בכתבה הקודמת
סקרנו כלים לסינון דואר זבל, והבאנו עצות בנוסח "עשה ואל תעשה" להתמודדות עם ספאם. לא כל הגולשים מוכנים להסתפק בפעילות פסיבית שכזו, שתכליתה ניסיון להפחית את כמות הספאם בתיבת הדואר הנכנס ולחסום את גלי הזבל המגברים והולכים. יש גם מי שמנסה להכות בזבלנים היכן שהכי כואב להם - בכיס.
במדריך זה נביא שיטות להתחקות אחרי מקורות הספאם ונסקור מספר כלים קהילתיים שיסייעו לכם להתמודד עם התופעה בשיתוף עם גולשים אחרים. נענה על שאלות כמו מה מקור ההודעה החשודה כספאם, מי עומד מאחוריה, למי כדאי להתלונן ואיך לאתר עסקים שמפרסמים את מרכולתם באמצעות דואר זבל אלקטרוני.
כיצד עובד הדואר האלקטרוני?
בטרם ניגש למלאכת ניתוח הודעה וזיהוי שולח, ראוי להבין מספר כללים בסיסיים לפיהם עובד הדואר האלקטרוני.
מה באמת קורה לדואר מרגע הלחיצה על כפתור ה"שלח"? מרבית הגולשים משתמשים בתיבת הדואר שסופקה על ידי ספקית האינטרנט שלהם. לרוב, מדובר בתיבות שנגישות באמצעות תוכנות דואר כמו Outlook Express Thunderbird ,Incredimail ועוד. בין אם אתם משתמשים בהן או בשירותי דואר רשת - התהליך אותו עוברת ההודעה כפוף לכללים הבאים.
איך מתבצע משלוח של דואר אלקטרוני
כתבנו הודעה, חיברנו לה שורת נושא מתאימה ולחצנו על Send. מרגע זה, יוצרת תוכנת הדואר קשר עם שרת הדואר היוצא של ספק השירות ומעבירה לו את ההודעה.
| מילון מונחים |
|
| פרוטוקולים |
|
SMTP - או Simple Mail Transfer Protocol. שפה שבה מדברים השרתים ומעבירים ביניהם את ההודעות. POP3 - או Post Office Protocol. פרוטוקול תקשורת שבין תוכנת הדואר לשרת המאחסן את הדואר. ההודעות נשמרות בשרת הדואר של ספק האינטרנט ומחכות ל"שליפה" והורדה למחשב באמצעות תוכנת דואר. POP3 מאפשר זאת. IMAP - ראשי תיבות של Internet Message Access Protocol. משמש ליצירת קישור מקוון ומתמיד בין מחשב המשתמש לשרת הדואר. כך שלמעשה המשתמשת מבצע את כל הפעולות הקשורות בהודעה ישירות בשרת הדואר, מבלי להוריד דבר למחשב. |
| עושים חשבון לשפעת |
|
|
|
לאחר העברתה לשרת הדואר היוצא של ספק האינטרנט, נכנסת ההודעה שלנו לתור (Queue) למשלוח לנמען, ביחד עם הודעות רבות של גולשים אחרים שנשלחו באותה עת.
כשיגיע תורה של ההודעה לעזוב את השרת (בדרך כלל מדובר בהליך שאורך מספר שניות), יקרא השרת תחילה את שם המתחם אליו מיועדת ההודעה. זהו הכיתוב שמופיע אחרי ה-@. כלומר, בכתובת moshe@hotmail.com הדומיין
הוא hotmail.com.
אחר כך יבדוק השרת היוצא שלנו אילו שרתים מיועדים לקבל דואר נכנס עבור הדומיין. שרתי דואר אלה קרויים MX (קיצור של Mail Exchange). איתורם נעשה באמצעות שימוש ב-DNS(מערכת מקוונת המתרגמת שמות של אתרים לכתובת המספרית שלהם).
שלום, אני נוסעת
כאשר שרת הדואר היוצא מאתר את שרתי הדואר המיועדים לקבל את ההודעה, הוא יוצר קשר עם אחד מהם ומעביר לו הודעה בנוסח: "שלום, קוראים לי X".
למסר זה שתי השלכות: ראשית, כך השרת המקבל "יודע" עם מי הוא "מדבר". שנית, השרת המקבל שומר ביומן (Log) ובכותרות הדואר את כתובת ה-IP של השרת השולח. כלומר, בניתוח מאוחר, נוכל לדעת בדיוק מהי כתובות ה-IP של השולח, למי היא שייכת ולשלוח תלונה לגורם האחראי.
סדרת הפקודות שלאחר מכן כוללת שידור כתובת השולח וכתובת מקבל, ההודעה עצמה וסדרת פקודות המסמלת סיום ההתקשרות. כך זה נראה:
חשוב להדגיש כי חילופי הדברים האלה מתבצעים בין השרתים והם "שקופים" לחלוטין למשתמש.
מכאן, בהנחה שאין בדרך מסנני דואר זבל או אנטי וירוס, הדרך לתיבת הדואר של הנמען קצרה מאוד. בכך, למעשה, הסתיימו תלאותיה של ההודעה ששלחנו, אולם, עבודת הניתוח שלה רק מתחילה.
כותרות הודעה
מרבית הגולשים רגילים לראות בהודעות את שם השולח, הנמען, שורת הנושא והתוכן, אך לצורך המאבק בספאם, חשוב לחלק את ההודעה לשני חלקים עיקריים: כותרות הודעה (Headers) ותוכן ההודעה.
ה-Headers אינם שורת הנושא הטקסטואלית של ההודעה ואינם נראים בתצוגת ברירת מחדל של תוכנות הדואר. כותרות אלה יספרו לנו את האמת על מקור ההודעה, הדרך שעברה בדרך לתיבה ויאפשרו לזהות את השולח האמיתי (ליתר דיוק, יאפשרו לזהות את ספק האינטרנט של השולח).
איך צופים ב-Headers?
- Microsoft Outlook - בחירה בתפריט "תצוגה" ומתוכו בחירה ב"אפשרויות". בחלון שיוצג נוכל לראות גם את כותרות ההודעה.
- Outlook Express - קליק כפול על ההודעה יפתח אותה בחלון חדש. CTRL+F3 יציג את כל כותרות ההודעה.
- Gmail - בחלון ההודעה הקליקו על More options ואז על show original.
להסברים על הצגת כותרות הודעה בתוכנות דואר נוספות, ניתן להיעזר באתר spamcop.net.
איך קוראים את זה?
במבט ראשון הכותרות נראות כמו המון מלל טכני בלתי ברור ובעיקר מבלבל. אבל אל דאגה, יש רק חלק אחד שמעניין אותנו. כך נראית Header קצרה יחסית:
Microsoft Mail Internet Headers Version 2.0
Received: from 192.118.71.128 by mx.******** Sat, 28 Jan 2006 16:34:05 +0200
Received: from omail8.walla.co.il (omail8.walla.co.il 127.0.0.1)
by omail8.walla.co.il (8.13.5/8.13.5) with ESMTP id k0SEWcLs004467
for <**************>; Sat, 28 Jan 2006 16:32:38 +0200
Received: (from informix@localhost)
by omail8.walla.co.il (8.13.5/8.13.5/Submit) id k0SEWcH9004454;
Sat, 28 Jan 2006 16:32:38 +0200
Date: Sat, 28 Jan 2006 16:32:38 +0200
Received: from 83.130.177.4)
by omail8.walla.co.il (192.118.71.128) with HTTP;
Sat, 28 Jan 2006 16:32:37 +0300
From: <*******>
החלק שבעזרתו מאתרים את השולח האמיתי נמצא ב-Received:. מה שמעניין אותנו היא כותרת ה-Received התחתונה ביותר, שמכילה מידע על השרת או המחשב שהעביר את ההודעה לשרת של הנמען, ומפרטת את "הדו שיח" בין השרת השולח והשרת המקבל.
הפריט החשוב ביותר בכותרת התחתונה הוא כתובת ה-IP ממנו היא נשלחה. לדוגמה, Received: from 83.130.177.4, פירושה שההודעה התקבלה מכתובת IP מספר 83.130.177.4.
שימו לב: בכותרת התחתונה מופיעות לרוב שתי כתובות IP. הכתובת הרלוונטית היא הראשונה.
היכן מתלוננים?
כעת כל מה שנשאר לגולש הפעיל הוא לשייך את כתובת ה-IP לספק אינטרנט. ישנם מספר כלים מקוונים שיעשו עבורכם את העבודה:
- whois.sc -
כלי חביב וקל משקל. כל מה שצריך לעשות זה להזין כתובת IP וכתובת מחלקת אבטחת מידע של אותו ספק מופיעה לעינינו. האתר מאפשר גם להתחקות אחר פרטי בעלי שמות מתחם באותה קלות. כלומר, על שם מי רשום הדומיין, מתי נרשם, היכן מאוחסן ועוד. אינו דורש הרשמה.
- Spamcop.net
- מאפשר לבצע את אותה בדיקה בדיוק, אבל גם יאתר את כתובת ה-IP, יסרוק את הכותרות שתספקו לו ואף ישלח תלונה אוטומטית לספק האינטרנט האחראי. האתר דורש הרשמה.
- איגוד האינטרנט הישראלי
- מאפשר לאתר שמות בעלי דומיינים ישראלים (.co.il).
חובבי שורת הפקודה (ולינוקסאים) ישמחו להשתמש ב-CyberAbuse Whois,
תוכנת קוד פתוח שמאפשרת לאתר כתובת של מחלקת אבטחת מידע (abuse) שאחראית על IP מסוים. היא עושה זאת על ידי הקשת פקודה zcw בצירוף כתובת IP או דומיין.
מדובר בכלי שימושי מאוד לאלה שברצונם לשלב בדיקה כזו בתוך תוכנה או סקריפט ולא רוצים להיעזר בשירותים מקוונים.
לאחר שאיתרנו את פרטי מחלקת ה-Abuse , יש לשלוח תלונה רשמית. שימו לב: חשוב להעביר את כל כותרות האינטרנט בצירוף ההודעה עצמה. משלוח ההודעה בהעברה (Forward) פשוטה, אינו מועיל ולא מאפשר זיהוי השולח.
מה עוד אפשר לבדוק?
כתובת IP אינה הפרמטר היחידי שמאפשר זיהוי שולח. הספאם כולל, לרוב, גם קישורים לאתרים. כנראה שאין טעם לשלוח תלונה לבעלי הדומיין המפורסם (שברוב המקרים הוא הזבלן, ויש לפנות לחברה שמאחסנת את האתר.
ככלל, ספקי אחסון מכניסים סעיף מיוחד בהסכם ההתקשרות, שמאפשר להפסיק את השירותי האחסון במידה והכתובת תנוצל לדואר זבל.
איתור חברת אחסון הוא תהליך פשוט. ראשית, נבדוק מהי הכתובת האמיתית של האתר במספרים באופן הבא:
- התחל --> הפעלה --> cmd (ב-Windows 2000/XP).
- התחל --> תכניות --> שורת פקודה MS-DOS (ב-Windows 95-ME).
- קליק ימני בשולחן עבודה --> terminal window (בלינוקס).
לאחר מכן נקיש את הפקודה ping ואחריה רווח ושם האתר, למשל, ping cnn.com. בשורה הראשונה שנקבל מיד לאחר הקשת Enter נראה בסוגריים את כתובת ה-IP של האתר:
מכאן הדרך קצרה וניתן לחזור ולאתר את ספק כתובת ה-IP באמצעות שימוש בכלים שלעיל.
כלים חברתיים למאבק בספאם
- חרם צרכני - זבלנים ממשיכים לנסות ולמכור לנו את מרכולתם בעיקר בגלל שתמיד יהיה מי שיקנה. עשו לכם כלל - לעולם אל תקנו מוצרים של חברה שמפרסמת את עצמה באמצעות ספאם.
- לבדוק לפני שקונים - מה פשוט יותר מאשר להקליד את שם החברה וכתובת אתרה בצירוף המלה "ספאם" או "spam" בגוגל? אם מדובר בזבלנים, תאמינו לנו שמישהו כבר העלה את שמה לרשת. אפשר להשתמש גם בשירות מקוון
שיבדוק האם כתובת אתר החברה נמצאת ב"רשימה שחורה"
- לא לוותר - התלוננו לספק האינטרנט הרלוונטי על כל הודעת ספאם. לעיתים מספיקות שלוש תלונות או יותר כדי שאותו משתמש ימצא עצמו בחיפוש אחר ספק חדש.
לסיכום, אין ספק שפשוט יותר למחוק את ההודעה המעצבנת ולהמשיך בחיינו, מאשר לטרוח ולאתר את השולח ולהגיש תלונה. אולם ברור, כי ככל שהמודעות לספאם תגבר בקרב בצרכנים, וככל שהגולשים יהיו מעורבים ופעילים יותר, יש סיכוי גדול יותר למגר את התופעה.
