Headerit saattavat ensisilmäyksellä näyttää melkoiselle sekasotkulle, mutta todellisuudessa ovat yksinkertaiset lukea. Headeria luetaan aina alhaalta ylöspäin (alimpana on lähettäjä ja vastaanottaja ylhäällä heti ensimmäisellä rivillä, yleensä).
Jokainen postiohjelma tuottaa vähän erinäköistä headeria, esim. Applen laitteissa todennäköinen oikea lähettäjä näkyy heti headerin yläpäässä:
From – Mon Mar 20 07:28:49 2017
X-Account-Key: account1
X-UIDL: 00002eaf52a57e62
X-Mozilla-Status: 0011
X-Mozilla-Status2: 00000000
X-Mozilla-Keys:
Return-Path: <huuhaaosoite@vip.163.com>
X-Original-To: sinunosoite@yritys.fi
Delivered-To: sinunosoite@yritys.fi
Lähettäjäosoite on siis boldattuna, se kopioidaan ja liitetään mustalistalle, jolloin osoite torjuuntuu.
Muut kuin Apple:
Muissa mennään suunnilleen näin, tässä tapauksessa postin saaja on asiakas.aatu@firma.com ja lähettäjä info@huuhaapuuhaa.info
Alla olevassa headerissa huomioitavat kohdat on boldattu:
Received: (qmail 7740 invoked from network); 20 Mar 2017 07:10:08 -0000
Received: from unknown (HELO mx2-fi1.d-fence.eu) ([81.17.201.41])
by 10.7.4.151 with (DHE-RSA-AES256-SHA encrypted) SMTP; 20 Mar 2017 07:10:08 -0000
Received: from localhost (localhost [127.0.0.1])
by mx2-fi1.d-fence.eu (Postfix) with ESMTP id 1F7F52054A7F5
for <asiakas.aatu@firma.com>; Mon, 20 Mar 2017 09:09:46 +0200 (EET)
X-Virus-Scanned: No viruses found (D-Fence M-Safe, http://www.d-fence.fi/)
Authentication-Results: mx2-fi1.d-fence.eu (amavisd-new);
dkim=pass (1024-bit key)
header.d= huuhaapuuhaa.info;
domainkeys=pass (1024-bit key)
header.from=info@huuhaapuuhaa.info
header.d=paivittain.sanoma-jaaikakauslehdetpost.com
Received: from mx2-fi1.d-fence.eu ([127.0.0.1])
by localhost (mx2-fi1.d-fence.eu [127.0.0.1]) (amavisd-new, port 10024)
with ESMTP id AC3M8SMKs_ce for <asiakas.aatu@firma.com>;
Mon, 20 Mar 2017 09:09:44 +0200 (EET)
Received: from isolde.xobnicampaigns.co (isolde.xobnicampaigns.co [185.31.157.38])
by mx2-fi1.d-fence.eu (Postfix) with ESMTP
for <asiakas.aatu@firma.com>; Mon, 20 Mar 2017 09:09:44 +0200 (EET)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed; s=dkim; d=paivittain.sanoma-jaaikakauslehdetpost.com;
h=To:Subject:Message-ID:Date:From:Reply-To:MIME-Version:List-Unsubscribe:Content-Type:Content-Transfer-Encoding; i=info@ huuhaapuuhaa.info ;
bh=sx7AWTXoq6VdQvpTQZwJ+SJ1H6VhLR3ZS3Re1f1dqb8=;
b=3ugpZpFBmQEBNaV8JxEKt/xFYc/CD77BnSMsaQALyO8WOd29oFZzt/feePPW8oUQ9skgHvHnDfxv
r6v+vT+zio8Fr06jeKvt2BMe2DrGpi6uQb3WiLqQGWIBaiyzsTx1CUwHe3xQ7zl9YYNZBsoUa/j/
XtTri/NrW7YwWnsdgJ0=
DomainKey-Signature: a=rsa-sha1; c=nofws; q=dns; s=dkim; d= huuhaapuuhaa.info;
b=uLTDDIPBQhlMrJa1MG6f4QteWVeT6+M6+lKbSGkPdsCUp6sxSJJaKZFpiSRsvrtc8IctFHuQ4EAG
6G/EqeCwIMyM5x+LJGBa5Swstbsmg0w+vSJQKz0+ztpnI0dBV03Tdw3upcpOTUz4fcQ7y0i4SizN
NKqyQK9BFkMiCV0CZwg=;
To: ”Asiakas Aatu” <asiakas.aatu@firma.com>
Subject: =?UTF-8?B?UGlkw6QgaHVvbHRhIHN5ZMOkbWVzdMOkc2kgamEgdGlsYWEgbnl0IDJrayBwYWtrYXVzIE9tZWdhMzphIHZhaW4gOSw5MGU=?=
Message-ID: <26f703e56c7ccec69dab02b896f638b0@ huuhaapuuhaa.info >
Date: Mon, 20 Mar 2017 09:09:43 +0200
From: ”Huuhan puuhat” <info@ huuhaapuuhaa.info >
Reply-To: info@ huuhaapuuhaa.info
MIME-Version: 1.0
X-Mailer-LID: 125
List-Unsubscribe: <http://stats.madpredio.com/unsubscribe.php?M=59288277&C=b5c0ad57c8f5d64a3d7378cff13a37a7&L=125&N=117531>
X-Mailer-RecptId: 59288277
X-Mailer-SID: 117531
X-Mailer-Sent-By: 1
Content-Type: multipart/alternative; charset=”UTF-8″; boundary=”b1_43d1e164a89b3515cbe1b1b805b78278″
Content-Transfer-Encoding: 8bit
–b1_43d1e164a89b3515cbe1b1b805b78278
Content-Type: text/plain; format=flowed; charset=”UTF-8″
Content-Transfer-Encoding: 8bit
Eli headerista pitää etsiä samankaltaisuuksia, kuten tässä esimerkissä on nyt boldattuna. Kun useampi näistä korreloi keskenään, on löydetty potentiaalinen oikea lähettäjä, joka voidaan lisätä estoon. Jos headerista löytyy vielä envelope sender (Esimerkissä sitä ei ole) niin se kertoo varmuudella postin todellisen lähettäjän.
Ohjeita:
Lisäämällä koko osoite info@ huuhaapuuhaa.info estetään vain tämä tietty osoite, mutta mikä tahansa muu @huuhaapuuhaa.fi – osoite pääsee läpi. Näin torjutaan esim yleissähköpostiosoitteista tulevat turhakkeet, kuten esim huuhaa.puuhaa@gmail.com, kun koko domainia ei voida torjua.
Jos halutaan torjua koko domain, torjuntaan lisätään vain @huuhaapuuaa.info, jolloin kaikki domainin osoitteet torjuuntuvat.
Jos halutaan torjua koko domain ja myös sen alidomainit, torjuntaan lisätään piste.
Esimerkki: @.huuhaapuuhaa.info, jolloin torjuuntuu @sales.huuhaapuuhaa.info, @customer.huuhaapuuhaa.infojne.
Tämän kanssa pitää olla tarkkana, ettei vahingossa tule torjuneeksi hyödyllisiäkin osoitteistoja.
Kaikista torjunnoista lähettäjälle menee virheilmoitus, joka kertoo miksi posti on torjuttu. Jos vahingossa tulee lisättyä todellinen osoite mustalistalle, lähettäjä saa kyllä siitä tiedon.