我注意到我的雅虎帐户中存在一些传送错误,它提到了我的部分数据/电子邮件/服务器:
h2.adriantnt.com - my dedicated server
176.9.76.194 - ip of above server
[email protected] - my yahoo account where I found this message
[email protected] - my gmail address
我无法判断该垃圾邮件是否源自我的服务器h2.adriantnt.com或者只是一次虚假退回。
我在我的雅虎帐户中发现这个情况是非常奇怪的,据我记得,该服务器和我的雅虎电子邮件之间没有任何关联。
完整邮件头:
From [email protected] Fri Jul 31 04:31:05 2015
X-Apparently-To: [email protected]; Fri, 31 Jul 2015 04:31:08 +0000
Return-Path: <>
X-YahooFilteredBulk: 176.9.76.194
Received-SPF: pass (domain of h2.adriantnt.com designates 176.9.76.194 as permitted sender)
X-YMailISG: Fa14V5UWLDv21cseTePGzalGzxIgcTH1HukLGhxuTrQyeeWm
ju1btt1E2lyErmhpd0x2HZ_lKW3YyYQ5JyibcS97TtHX49wWdD_sPwp5sDPo
r25rL_yjngD8z7dKfvFER1Rt4WEf4FmcBLts_hqXI7x45jkIvsr.jADh7G7z
q_.FktPBgRSXqqsG9QxtnmFVEEHA0jcaFFxRBrse3znAzrtWaeel0s9hR2yl
RZ.c1oqWkBmNy3xGvfObcb7WSLCPk31LHHhHeuchj8kFv1Dqb7o4ZhuLpIjZ
QLC9pdGTjd6BO.Um9UvuQL1eRJSjEkq2ROcAu6zWqX4yfUCYLGRgDvYF7S5r
KeU5MA05pwOmo1zVRr3IzowrLpFofoMRsM9W8yeS8acykToHwJv_a7Bn6_K7
TsUgym2nP5zFf6Dt0gv5PHBvoPd33hegSLDNfFj.Ptu3B.GKeF0u8sCsK6Jo
lKKVZcUPCTfmADwpo_GuctJTkhBxb8kL2nB3z.No0005Y0WnSeAVkNFdq7Ua
M5RGz0HdcpOy4v6A98Nuum.q4Uf2_C5w5YQNqr0ZXeZRRFkdAu49.NZN_zMg
5LL3D3kmDOKH7VvwJTNR3rzx2fGDqY5kMitThfwR3VKO9casQ5owddaC9vvb
NMdDR1FuOgO6VY96rO_r5AKkJ9qpoZVJLJJa_JQrlgz.kgH3NBApaNvD7iO6
7ZbbnGMXoSLgz2yHPfvpo3x1YD6BGA58HksuaqF5tn33BZOslNkG7qknq6TL
nlw.7r0XmfCSQNn2vdeofVumb7raMRz3PEYlneWARE5hzoPYjUhlDHC7K7LX
8yZehn9OaN8TCIKhtI8fVynwqta1A2Sz8D4TLejVZCjzwnfJDFqXmWrcQSib
Nj19tp4z8uhYqhHiIb_aUt4039TItxokLOmUgn9D3h.dq6mGiATOmiMqNoc9
qdeMJcnj59vaB5C5bCfVzL8m8K55Wq_7Bd2NpXYa_bF4ZqyEyknZ2loSRsnc
TOgQ3aBI2eVAfG3sydlDC9Unua_7o8Ikl2b.4tlY5pfASVGF6JnEQEh7Xt6U
j5.MkwloHyptNALCSNPZW2u8UNDZQ52.RC2b63h31q.GkwxDnaLvjimryO48
Id9SeplxIgKqa6pUW46U6pZfYjtCDK8wCWpHrRc5SSSAgtKCNLmXOO7wqAkD
uDNSOhzL8WHrBgHWzDKMGudJykfvw2eptdUIKdHwLvcw52hEkTrTlaE.1ApZ
tkQh6XWl_ZstShuQuY7ba.9U0y1ltECJyVH5xADVSkwofiYsGEy8E2t2GkTP
AmcXE7c_0d_2AEs8eFJVK8dv8azBQbSHiyveEMAytRXLbsfnEOSDI_TuOR3H
xSsX10lpS6XhL1.kVkm6yyyl1oFYCff6nbEZ1nBjRoaa7AGbjmXBTbEodxA4
_4LAsr2JC1v0CbyagpaGbD21nUgekMKn411SigubFxN39V3Y7qkL38Wb4I2y
0Rk_6lJdiGi.Fgugn0QNZiI.jQm4MW_P53OLy3b83T7UgRw-
X-Originating-IP: [176.9.76.194]
Authentication-Results: mta1443.mail.ne1.yahoo.com from=h2.adriantnt.com; domainkeys=neutral (no sig); from=h2.adriantnt.com; dkim=neutral (no sig)
Received: from 127.0.0.1 (EHLO h2.adriantnt.com) (176.9.76.194)
by mta1443.mail.ne1.yahoo.com with SMTPS; Fri, 31 Jul 2015 04:31:07 +0000
Received: (qmail 15838 invoked for bounce); 31 Jul 2015 06:31:05 +0200
Date: 31 Jul 2015 06:31:05 +0200
From: [email protected]
To: [email protected]
Subject: failure notice
Content-Length: 5935
电子邮件内容 http://pastebin.com/yW4cLJ53
我附加了它 ^ 因为它包含此超级用户文本字段不支持的亚洲字符
其中我看到的
Received-SPF: pass (domain of facebookmail.com designates 66.220.155.151 as permitted sender)
这是一个有效的 Facebook IP,该消息是从 Facebook 界面发起的吗?
答案1
我无法判断这些垃圾邮件是否来自我的服务器
该邮件来自您的服务器176.9.76.194。但是,这是一封“退回”邮件,而非垃圾邮件。
这意味着有人试图将包含您的“发件人地址”的电子邮件发送到不存在的“收件人”地址,但该邮件被退回。
有两种可能性:
您的服务器已被黑客入侵,原始邮件来自您的服务器。
有人伪造了您的“发件人”地址的电子邮件。
垃圾邮件发送者总是这么做,并且大多数电子邮件标题很容易被伪造。
- “发件人:”地址
一些“已收到:”标头也可以伪造。
SMTP 邮件欺骗显示了使用开放(不安全)中继邮件服务器可以多么轻松地完成此操作。
但是,完整邮件的 pastebin 副本内容是:
您好。这是 h2.adriantnt.com 上的 qmail-send 程序。恐怕我无法将您的邮件发送到以下地址。这是一个永久性错误;我已放弃。很抱歉,它没有奏效。
送货地址是[email protected]。
因此看起来您的 qmail 服务器已被入侵,因为它告诉您它无法传递邮件(表明它首先尝试发送邮件)。
由于 Gmail 认为这是垃圾邮件,所以无法投递:
Remote host said: 550-5.7.1 [2a01:4f8:151:10c7::2 12] Our system has detected that this
550-5.7.1 message is likely unsolicited mail. To reduce the amount of spam sent
550-5.7.1 to Gmail, this message has been blocked. Please visit
550 5.7.1 https://support.google.com/mail/answer/188131 for more information. b4si2734370wic.119 - gsmtp
更新
根据聊天邮件中的对话,adriantnt.com会自动转发到 Gmail。
最可能的解释是,收到了一封伪造的电子邮件的退回adriantnt.com,将其转发给 Gmail,然后被 Gmail 拒绝为垃圾邮件。
这解释了上面的 qmail 消息。
什么是退回邮件?
在互联网的标准电子邮件协议 SMTP 中,退回邮件,也称为未送达报告/收据 (NDR)、(失败)送达状态通知 (DSN) 邮件、未送达通知 (NDN) 或简称为退回,是邮件系统自动发送的电子邮件消息,用于通知另一封邮件的发件人有关送达问题。原始邮件被称为已退回。
邮件传递过程中可能会出现多个错误。发件人有时可能会收到来自其邮件服务器的退回邮件,报告无法传递邮件,或者来自收件人邮件服务器的报告,报告虽然已接受邮件,但现在发现无法传递 - 当服务器接受邮件进行传递时,它还承担着在传递失败时传递 DSN 的责任。
由于各种原因,特别是伪造的垃圾邮件和电子邮件病毒,用户可能会收到他们从未发送过的消息的错误退回邮件。
来源退回邮件
我如何分析电子邮件标题?
有许多工具可以分析电子邮件头,其中一些可以显示链中的任何 IP 地址是否在垃圾邮件黑名单上。
这些工具还可以判断链中的任何“已接收:”标头是否是伪造的。
MxToolbox 电子邮件标头分析器
将您的电子邮件标题输入此工具将产生以下输出:
