Denna sida skrevs ursprungligen år 2000 för ABC-klubbens, en del av informationen är numera lite inaktuell, men principerna gäller fortfarande.
För att kunna svara på den frågan bör vi kanske först definiera vad SPAM är, en lämplig definition är nog "en oönskad skräp-försändelse där avsändaren försökt göra sig icke spårbar och som normalt, men inte nödvändigtvis, skickas som massutskick".
Anledningen till valet av ordet "försändelse" är att SPAM inte bara skickas som e-post, det är dock e-post-SPAM som denna sida handlar om.
Har du nu fått e-post-SPAM?
Det absolut enklaste är helt enkelt att radera brevet. Det effektivaste är antagligen att klaga hos rätt instans. Det man absolut inte skall göra är att svara på brevet, inte ens om det står i brevet att det är just svara på det man skall göra för att slippa fler brev. Det är nämligen så att vissa spammare skickar brev på måfå, till adresser som de inte är säkra på att nån läser. Om du då svarar på ett SPAM-brev har du gett spammaren en kvittens på att den adressen går bra att använda för SPAM!
Om man nu skall klaga, vem ska man klaga till? Naturligtvis ska man klaga till den som äger ip-adressen som användes, de är ju de enda som eventuellt kan spåra individen bakom brevet. Det kan också vara lämpligt att klaga på eventuella mellanliggande e-post-servrar som har vidarebefodrat brevet, men i det fallet gäller det att tänka efter. Hade de kunnat identifiera brevet som "obehörigt"? Det är ju bara om de tagit emot ett brev från någon okänd och skickat det vidare som de gjort fel. Det gäller alltså att för varje steg ställa sig frågan: Hade de kunnat identifiera detta som SPAM?
När vi har listat ut vilken domän som vi bör klaga hos så skickar vi hela brevet, med kompletta headerrader (i vissa e-post-program kan man vara tvungen att klippa och klistra för att få med dem, se lista för några olika program här), till abuse@domänen och postmaster@domänen. Det förstnämnda är en adress som de flesta seriösa företag numera har satt upp för att just ta hand om klagomål, det andra är en adress som skall finnas hos varje e-post-server (vi skickar dit ifall domänen inte har någon abuse-adress). Det händer att man får svar från abuse-adressen att SPAM skall rapporteras till någon annan adress, då får man såklart göra det.
Man kan behöva klaga till flera domäner om man inte helt säkert kan lista ut vilken som är rätt, man bör då se till att informera i klagobrevet om vart man har skickat klagomål (lämpligen genom att se till att alla adresserna man klagat till står på To:-raden).
Svaret på frågan är inte lätt, man måste ha lite grundläggande information om hur e-post skickas på Internet för att ta reda på det. Spammaren har använt ett e-postprogram och brevet har till slut hamnat i din brevlåda, men hur kom det dit?
Det enklaste är att börja baklänges, hur kom brevet in i din brevlåda? Jo, den e-post-server som du har brevlådan hos la dit det eftersom den fick ett brev som var adresserat till dig. Men vem fick e-post-servern det från då? Antingen kan det ha kommit direkt från spammaren eller via någon annan e-post-server (som i sin tur kan ha fått det direkt från spammaren eller via ytterligare en annan e-post-server). Att en e-post-server skickar vidare till en annan kallas relaying, vi kommer att använda den termen här eftersom förekommer så flitigt att det är onödigt att förvirra genom att använda motsvarande svensk term. Eftersom det kan användas för att skicka SPAM så har de flesta servrar olika begränsningar vad det gäller relaying.
Eftersom spammaren anstränger sig för att vara anonym så är det normalt svårare att spåra ett SPAM-brev än ett normalt brev, vi kan normalt anta att en spammare skickat via minst en extra e-post-server och att han vidtagit andra åtgärder för att försvåra spårningen. De åtgärder en spammare kan vidta kommer vi att ta upp nedan i samband med att vi talar om hur man kan genomskåda dem.
För att klura ut vilka vägar brevet tagit behöver vi veta mer de protokoll som används.
Det protokoll som normal används för att skicka e-post på internet heter SMTP och är definierat i RFC 821 (den är även standard STD 10). Kort kan man säga att SMTP egentligen är gjort för att e-post-servrar som litar på varandra ska kunna skicka e-post mellan varandra, men SMTP används idag även för att skicka e-post från en klient till en e-post-server vilket det inte är riktigt lämpat för. Det finns ett förslag på ett bättre protokoll för detta, RFC 2476, men det används vad jag vet knappt alls. Observera att så som SMTP är gjort så vet en mottagande e-post-server inte om det är en annan server eller ett e-post-program som skickar brevet!
Protokollet SMTP är ett protokoll där det är den sändande datorn som talar om allt för den mottagande servern (se exempel här). Detta är svagheten, eftersom den sändande datorn kan tillhöra en spammare. Den sändande datorn talar om vad den heter, vem brevet är från och vem det ska till. Denna information är dessutom skiljd från själva texten i brevet, det kallas ofta för "kuvert" (envelope på engelska), så mottagaren ser det normalt inte om inte e-post-servern ser till att stoppa in det i brevet på något sätt.
E-postservern stoppar normalt in kuvertet genom så kallade Received-rader. Där talar den om vad den heter, vem den fick brevet från (egentligen vem avsändaren påstår sig vara),ip-adress och den exakta tidpunkten. IP-adress och exakt tidpunkt är den information som en internetoperatör kan behöva för att i sina loggar kunna kontrollera vem som vid ett visst tillfälle hade fått den adressen tilldelad sig. Eftersom varje e-postserver gör detta så skall varje e-post-server, utom den sista och eventuellt den första, normalt finns med på två sådana rader. Detta är viktigt att känna till eftersom en spammare kan stoppa in falska Received-rader. (Det finns undantag från detta, främst om brevet skickats via något robotprogram så som en listserver för en mailinglista, men när SPAM skickas på det viset så är det de som håller i mailinglistan som brukar ta hand om det.)
Genom att följa Received-raderna, från vår egen e-postserver och bakåt, så kan vi se vilken väg brevet har gått och var det troligen sändes från. Det gäller att läsa informationen kritiskt, vilket vi kommer att se i de exempel vi har.
De som driver e-post-servrar är idag tämligen medvetna om SPAM och har i de flesta fall vidtagit de åtgärder som går att vidta utan att för dens skull spärra önskad e-post. Det finns ett dokument, BCP 30, som beskriver ett antal punkter just för detta. En av de åtgärderna brukar vara att man inte tillåter relaying hur som helst. En e-post-server brukar bara acceptera brev som antingen är adresserade till någon lokal adress eller som skickas från en betrodd ip-adress (det brukar vara de adresser man själv har kontroll över). I ABC-klubbens fall så accepterar servern alltså bara brevet om det antingen är adresserat till någon@abc.se eller skickas från klubbens modempool. Det första måste den göra eftersom annars skulle vi inte kunna få nån post, det andra måste den göra annars skulle vi inte kunna skicka någon post (eftersom de flesta e-postprogram idag är gjorda för att skicka brevet via en enda så kallad smart host, kallas även SMTP-server).
Hur man hittar Received-raderna beror på vilket e-postprogram man använder. Här finns en lista för några av de vanligaste programmen.
Här finns några exempel på hur Received-rader och andra headerrader kan se ut och information om hur man tolkar en Received-rad.
Eftersom domännamnen och adresserna i SMTP går väldigt lätt att förfalska (se bara i SMTP-exemplet) så måste man i de flesta fall gå på ip-adressen. För att kontrollera ip-adressen kan man antingen göra en så kallad baklängesuppslagning i DNS, eller så kan man kontrollera med whois vem som äger adressen. Den som äger adressen brukar dock i de flesta fall vara en internetoperatör så det ger sällan något bra svar.
För att spåra en ip-adress måste man kunna göra DNS-uppslagningar och whois-sökningar. Det finns program för detta, tyvärr ingår de inte i alla operativsystem men här finns länkar till web-sidor som kan användas för detta.
När det gäller web-baserad e-post som till exempel Hotmail så ligger ju själva e-postprogrammet hos Hotmail, användaren använder ju bara en webbläsare. Det är Hotmail medvetna om och de lägger in information om vilken ip-adress användaren hade. De skulle kunnat gjort det som en Received-rad (som rekommenderas i BCP 30), men har av nån anledning valt att lägga det som en extra headerrad som heter X-Originating-IP. Det är där man skall leta efter ip-adressen för den som skickade brevet om det kommer från Hotmail (andra ställen använder liknande lösningar).
Vi har ett par exempel här, ett med ett egenhändigt skapat brev och ett med ett gammalt äkta SPAM. Klarar du att hänga med där har du förstått allt, men bli inte orolig om exemplen verkar svåra, för de är ganska svåra och det krävs lite träning och kreativitet innan man lär sig. De flesta SPAM är inte alls svåra att spåra, det beror på att för en spammare är det enklare att skaffa ett gratiskonto nånstans för sina SPAM eftersom det värsta som kan hända normalt bara är att kontot stängs (och vem blir ledsen för att bli av med ett gratiskonto när det bara är att skaffa ett nytt).