Наверное, никому не нужно объяснять, что такое спам. С этой радостью сталкивались, практически, все. Одно только хочу уточнить – происходит слово «СПАМ» от названия собачьих консервов. Так что слово «спамер» это совсем не круто А иногда, конкретно может достать, когда на твой адрес приходит всякая грязь, на которой пробуют заработать не щепетильные к средствам люди.

Поэтому родилась идея этого поста, потому как выяснилось, очень мало людей знает, как определить IP-адрес спамера и как ему немного усложнить его спамерскую жизнь. Рассмотрим сам процЭсс на примере почтового клиента The Bat, так как прога действительно на совесть, респект молдаванским программистам!

Для примера возьму письмо, которое пришло мне на горячий мейл с рекламой секса. Ну там текст и ссылочка, типа, если хочешь посмотреть то-то и то-то, нажми на ссылку. Получив такое письмо что делаем: в The Bat щелкаем меню «Вид – Показывать заголовки (RFC-832)». При этом над текстом письма появляется служебная информация – откуда письмо пришло и через какой сервер пересылалось. Для данного письма:

Received: from mx5.ks.pochta.ru(mx5.ks.pochta.ru [82.204.219.164])
by node6-2.ks.pochta.ru with POCHTA.RU LMTP SERVER
Thu, 15 Jan 2009 12:38:39 +0300
id 2984176528-1232012308.472114
envelope-from virginia@lfmi.com
for tra-ta-ta@nm.ru
Received: from 78.109.23.184.in.hosting.ua(s4.moyhosting.com [78.109.23.184])
by mx5.ks.pochta.ru with POCHTA.RU MAILER
id 122891168-1232012308.399005
envelope-from virginia@lfmi.com
Thu, 15 Jan 2009 12:38:28 +0300
X-AS-Feat-ID: 43019197,43188894,44982337,47832374
Subject: Megan Prentice
Date: Thu, 15 Jan 2009 14:38:44 +0300
From: <virginia@lfmi.com>
Message-ID: <01C9770E.2FF00095@s4.moyhosting.com>
To: <tra-ta-ta@nm.ru>
Reply-To: <virginia@grower.com>
X-Priority: 3 (Normal)
X-Mailer: Gentoo
Content-Type: multipart/alternative;
boundary=»—-01C9772717BE5ED9″
X-SpamTest-Envelope-From: virginia@lfmi.com
X-SpamTest-Group-ID: 00000000
X-SpamTest-Info: Profiles 6782 [Jan 15 2009]
X-SpamTest-Method: none
X-SpamTest-Rate: 45
X-SpamTest-SPF: none
X-SpamTest-Status: Not detected
X-SpamTest-Status-Extended: not_detected
X-SpamTest-Version: SMTP-Filter Version 3.0.0 [0278], KAS30/Release

Письмо вроде пришло с мейла virginia@lfmi.com , но этому верить не нужно, спамерская программа сама генерирует выдуманный мейл. tra-ta-ta@nm.ru – это типа мой мейл, немного измененный. А вот теперь давайте найдем в заголовке слово «Received» и после него четыре группы цифр, разделенные точками, или так называемый Ай-Пи адрес (IP-adress). В нашем случае это 78.109.23.184 . Так вот – если мейл можно подделать, то IP-адрес ставится того сервера, с которого отправлялось письмо.

Когда айпи – адрес определен, открываем любой сервис, где по айпи можно определить, кому он принадлежит. Например – http://www.whois-service.ru/lookup/ Вводим в окошечко слева сверху айпишник, нажимаем на кнопку поиска и через несколько секунд получаем инфу по адресу:

IP Lookup — просмотр информации об ip-адресе и подсетях

Reverse Lookup: основное имя домена для адреса 78.109.23.184 – 78.109.23.184.in.hosting.ua

Информация об ip-адресе 78.109.23.184

% This is the RIPE Whois query server #2.
% The objects are in RPSL format.
%
% Rights restricted by copyright.
% See http://www.ripe.net/db/copyright.html

% Note: This output has been filtered.
% To receive output for a database update, use the «-B» flag

% Information related to ’78.109.23.184 – 78.109.23.191′

inetnum: 78.109.23.184 – 78.109.23.191
netname: moyhosting
descr: moyhosting – Ivan Pochta
country: UA
admin-c: IP1371-RIPE
tech-c: IP1371-RIPE
status: ASSIGNED PA
mnt-by: MNT-HOSTINGUA
source: RIPE # Filtered

person: Ivan Pochta
address: Ukraine, Dnieprodzerzhinsk, 24/12 Moskvoreckaya str
phone: +380567168574
nic-hdl: IP1371-RIPE
abuse-mailbox: moyhosting@mail.ru
source: RIPE # Filtered

% Information related to ’78.109.16.0/20AS41665′

route: 78.109.16.0/20
descr: Datacenter Hosting.UA
origin: AS41665
mnt-by: MNT-HOSTINGUA
source: RIPE # Filtered

Тут нас интересует строка abuse-mailbox: moyhosting@mail.ru, где видим мейл для связи по спаму и претензиям. Если есть еще несколько мейлов, советую перечислить их в поле «Копия». И вот теперь щелкаем по полученному письму со спамом, сверху в меню выбираем «Переслать». Пересылать оригинал нужно, чтобы админ сервера убедился, что именно его клиенты рассылают спам (он тоже заголовки читает).

И в поле »Кому» указываем мейл для abuse, а в поле Копия – другие мейлы из информации по АйПи адресу. В начале письма пишем – «С глубочайшим прискорбием (негодованием) сообщаю, что ваши клиенты рассылают СПАМ, примите меры». В теме письма тоже можно указать (дополнить FWD) словами: «Спам с ваших IP».

Если администратор толковый, Вы больше оттуда не получите спама. Желаю успехов в борьбе со спамом и спамерами!