес Вы
получите с помощью процедуры Whois, или на адрес postmaster системы.
Бывает, что заголовки полученного Вами сообщения на первый взгляд ка-
жутся подделанными. Однако, проявив настойчивость, Вы все же сможете
найти источник.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
IP адресов).
Теперь, рассмотрим пример:
---------------------------------------------------------------
Sender: freecash scumbags.com
Received: from nowaves.com (mail.nowaves.com [222.222.22.2]) by
hil-img-4.compuserve.com (8.6.10/5.950515) id BCC09029; Sat, 31 Aug 1996
02:16:33 -0400
Received: from upstream (77-x.nowaves.com [222.222.23.23]) by
77x.nowaves.com (8.6.13/8.6.12) with SMTP id WAA29981; Sat, 31 Aug 1996
22:41:17 -0700
Message-Id: <199608310111.WAA29981 nowaves.com>
Comments: Authenticated sender is
From: "Your Friend"
Organization: Making You Rich
To: suckerlist scumbags.com
Date: Sat, 31 Aug 1996 00:17:57 -600
MIME-Version: 1.0
Content-type: text/plain; charset=US-ASCII
Content-transfer-encoding: 7BIT
Subject: Extra Income For Everyone!!!
Reply-to: bigmoney youfool.com
Priority: normal
X-mailer: Pegasus Mail for Win32 (v2.31)
Привет! Годы наших исследований показали, что Вы желаете купить мечту
и быть обобранным. Поэтому: отправьте деньги (только наличные) - по ад-
ресу: P.O. Box 666666, Noway, OH 99999, и я вышлю Вам указания, как пра-
вильно рассылать электронные письма с просьбами выслать наличность, как
подделать заголовки сообщений, и много чего еще. Вам ответит куча прос-
таков, Вы легко разбогатеете и сможете проводить все свое время в Сети.
P.S. Если Вы не хотите больше получать сообщений вроде этого, от-
ветьте на это письмо, указав в поле Subject: REMOVE.
На первый взгляд это сообщение могло поступить от
"freecash scumbag.com". Но, погодите, поле "Reply To:" содержит
"bigmoney youfool.com". По какому же из этих адресов слать свое мнение о
полученном сообщении?
Ни по одному из них. Оба - подделаны. Это можно проверить воспользо-
вавшись WWW интерфейсом для whois. Whois - это процедура, которая пре-
доставляет информацию об именах доменов - название, адрес и телефонный
номер компании, которой принадлежит домен; имена и электронные адреса
основных управляющих и имена доменов, используемые компанией, а также их
IP-адреса (группы из четырех чисел, разделенных точкой).
Попробуйте сами. Введите либо "scumbag.com", либо "youfool.com", и
Whois скажет Вам, что у нее нет информации об этих доменах. Естественно
- их не существует! (Если Вы введете имя домена своего провайдера, Вы
получите всю имеющуюся о нем информацию).
Ладно, спамер подделал заголовки. Вы не можете ни ответить ему, ни
пожаловаться его провайдеру... или все-таки можете? Хотя непосредственно
спамеру Вам вряд ли удастся что-либо послать, но его провайдера Вы "вы-
числить" сможете.
Как? Посмотрите на поле "Received from:". Сообщения в Сети передаются
от одного компьютера другому, и в поле "Received from:" содержится ин-
формация, через какие системы оно прошло прежде, чем поступить к Вам.
Первый заголовок говорит нам, что данное сообщение было послано с адреса
в CompuServe (compuserve.com), а в CompuServe попало с компьютера в
"nowawes.com".
Следующий заголовок говорит о том, что nowaves.com переслал сообщение
с другого компьютера на том же домене (nowaves.com). След обрывается на
следующем заголовке - поле "Message-Id:". В этом поле Вы видите уни-
кальное сочетание цифр и букв, которое начинается датой отсылки сообще-
ния (960831) и оканчивается идентификатором сообщения и его источником:
nowaves.com!
Обратите внимание, что спамеры иногда подделывают и эти заголовки,
включая в них IP адреса крупных и хорошо известных провайдеров в надеж-
де, что Вы пожалуетесь одному из них. Это еще один довод в пользу того,
что не следует грубить провайдеру, которому Вы жалуетесь. Он сам может
быть жертвой. Если Вы обругаете его, он не станет тратить на Вас время,
не говоря уже о помощи в поиске истинного адреса спамера.
Даже если спамеру удалось подделать заголовки "Received from:", он,
скорее всего, не сможет подделать идентификатор сообщения. На всякий
случай выпишите себе или получите IP-адрес домена nowaves.com (в нашем
примере он указан сразу после идентификатора сообщения). Получить же
этот адрес можно с помощью другой процедуры, также предоставляемой
InterNIC: преобразования IP адреса домена в его имя и обратно. После
этого Вы можете сравнить полученный IP адрес с другими IP адресами в за-
головках "Received from:". Если они совпадают, то, скорее всего, этот
провайдер и есть источник спама.
Введите имя домена, и эта процедура выдаст Вам IP-адрес. В идеале он
должен совпадать с IP-адресом, указанном в поле "Received from:". Если
это не так - ничего страшного: спамер подделал эти адреса, но у Вас есть
правильное имя домена. Вы можете ввести имя в процедуру Whois и получить
имя человека, которому Вы можете переслать копию спама и свои претензии.
Вы также можете получить список IP-адресов данного домена и сверить
их с полученными при помощи процедуры преобразования IP-адресов в имена
доменов (и наоборот).
С другой стороны, Вы можете ничего этого не делать. Если Вам повезет,
Вы увидите строку вроде этой из нашего примера:
Comments: Authenticated sender is [spamfool nowaves.com]
или:
X-sender: spamfool nowaves.com
Почти наверняка отправитель, указанный в любой из этих строк -
spamfool nowaves.com - является автором сообщения. Большинство почтовых
программ используют одну из этих строк, даже если отправитель подделал
большую часть остальных заголовков.
Однако, эти строки не всегда присутствуют в заголовках письма (они
могут быть удалены или не заполнены). Кроме того, в них может быть ука-
зан IP-адрес, а не имя. Но Вы всегда можете получить имя домена, вос-
пользовавшись процедурой преобразования IP-адреса в имя домена. После
этого можете отсылать сообщение представителю провайдера, чей адрес Вы
получите с помощью процедуры Whois, или на адрес postmaster системы.
Бывает, что заголовки полученного Вами сообщения на первый взгляд ка-
жутся подделанными. Однако, проявив настойчивость, Вы все же сможете
найти источник.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25