El spam terminará cuando ya no sea rentable. Los spammers verán caer sus ganancias si nadie les compra (porque ni siquiera ve los correos basura). Esta es la forma más fácil de combatir el spam y, sin duda, una de las mejores.
Quejarse del spam
También puede afectar el lado de los gastos del balance de un spammer. Si presenta una queja al proveedor de servicios de Internet (ISP) del remitente de spam, este perderá la conexión y es posible que deba pagar una multa (dependiendo de la política de uso aceptable del ISP).
Dado que los spammers conocen y temen estos informes, intentan esconderse. Es por eso que encontrar el ISP correcto no siempre es fácil. Sin embargo, existen herramientas como SpamCop que simplifican la notificación correcta del spam a la dirección exacta.
Determinación del origen del spam
¿Cómo encuentra SpamCop el ISP adecuado para presentar una queja? Toma una mirada cercana a las líneas de encabezado del mensaje de spam. Estos encabezados contienen información sobre la ruta que tomó un correo electrónico.
SpamCop sigue el camino hasta el punto desde el cual el spammer envió el correo electrónico. Desde este punto, también conocido como dirección IP, puede derivar el ISP del spammer y enviar el informe al departamento de abuso de este ISP.
Echemos un vistazo más de cerca a cómo funciona.
Encabezado y cuerpo del correo electrónico
Cada mensaje de correo electrónico consta de dos partes, el cuerpo y el encabezado. El encabezado es como el sobre de correo electrónico que contiene la dirección del remitente, el destinatario, el asunto y otra información. El cuerpo tiene el texto y los archivos adjuntos.
Algunos encabezados que normalmente muestra su programa de correo electrónico incluyen:
- De: el nombre y la dirección de correo electrónico del remitente.
- Para: el nombre y la dirección de correo electrónico del destinatario.
- Date: La fecha en que se envió el mensaje.
- Subject: La línea de asunto.
Forja de cabecera
La entrega real de correos electrónicos no depende de ninguno de estos encabezados. Son convenientes.
Por lo general, la línea De, por ejemplo, se enviará a la dirección del remitente para que sepa de quién es el mensaje y pueda responder rápidamente.
Los spammers quieren asegurarse de que no puedas responder fácilmente, y ciertamente no quieren que sepas quiénes son. Es por eso que insertan direcciones de correo electrónico ficticias en las líneas De de sus mensajes no deseados.
Líneas Recibidas
La línea De no sirve para determinar el origen real de un correo electrónico. No necesitas confiar en ello. Los encabezados de cada mensaje de correo electrónico también contienen líneas Recibido.
Los programas de correo electrónico no suelen mostrarlos, pero pueden resultar útiles para rastrear el spam.
Análisis de líneas de encabezado recibidas
Al igual que una carta postal pasa por varias oficinas postales en su camino desde el remitente hasta el destinatario, varios servidores de correo procesan y reenvían un mensaje de correo electrónico.
Imagínese que cada oficina de correos pone un sello único en cada carta. El sello diría exactamente cuándo se recibió el correo, de dónde vino y adónde fue enviado por la oficina de correos. Si obtuviste la carta, podrías determinar el camino exacto tomado por la carta.
Esto es precisamente lo que sucede con el correo electrónico.
Líneas recibidas para rastreo
Cuando un servidor de correo procesa un mensaje, agrega una línea particular al encabezado del mensaje. La línea Recibido contiene el nombre del servidor y la dirección IP de la máquina de la que el servidor recibió el mensaje y el nombre del servidor de correo.
La línea Recibido siempre está en la parte superior del encabezado del mensaje. Para reconstruir el viaje de un correo electrónico desde el remitente hasta el destinatario, comience en la línea superior Recibido y baje hasta la última, que es donde se originó el correo electrónico.
Forja de línea recibida
Los spammers saben que las personas aplican este procedimiento para descubrir su paradero. Podrían insertar líneas de Recibido falsificadas que apunten a otra persona que envió el mensaje para engañar al destinatario previsto.
Dado que cada servidor de correo siempre colocará su línea Recibido en la parte superior, los encabezados falsificados por los spammers solo pueden estar en la parte inferior de la cadena de la línea Recibido. Esta es la razón por la que debe comenzar su análisis en la parte superior y no solo derivar el punto donde se originó un correo electrónico desde la primera línea Recibido (en la parte inferior).
Cómo identificar una línea de encabezado recibida falsificada
Las líneas recibidas falsificadas insertadas por los spammers se parecen a todas las demás líneas recibidas (a menos que cometan un error obvio). Por sí mismo, no puede distinguir una línea recibida falsificada de una genuina, que es donde entra en juego una característica distintiva de las líneas recibidas. Cada servidor anota quién es y de dónde recibió el mensaje (en forma de dirección IP).
Compare lo que dice ser un servidor con lo que dice ser el servidor que se encuentra en la parte superior de la cadena. Si los dos no coinciden, el anterior es una línea Recibida falsificada.
En este caso, el origen del correo electrónico es lo que el servidor colocó inmediatamente después de que dice Recibido falsificado.
Ejemplo de spam analizado y rastreado
Ahora que conocemos la base teórica, analicemos un correo electrónico no deseado para identificar su origen en la vida real.
Acabamos de recibir un correo no deseado ejemplar que podemos usar para hacer ejercicio. Aquí están las líneas de encabezado:
Recibido: de desconocido (HELO 38.118.132.100) (62.105.106.207) por mail1.infinology.com con SMTP; 16 de noviembre de 2003 19:50:37 -0000 Recibido: de [235.16.47.37] por 38.118.132.100 id; Domingo, 16 de noviembre de 2003 13:38:22 -0600 ID de mensaje: De: "Reinaldo Gilliam" Responder a: "Reinaldo Gilliam" Para: [email protected] Asunto: Categoría A Obtenga los medicamentos que necesita lgvkalfnqnh bbk Fecha: domingo, 16 de noviembre de 2003 13:38:22 GMT X-Mailer: Servicio de correo de Internet (5.5.2650.21) Versión MIME: 1.0 Tipo de contenido: multiparte/ alternativo; X-Prioridad: 3 X-MSMail-Prioridad: Normal
¿Puede decirme la dirección IP donde se originó el correo electrónico?
Remitente y Asunto
Primero, mire la línea From falsificada. El spammer quiere que parezca que el mensaje proviene de un Yahoo! cuenta de correo. Con la línea Responder a, esta dirección De tiene como objetivo dirigir todos los mensajes de rebote y las respuestas enojadas a un Yahoo! Cuenta de correo.
A continuación, el Sujeto es una curiosa acumulación de caracteres aleatorios. Es apenas legible y está diseñado para engañar a los filtros de spam (cada mensaje recibe un conjunto ligeramente diferente de caracteres aleatorios). Aún así, también está hábilmente diseñado para transmitir el mensaje a pesar de esto.
Las líneas recibidas
Finalmente, las líneas Recibidas. Comencemos con el más antiguo, Recibido: de [235.16.47.37] por 38.118.132.100 id; Domingo, 16 de noviembre de 2003 13:38:22 -0600. No contiene nombres de host, sino dos direcciones IP: 38.118.132.100 afirma haber recibido el mensaje de 235.16.47.37. Si esto es correcto, 235.16.47.37 es donde se originó el correo electrónico, y averiguaríamos a qué ISP pertenece esta dirección IP, luego les enviaríamos un informe de abuso.
Veamos si el siguiente (y en este caso el último) servidor de la cadena confirma las afirmaciones de la primera línea recibida: Recibido: de desconocido (HELO 38.118.142.100) (62.105.106.207) por mail1.infinology.com con SMTP; 16 de noviembre de 2003 19:50:37 -0000.
Dado que mail1.infinology.com es el último servidor de la cadena y, de hecho, "nuestro" servidor, sabemos que podemos confiar en él. Ha recibido el mensaje de un host "desconocido" que afirma tener la dirección IP 38.118.132.100 (usando el comando SMTP HELO). Hasta ahora, esto está en línea con lo que decía la línea Recibido anterior.
Ahora veamos de dónde obtuvo el mensaje nuestro servidor de correo. Para averiguarlo, mire la dirección IP entre paréntesis inmediatamente antes de mail1.infinology.com. Esta es la dirección IP desde la que se estableció la conexión y no es 38.118.132.100. No, 62.105.106.207 es desde donde se envió este correo basura.
Con esta información, ahora puede identificar el proveedor de servicios de Internet (ISP, por sus siglas en inglés) del spammer y reportarle el correo electrónico no solicitado para expulsar al spammer de la red.