Il luppolo ha incontrato Altro per posta indesiderata rispetto a Mangime legittimo

1

Sfondo

Sto lavorando con le intestazioni delle email per il rilevamento dello spam. Ogni intestazione dell'e-mail contiene molti campi "Ricevuti:" intestazioni. Ogni intestazione "Received:" viene aggiunta da un server Smtp / Mail intermedio nel percorso dall'origine dell'e-mail alla sua destinazione.

Ho letto in un documento di ricerca che il numero di server Smtp / Mail intermedio incontrato in quel percorso è alto per la posta legittima e meno per la posta spam.

Ecco la spiegazione fornita: "Gli spammer hanno sfruttato un server relay predefinito per consegnare lo spam, quindi il numero di hop è limitato, mentre nel caso normale il numero di server relay può variare in base ai percorsi seguiti dal messaggio raggiungere la sua destinazione finale. "

Pensieri :

Il percorso della posta normale potrebbe essere: Mail User Agent, Agente di trasporto posta del mittente, Agente di trasporto posta di destinazione (IP ottenuto da MX Query) o catena di agenti di trasporto della posta di destinazione all'interno del dominio di destinazione.

Per la posta indesiderata, il percorso deve essere: spammer per aprire il server di inoltro, aprire il relay verso l'MTA di destinazione o una catena di agenti di trasporto della posta di destinazione all'interno del dominio di destinazione.

Quindi, il luppolo incontrato sarebbe quasi lo stesso.

Query:

Qualcuno può spiegare se l'analisi sopra è corretta? In che modo il numero di hop incontrati dalle mail legittime è più paragonato alle e-mail spam e perché la ricerca dice che "gli spammer hanno sfruttato un server relay predefinito per consegnare lo spam, quindi il numero di hop è limitato"

    
posta user10012 24.06.2016 - 19:08
fonte

1 risposta

3

Probabilmente è corretto in senso statistico. Una e-mail legittima probabilmente (ma non certamente) attraverserà diversi hop non solo sul lato di destinazione (che sono per lo più sempre gli stessi per un dato destinatario, quindi quel numero non è interessante) ma anche sul lato mittente, e questi verrà registrato nelle intestazioni ricevute.

Uno spam, tuttavia, mentre viene inviato da un relay, viene spesso inviato da un relay non smtp o da un trojan su un PC infetto. Questi vettori non aggiungeranno intestazioni ricevute. Lo spam avrà solo intestazioni ricevute se è trasmesso attraverso un server legittimo (ci sono diversi vantaggi e svantaggi nel farlo, non è una scelta molto comune per quanto posso vedere) o se lo spammer aggiunge intenzionalmente intestazioni ricevute false in un tentativo di confondere persone o programmi anti-spam che cercano di analizzare le intestazioni (e che è passivamente comune).

Quindi statisticamente non mi sorprende che gli spam in media abbiano meno intestazioni ricevute rispetto a quelli legittimi. Tuttavia, oltre ad aggiungere questo ad alcuni criteri di filtro di Bayes in un modo sufficientemente basso profilo che i principali spammer là fuori non iniziano ad aggiungere masse di intestazioni ricevute false alla loro robaccia, non vedo davvero un modo in cui puoi fare uso di questa intuizione.

    
risposta data 25.06.2016 - 02:57
fonte

Leggi altre domande sui tag