# Форум на русском языке  > Решения по информационной безопасности  > Антиспам  >  Еще раз про борьбу со спамом

## SDA

Первое, что Вам необходимо сделать, зарегистрировать как минимум два почтовых ящика.
«Зачем мне два e-mail’a?» - спросите Вы. Первый Вы храните в секрете, сообщайте его только надежным людям, используйте его только для деловых переписок. Второй используйте для регистраций на различный сайтах в Сети.
При регистрации:
Обращайте особое внимание на содержание сайта, где Вы оставляете свой E-mail. Избегайте сайты различных лотерей, халявы, эротика, порно.
Если регистрируетесь на серьёзных буржуйских сайтах, указывайте как можно меньше тем Ваших «интересов».


Если спам все-таки попал к Вам.
Ни когда не отвечайте на эти письма. Во-первых, спамер будет знать что e-mail «живой», во-вторых, адреса с которых приходят такие письма не существуют либо это робот.
Не отвечайте спамом на спам, спамера Вы не проучите, а с провайдером у Вас возникнет конфликт.

Как избавить себя от спама.
В 80% рекламных писем в самом конце есть ссылка на отписку, (как правило мелким шрифтом) что то типа: “Remove from mail list”.
Каждый уважающий себя почтовый сервер даёт возможность поствить фильтры на входящие письма. Так же эта возможность есть в любой почтовой программе.

Как работают фильтры.
При получении письма сервером робот будет проверять каждую часть письма на предмет совпадения с данными указанными Вами при создании фильтра. Т.е. вы выбираете любую часть письма,(адрес, тема, дата, время, автор и др.) например «тема» (subject) вводите в ключевые слова, к примеру, “Free”. Выбираете действие, что делать с письмом содержащим в темем слово FREE. Это может быть, как перемещение его в спец папку, удаление так и перенаправление его на другой адрес. Выбираем «Удлить». Теперь, все письма содержащие в Теме слово FREE будут удаляться автоматически. При этом возможна потеря хорошей корреспонденции.

Как проучить.
Вам пришло спам-письмо. Необходимо узнать от куда было оно послано.
Это возможно сделать, так e-mail содержит служебный заголовок (RFC 822 header) c полной информацию о маршруте следования почты. Вы можете просмотреть его либо с своем e-mail клиенте, если он это позволяет - либо сохранить письмо в виде .eml или .msg сообщения, которое затем можно открыть в любом текстовом редакторе как простой текст. (пользователи outlook и outlook express могут сохранить сообщение просто перетащив его мышкой в папку или на рабочий стол)

Пользователи Ms Outlook Express:

Щелкните правой кнопкой мыши на сообщении и выберите пункт "Свойства" (Properties) и в открывшемся окне выбрать закладку "Подробно". Там вы увидите полный заголовок письма. В этом окне можно кликнуть на нижнюю кнопку ("Исходное сообщение") и получить полный текст письма, включая полный заголовок.
Пользователи The Bat:

Выберите сообщение и нажмите F9 (либо - меню -> Specials -> View source)
Пользователи Netscape/Mozilla:

Выберите сообщение и нажмите Ctrl + U (либо - меню -> View -> Message Source)

Реальный заголовок письма выглядит примерно так:

Return-Path: [email protected]">‹[email protected]›
Delivered-To: [email protected]
Received: (qmail 8623 invoked from network);
24 Jan 2002 02:22:20 -0000
Received: from mx9.mail.ru (HELO mx9.port.ru) (194.67.57.19)
by grif.newmail.ru with SMTP; 24 Jan 2002 02:22:20 -0000
Received: from mail by mx9.port.ru with local (Exim 3.14 #1)
id 16TZWu-0006iI-00
for [email protected]; Thu, 24 Jan 2002 05:22:20 +0300
X-ResentFrom: [email protected]">‹[email protected]›
Received: from [203.194.165.93] (helo=e36.com)
by mx9.port.ru with esmtp (Exim 3.14 #1)
id 16TZWt-0006gD-00; Thu, 24 Jan 2002 05:22:19 +0300
Received: from [4.35.249.250] (helo=QRJATYDI)
by e36.com with smtp (Exim 3.16 #1)
id 16TZRI-0003xl-00; Thu, 24 Jan 2002 10:16:33 +0800
From: РУСЬ-ПРЕСС@
To: [email protected]
Subject: Реклама в региональной прессе
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Outlook Express
Date: Thu, 24 Jan 2002 3:19:7 +0300
Mime-Version: 1.0
Content-Type: text/plain; charset="KOI8-R"
Message-Id: [email protected]">‹[email protected]›
Здесь нас интересуют строки содержащие: "Received: from ..." содержащая координаты, с которых было послано письмо. "id ..." в котором стоит время этого события. И можно обратить внимание на "by ..." содержащую сведения о сервисе, через который происходила отсылка. Наша задача - найти первичный источник. Записи в заголовке располагаются в порядке давности - то есть наверху - самый последний участок, но чтобы не ошибиться, можно ориентироваться по времени, идущему в строке за "id". Время приводиться местное, с указанием часового пояса, то есть в нашем случае первое событие произошло в 10:16:33 +0800 = 02:16:33 GMT. Найдя первую запись, следует выяснить, какому провайдеру принадлежит указанный там IP - адрес [4.35.249.250] и (или) домен. Сделать это можно на сайте www.geektools.com, либо при помощи программ, выполняющих whois (если вы используете unix-like ОС, то данная команда не требует никаких дополнительных программ, а выполняется системой).
В данном случае в ответ на первый адрес мы получим:
GENUITY (NET-GNTY-4-0)
3 Van de Graaff Dr.
Burlington, MA 01803
US

Netname: GNTY-4-0
Netblock: 4.0.0.0 - 4.255.255.255
Maintainer: GNTY

Coordinator:
Soulia, Cindy (CS15-ARIN) [email protected]
Это значит, что ip-адрес, с которого была выполнена отсылка, принадлежит сети GENUITY (NET-GNTY-4-0), и мы можем приступать к заключительному этапу - отсылке претензии администрации сети.
В письме обязательно должен содержаться полный текст пришедшего вам спама, включая полный заголовок, либо исходное письмо приложенное аттачем (attachment). Можно добавить комментарий, о том, что вы полагаете приложенное письмо спамом, но в принципе - достаточно просто переслать в службу поддержки исходное письмо.
Если не удалось найти адреса службы поддержки провайдера - то пересылать письмо следует на стандартные служебные адреса, используемые в сетях. это - [email protected](имя сети) [email protected](имя сети), [email protected](имя сети), [email protected](имя сети) - тоесть, в нашем примере письмо следует переслать по адресам -

[email protected]
[email protected]
[email protected]
[email protected]

либо координатору данной сети - [email protected]
Спамер может воспользоваться программой подставляющей некоторое количество фальшивых заголовков, содержащих случайные, а иногда и реальные ip-адреса, но сама система пересылки всегда проставляет реальные адреса. В случае если не удается отследить, кому принадлежит первый адрес в цепочке можно отослать претензию на все реально найденные по ходу разбора заголовка сети, приложив исходное письмо - это только увеличит возможность получения спамером крупных неприятностей. Конечно, если видны очевидные следы перенаправления почты - в данном случае это: X-ResentFrom: [email protected]">‹[email protected]› то слать запросы на участки стоящие за точкой пересылки не следует.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------

