نگاهی به آناتومی یک ایمیل - بخش دوم

در درس گذشته با بخش اول آناتومی ایمیل اشنا شدید. حالا سراغ بخش دوم می رویم. اگر مطالب این دو درس به نظرتان مشکل می آید توصیه می کنیم بخش خلاصه و جمع بندی را در انتهای این درس بخوانید و سپس یک بار دیگر این دو درس را مطالعه کنید تا برداشت بهتری داشته باشید.

 

 

اطلاعات قابل رویت هدر

اطلاعات گفته شده در این بخش، در حقیقت همان مواردی هستند که معمولا به صورت عادی در بالای ایمیل تان می توانید ببینید.

 

 

 

به شکل قابل توجهی این فیلدها، ناامن ترین و غیرقابل اعتمادترین بخش هدر هستند. زیرا هیچ یک از فیلد های To: و From: در فرآیند نقل و انتقال ایمیل مورد استفاده هاست ها و راستی آزمایی قرار نمی گیرند.

 

هیچ یک از این فیلد ها برای ارسال پیام از طریق پروتکل SMTP مورد نیاز نیستند. حتی ممکن است با پیام هایی برخورد کنید که هیچ اطلاعاتی در این فیلدها نداشته باشند. اغلب پیام های اینچنینی یا اسپم هستند و یا پیام های تست مدیر سرورتان! 

 

خب، اگر فیلد های To و From خالی باشند، چگونه هاست های ایمیل می توانند تشخیص دهند که ایمیل از طرف چه کسی ارسال شده و به دست کی باید برسد؟ 

 

ابتدا بگذارید چهار فیلد کاملا متفاوتی که در ایمیل های ارسالی یک شخص به دیگری وجود دارند را با هم مقایسه کنیم:

 

From: آدرس فرستنده که در بخش قابل مشاهده هدر نمایش داده می شود. این آدرس در بسیاری از ایمیل های عادی و قانونی، معتبر و قابل شناسایی است. اما در اغلب ایمیل های اسپم، آدرسی جعلی و غیر معتبر است.

 

Return-Path: آدرسی است که توسط اولین هاست ایمیل که با کامپیوتر فرستنده پیام در ارتباط است، به صورت خودکار دریافت شده و در هدر درج می شود. این آدرس بیشتر اوقات در بخش مخفی هدر قرار دارد. این آدرس در ایمیل های عادی و با هدر معتبر، معمولا‌(و نه همیشه) با آدرس فیلد From یکسان است. احتمال اینکه این آدرس معتبر و قابل استناد باشد، خیلی بیشتر از آدرس فیلد From است. البته در یک هدر جعلی می توان این آدرس را هم تغییر داد.

 

To: آدرس گیرنده را نشان می دهد که همیشه در بخش قابل رویت هدر قرار دارد. این فیلد برای SMTP مصرفی ندارد، پس همانند From می تواند شامل هر عبارتی باشد.

 

for: آدرس گیرنده است که توسط اولین mail host از کامپیوتر فرستنده دریافت شده و از هاستی به هاست دیگر انتقال می یابد. برخی اوقات هاست ها این فیلد را در بخش مخفی هدر قرار می دهند. این فیلد اگر وجود داشته باشد معمولا دقیق و قابل استناد است.

 

نکته جالب و خطرناک اینجاست همانطور که هنگام ارسال یک بسته پستی، به آدرس صحیح و معتبر فرستنده نیازی نیست! شما نیازی به مشخص کردن اطلاعات from و return-path هم ندارید.  یعنی اینکه می توان کاری کرد که هیچ راهی برای برگشت پاسخ ایمیل به شما وجود نداشته باشد. هرچند که اگر شما یک اسپمر باشید، مطمئنا این مساله برای تان اهمیتی ندارد.

 

متاسفانه بسیاری از افراد و برخی برنامه ها برای حذف ایمیل های اسپم تنها به فیلد From دقت می کنند و پیام ها را بر اساس آن دسته بندی می کنند. خب، یک اسپمر می تواند هر آدرس دلخواهی را در بخش From قرار دهد، آدرس ساختگی، آدرس یک شخص بی تقصیر و از همه جا بی خبر، یا حتی ایمیل خود شما! پس هرگونه تلاش برای فیلتر کردن ایمیل های مشکوک بر اساس فیلد from چیزی به جز اتلاف وقت نیست.

 

شیوه شناسایی «هدر جعلی»!

در بخش های مختلفی به عبارت «هدر جعلی» اشاره کردیم. به شکل ساده، این عبارت یعنی اینکه یک اسپمر سعی می کند به گونه ای اطلاعات هدر را تغییر دهد که شما به هیچ وجه ردپایی نبینید و شک نکنید. جعل معمولا به دو صورت انجام می گیرد:

۱- اختصاص دادن یک نام  اشتباهی به هاست ایمیلی که قرار است ارسال شود.

۲- اضافه کردن چند خط اطلاعات مسیریابی تقلبی به هدر برای ساخت پیشینه جعلی برای ایمیل.

 

مورد اول در صورت دستیابی به نرم افزارهای لازم، به راحتی قابل انجام است. هاست های مبادله ایمیل هیچ گاه به نام سروری که ایمیل از آن صادر می شود، توجهی نمی کنند. هر چند که ممکن است برای ارتباط راحت تر، آی پی ماشین ارسال کننده را هم ثبت کنند.

 

اما مورد دوم سخت تر بوده و به یک کامپیوتر متصل به سرورهای ایمیل و همچنین یک "open relay" یا "open proxy" بر روی آن سرور نیاز دارد.

 

یک هاست ایمیل "open relay"، ماشینی است که وظیفه رد و بدل کردن ایمیل با افراد ناشناس را بر عهده دارد. برای این سرور مهم نیست که شما چه کسی هستید که ایمیل را فرستاده اید و همچنین علاقه ای برای آشنایی با گیرنده ایمیل هم ندارد. 

 

درست مانند فیلم های جاسوسی که آدم بد فیلم از یک مسافر بیگناه، برای ارسال برخی وسایل به نقطه ای دیگر و برای شخص  دیگری استفاده می کند.

 

البته سیستم های ارسال یکسره ایمیل متعلق به روزهای اولیه گسترش ایمیل هستند و امروزه همه مدیران سرور با خطر چنین ارتباطی آشنا بوده و معمولا به سرورها اجازه چنین ارتباطاتی را نمی دهند.

 

علی رغم کم شدن سرورهای "open relay" به دلیل آگاهی مدیران هاست ها، متاسفانه اسپمرها جایگزین خیلی بهتری را پیدا کرده اند: "open proxy" یا "zombie".  زامبی ها کامپیوترهای ویندوزی متعلق به کاربران خانگی بی تقصیر و بی اطلاعی هستند که به برنامه های ناشناس اجازه نصب شدن بر روی سیستم می دهند. این ماشین ها از لحظه اتصال به اینترنت، بدون اطلاع صاحبان شان، دائما در حال ارسال ایمیل های اسپم هستند. و مهمتر اینکه با این روش برای گیرنده اسپم، پیگیری اسپمر بسیار سخت می شود و معمولا همین زامبی از همه جا بی خبر تنها مبدا قابل شناسایی است. شاید باورتان نشود اما اگر مبانی امنیت را به خوبی رعایت نکرده باشید احتمالش زیاد است که کامپیوتر خود شما همین الان مشغول فرستادن ایمیل های اسپم بدون اطلاع خودتان باشد! 

 

طلسم شیطانی!

خب، از کجا بدانیم که کامپیوتر ما هم یک زامبی است؟ می دانید که نویسندگان این ابزارهای شیطانی تمام سعی شان را می کنند تا برنامه دور از چشم همگان به فعالیت اش ادامه دهد و نباید انتظار ردپای مشخصی را داشته باشید.

 

بهترین راه این است که همیشه مراقب فعالیت های غیر معمول شبکه و کامپیوتر خود باشید. دلیلی ندارد وقتی که از اینترنت استفاده نمی کنید و برنامه ای هم در حال بروز رسانی نیست، شبکه تان دچار ترافیک و تبادل اطلاعات باشد. بهترین روش برای چنین مراقبتی، استفاده از برنامه های پاکت اسنیفر است که به دقت حتی کوچک ترین اطلاعاتی را که قصد خروج از کامپیوترتان دارند، کنترل می کند. البته توضیح جزییات خارج از موضوع این دوره است اما بهترین راه مقابله با اسپمرها و جلوگیری از تبدیل شدن به زامبی، به روز نگه داشتن تمام  نرم افزارهای سیستم است. البته اسکن دوره ای کامپیوتر با یک آنتی ویروس به روز هم نباید فراموش گردد. اگر در دوره امنیت درسنامه شرکت نکرده اید فراموش نکنید که در آن ثبت نام کنید تا ضروریات لازم را یاد بگیرید (برای ثبت‌نام تنها کافی است که یک ایمیل خالی به security1@darsnameh.com بزنید).

 

هرگاه یک اسپمر یک سیستم ایمیل Open relay یا open proxy پیدا کند، به سراغ جعبه ابزارش می رود و با استفاده از این سیستم، یک تاریخچه جعلی مسیریابی برای ایمیل ها دست و پا می کند. وقتی هم یک شکارچی اسپم حرفه ای سرنخ ها را یکی یکی دنبال می کند، آخر سر به یک آی اس پی یا کاربر بی گناه از همه جا بی خبر می رسند.

 

مچ گیری اسپمر زرنگ

بهترین راه شناخت یک هدر جعلی همان دنبال کردن زنجیره انتقال (اطلاعات مسیریابی) از یک سرور به سرور دیگر است. این کار را از طریق نام و اطلاعات درون فیلد Received می توان انجام داد. نام هر هاست را تبدیل به آی پی کنید. آیا با آی پی ثبت شده در بخش Received مرتبط با آن نام هاست همخوانی دارد؟ اگر درباره هر کدام از هاست های زنجیره انتقال این همخوانی مشاهده نشود مطمئنا با یک هدر و ایمیل جعلی سروکار دارید.

 

متن پیام (Body)

بعد از این همه داستان درباره هدر، نوبت به بخش اصلی که معمولا هدف ما از ارسال ایمیل است، می رسد. body همان قسمتی است که ما پیام مان را برای گیرنده می نویسیم.

 

فیلد Content-type نشان دهنده نوع متن قرار گرفته در بادی است. در این مثال همانگونه که دیدید، پیام نوشته شده به صورت متن ساده یا Plain text است. ایمیل های فارسی هم که ما می فرستیم معمولا بدین صورت هستند:

 

 

 

اما متاسفانه بسیاری از سرویس ها و برنامه های ایمیل، سعی می کنند همه پیام ها (حتی پیام های متن ساده) را به صورت HTML پردازش کرده و به نمایش بگذارند. همانطور که در بخش امنیت هم اشاره کردیم، ایمیل های اچ تی ام ال پر از خطر و دردسر هستند. از قبیل:

 

* جاوا اسکریپت یا برخی قطعات کد خوداجرا، پنجره جدیدی باز می کنند و با نشان دادن یک پیام بی مورد و شاید جذاب، نمی گذارند شما توجهی به کد اجرا شده بر روی سیستم تان داشته باشید و یک موذی خرابکار بر روی کامپیوترتان نصب می گردد.

 

* آدرس های ایمیل گنگ و نامفهوم و لینک صفحات وب درون متن باعث می شود ردیابی جا و مکان اسپمر تا حدی مشکل شود.

 

* لینک های جاسازی شده و ناپیدای درون ایمیل های اچ تی ام ال، به اسمپر گزارش می دهند که شما پیام را دریافت کرده و خوانده اید! پس یک قربانی با ایمیل واقعی هستید. به این لینک ها حشرات وب یا آدرس های چراغ دریایی می گویند. ("web bugs" or "beacon URLs")

 

پس بهتر است که به این سادگی برای استفاده از ایمیل های HTML قانع نشده و پیام های تان را به همان صورت متن ساده یا Plain Text بخوانید و ارسال کنید.

 

برای آنالیز و بررسی متن HTML یک پیام، بهترین راه مشاهده کدهای منبع آن است، برای انجام این کار در مرورگرهای مختلف، گزینه های متفاوتی وجود دارد که معمولا با نام View-source یا View Page Source دیده می شود. راحت ترین راه دست یابی به آن هم راست کلیک کردن بر روی متن ایمیل و انتخاب گزینه مناسب است. 

 

توجه داشته باشید که یکی از شگردهای اسپمرها جلوگیری از راست کلیک بر روی پیام با استفاده از کدهای جاوا اسکریپت است. پس در هنگام بسته بودن راست کلیک، احتمالا با یک اسپم روبرو هستنید.

 

برخی اسپمرهای حرفه ای با استفاده از برخی کدهای ناشناس جاوا اسکریپت کاری می کنند که متن ایمیل به صورت عادی برای تان قابل مشاهده نباشد و اگر مشتاق دیدن آن باشید، باید به کدها اجازه دهید که روی کامپیوترتان لود شود. باید در برابر ایمیل های اینچنینی بسیار محتاط و با دقت رفتار کنید و مراقب اطلاعاتی که می خواهند به سیستم تان منتقل کنند، باشید. در واقع بهترین روش پاک کردن فوری این ایمیل هاست (پیش از باز کردن).

 

یکی دیگر از بخش های یک ایمیل فایل های پیوست یا Attachment هستند. حتی اگر ایمیل تان به صورت plain text باشد، باز هم هنوز در معرض خطر هستید. یک پیوست می تواند شامل متن، فایل اچ تی ام ال، فایل های زیپ شده  یا محتوای صوتی و تصویری باشد. اغلب ویروس های کامپیوتری از این شیوه برای انتقال استفاده می کند. 

 

و نتیجه گیری:

در اینجا مهمترین بخش های درس را مرور می کنیم اگر مطالب دو درس گذشته، مشکل به نظر میرسد این قست نتیجه گیری را با دقت بخوانید تا یک خلاصه ساده در ذهن داشته باشید:

 

- یک پیام ایمیلی از هدر (Header)، متن (Body) و در برخی موارد پیوست (Attachment) تشکیل شده است.

- هدر شامل اطلاعات مورد نیاز برای پیگیری و یافتن مبدا و مقصد پیام ارسال شده است.

- هدر کامل به ندرت در ایمیل ها نمایش داده می شود و معمولا باید از طریق منوها و چند کلیک به آن دست یابید. 

- لاین های Received به صورت زنجیره ای نشان دهنده مسیر سفر یک ایمیل از فرستنده تا گیرنده هستند.

- اسپمرها معمولا سعی می کنند با دست کاری و بازی با اطلاعات Received هدر جعلی بسازند. اما اینگونه تقلب ها گاهی قابل کشف هستند.

- اسپمرها معمولا با استفاده از سرورهای ایمیل بدون محافظت و یا کامپیوترهای زامبی برای ارسال پیام های جعلی استفاده می کنند.

- شما می توانید به راحتی یک پیام را تا نقطه ای که تقلب صورت گرفته به صورت مرحله به مرحله پیگیری و کنترل کنید، تا به اطلاعات مسیریابی نامطمئن و جعلی برسید.

- هاست هایی که پیام را دست به دست می کنند تا به شما برسد، ممکن است در بخش مسیریابی، اطلاعات کافی برای ردیابی موفق ذخیره نکنند.

- آدرس های نمایش داده شده در بخش From و To که برنامه مدیریت ایمیل به صورت معمول به شما نشان می دهد، اصلا قابل اعتماد و استناد نیستند و به راحتی جعل می شوند.  حتی آدرس های فیلد Return-Path و for هم چندان قابل اطمینان نیستند.

 

خب، حالا دیگر راحت تر می توانید یقه اسپمرها را بگیرید و در دام آنها گرفتار نشوید. مبارزه موفقیت آمیزی را برای تان آرزو می کنم.