Les en-têtes d’e-mail peuvent vous indiquer d’où proviennent les spams
Lorsque le spam n’est plus rentable, il prend fin. Si personne ne leur achète des spammeurs, leurs bénéfices chutent (car vous ne pouvez même pas voir les spammeurs). C’est le moyen le plus simple de lutter contre le spam, et certainement l’un des meilleurs.
se plaindre du spam
Vous pouvez également influencer le côté dépenses du bilan du spammeur. Si vous portez plainte auprès du fournisseur d’accès Internet (FAI) du spammeur, il perdra la connexion et devra peut-être payer une amende (selon la politique d’utilisation acceptable du FAI).
Puisque les spammeurs connaissent et craignent ces signalements, ils essaient de les cacher. C’est pourquoi trouver le bon FAI n’est pas toujours facile. Cependant, il existe des outils comme SpamCop qui simplifient le processus de signalement correct du spam à l’adresse exacte.
Tim Roberts/Pierre/Getty Images
Identifier la source du spam
Comment SpamCop trouve-t-il le bon FAI auprès duquel déposer une plainte ? Il examine attentivement la ligne d’objet du spam. Ces en-têtes contiennent des informations sur le chemin emprunté par l’e-mail.
SpamCop suit le chemin jusqu’au point où le spammeur envoie l’e-mail. À partir de celle-ci, également connue sous le nom d’adresse IP, il peut déduire le FAI du spammeur et envoyer le rapport au service d’abus de ce FAI.
Voyons de plus près comment cela fonctionne.
En-tête et corps de l’e-mail
Chaque e-mail se compose de deux parties, le corps et les en-têtes. Les en-têtes sont comme des enveloppes de courrier électronique contenant l’adresse de l’expéditeur, les destinataires, l’objet et d’autres informations. Le corps a le corps et les pièces jointes.
Certaines informations d’en-tête généralement affichées par votre programme de messagerie incluent :
- de: Le nom et l’adresse e-mail de l’expéditeur.
- à: Le nom et l’adresse e-mail du destinataire.
- Date: La date à laquelle le message a été envoyé.
- thème: ligne d’objet.
tête de forgeage
L’envoi réel de l’e-mail ne dépend d’aucun de ces en-têtes. Ils sont juste pratiques.
Par exemple, la ligne De est généralement envoyée à l’adresse de l’expéditeur afin que vous sachiez de qui provient le message et que vous puissiez répondre rapidement.
Les spammeurs veulent s’assurer que vous ne pouvez pas répondre facilement, et ils ne veulent certainement pas que vous sachiez qui ils sont. C’est pourquoi ils insèrent des adresses e-mail fictives dans la ligne De des spams.
ligne reçue
La ligne De est inutile pour déterminer la véritable source de l’e-mail. Vous n’avez pas besoin d’en dépendre. L’en-tête de chaque e-mail contient également la ligne Reçu.
Les programmes de messagerie n’affichent généralement pas ces messages, mais ils peuvent aider à détecter les spams.
Analyser la ligne d’en-tête reçue
Tout comme une lettre postale passe par plusieurs bureaux de poste entre l’expéditeur et le destinataire, un e-mail est traité et transmis par plusieurs serveurs de messagerie.
Imaginez que chaque bureau de poste appose un timbre unique sur chaque lettre. Le timbre indique exactement quand le courrier a été reçu, d’où il vient et où le bureau de poste l’a acheminé. Si vous avez reçu la lettre, vous pouvez déterminer le chemin exact emprunté par la lettre.
C’est exactement ce qui s’est passé avec le courrier électronique.
ligne de trace reçue
Lorsqu’un serveur de messagerie traite un message, il ajoute une ligne spécifique à l’en-tête du message. La ligne Reçu contient le nom du serveur et l’adresse IP de l’ordinateur à partir duquel le serveur a reçu les messages, ainsi que le nom du serveur de messagerie.
La ligne Reçu est toujours en haut des en-têtes de message. Pour reconstituer le parcours de l’e-mail de l’expéditeur au destinataire, commencez par la ligne supérieure Reçu et descendez jusqu’à la dernière ligne, d’où provient l’e-mail.
Forgeage
Les spammeurs savent que les gens utilisent ce programme pour savoir où ils se trouvent. Ils peuvent insérer de fausses lignes Received pointant vers quelqu’un d’autre qui a envoyé le message pour tromper le destinataire prévu.
Étant donné que chaque serveur de messagerie place toujours sa ligne Received en haut, les spammeurs ne peuvent falsifier les en-têtes qu’en bas de la chaîne de lignes Received. C’est pourquoi vous devez commencer votre analyse en haut, pas seulement la première ligne Received (en bas) pour obtenir le point d’origine de l’e-mail.
Comment repérer les fausses lignes d’en-tête de réception
Les fausses lignes de réception insérées par les spammeurs ressemblent à toutes les autres lignes de réception (à moins qu’ils ne commettent une erreur manifeste). En soi, vous ne pouvez pas distinguer une fausse ligne Received d’une vraie ligne Received, et c’est là qu’une caractéristique distinctive des lignes Received entre en jeu. Chaque serveur a un enregistrement de qui il est et d’où il a reçu ses messages (sous la forme d’adresses IP).
Comparez ce que le serveur prétend avec ce que dit le serveur supérieur de la chaîne. Si les deux ne correspondent pas, la première est une fausse ligne Received.
Dans ce cas, la source de l’e-mail est ce que le serveur met immédiatement après le faux Received.
Exemple de spam analysé et suivi
Maintenant que nous connaissons la base théorique, analysons un spam pour déterminer son origine réelle.
Nous venons de recevoir un spam que nous pouvons utiliser comme exercice. Voici la ligne d’en-tête :
Reçu : De Inconnu (HELO 38.118.132.100) (62.105.106.207) via mail1.infinology.com en utilisant SMTP ; 16 novembre 2003 19:50:37 -0000 De : De [235.16.47.37] via 38.118.132.100 id; Sun Nov 16 13:38:22 2003 -0600 Message ID: De: « Reinaldo Gilliam » Répondre: « Reinaldo Gilliam » À: ladedu@ladedu.com Objet: Catégorie A Obtenez le médicament dont vous avez besoin lgvkalfnqnh bbk Date : Dim 16 novembre 2003 13:38:22 GMT X-Mailer : Internet Mail Service (5.5.2650.21) MIME Version : 1.0 Content-Type : multipart/alternative; bound= »9B_9 .._C_2EA.0DD_23″ X-Priority : 3 Priorité X-MSMail : Normal
Pouvez-vous indiquer l’adresse IP source de l’e-mail ?
expéditeur et sujet
Tout d’abord, regardez la fausse ligne De. Les spammeurs veulent que les messages semblent provenir de comptes Yahoo! Mail. Via la ligne de réponse, cette adresse De est conçue pour diriger tous les messages rejetés et les réponses en colère vers des comptes Yahoo! Mail inexistants.
Ensuite, le thème est une étrange accumulation de personnages aléatoires. Il est presque illisible et conçu pour tromper les filtres anti-spam (chaque message a un ensemble légèrement différent de caractères aléatoires). Pourtant, malgré tout cela, il transmet son message de manière très subtile.
ligne reçue
Enfin, recevez la ligne. Commençons par le plus ancien, reçu de [235.16.47.37] par 38.118.132.100 id; Dim 16 novembre 2003 13:38:22 -0600. n’a pas de nom d’hôte, mais deux adresses IP : 38.118.132.100 prétend avoir reçu un message de 235.16.47.37. Si cela est correct et que 235.16.47.37 est la source de l’e-mail, nous trouverons à quel FAI appartient cette adresse IP et lui enverrons un rapport d’abus.
Voyons si le serveur suivant (dans ce cas, le dernier) de la chaîne reconnaît la réclamation de la première ligne Received : Reçu : De l’inconnu (HELO 38.118.142.100) (62.105.106.207) via mail1.infinology.com en utilisant SMTP ; 16 novembre 2003 19:50:37 -0000.
Étant donné que mail1.infinology.com est le dernier serveur de la chaîne et est en fait « notre » serveur, nous savons que nous pouvons lui faire confiance. Il a reçu un message d’un hôte « inconnu » prétendant avoir une adresse IP de 38.118.132.100 (en utilisant la commande SMTP HELO). Jusqu’à présent, cela correspond à ce que dit la ligne Received précédente.
Voyons maintenant d’où notre serveur de messagerie reçoit ses messages.Pour le savoir, regardez l’adresse IP entre parenthèses précédant via mail1.infinology.comIl s’agit de l’adresse IP à partir de laquelle établir la connexion, et non de 38.118.132.100. Non, 62.105.106.207 est l’endroit où ce spam a été envoyé.
Grâce à ces informations, vous pouvez désormais identifier le FAI du spammeur et lui signaler les e-mails non sollicités pour expulser le spammeur du réseau.
Merci de nous en informer!
Recevez chaque jour les dernières actualités technologiques
abonnement
Dites-nous pourquoi !
D’autres ne sont pas assez détaillés pour comprendre
