场景 1 – 发件人 SPF 配置错误

场景 1 – 发件人 SPF 配置错误

我时不时会收到带有明显恶意负载的电子邮件(例如带有有害宏的 Word 文档)。

我对这些电子邮件并不担心,因为我能识别它们,但我注意到这些所谓的发件人都是同一家公司的员工,我知道这家公司。无论如何,发件人的地址都是虚构的。

所以我的问题是:哪种情况更有可能发生?他们的邮箱被黑客入侵并滥用,还是我自己的邮箱被黑客入侵?

有办法知道吗?

答案1

很难肯定地说,但我认为这是最有可能的情况:

  • 发件人的域名没有防晒指数限制哪些 IP 地址可以为该域发送电子邮件的记录。

根据我的经验,我能想到的其他可能情况按可能性从大到小的顺序排列如下:

  • 发件人的电子邮件帐户或电子邮件服务器已被入侵,并正在向服务器上已知的联系人发送垃圾邮件。
  • 发件人的域名确实具有合理的 SPF 记录,但您的邮件服务器的反垃圾邮件软件不会检查欺骗性的电子邮件。
  • 您的邮件服务器或帐户已被入侵,恶意软件分发者正在使用您的联系人列表将恶意软件电子邮件放入您的收件箱。

场景 1 – 发件人 SPF 配置错误

这是最有可能的情况,因为你在您的问题的更新发件人的电子邮件地址是“虚构的”;欺骗发件人可能不一定知道目标域中任何真实的邮箱。

症状

您收到某人发来的电子邮件,但该人否认发送了该电子邮件。他们可能在已发送邮件文件夹甚至发送服务器的电子邮件日志中没有显示匹配的记录。

原因

发件人的域名没有防止欺骗的 SPF(发件人策略框架)记录。

诊断

example.com您可以使用以下命令检查域的 SPF 记录:

nslookup -type=TXT example.com

替换example.com为发件人的域名。您可能会看到如下记录:

"v=spf1 +a +mx +ip4:127.0.0.1 -all"

在上面的例子中,

  • +a表示允许域名 A 记录的 IP 地址代表该域名发送电子邮件。
  • +mx表示解析域名的MX记录,并允许这些域名也发送邮件。
  • +ip4:127.0.0.1表示允许该IP地址127.0.0.1为该域名发送邮件。
  • -all表示拒绝所有其他IP地址为该域名发送电子邮件。

如果发件人的 SPF 记录中没有该-all记录,则验证 SPF 的接收邮件服务器可能会接受任何人发送的欺骗性电子邮件。

Received:您可以通过阅读收到的恶意电子邮件中的标头来检查电子邮件的实际发件人。Received:标头的顺序与电子邮件经过的每个邮件服务器的顺序相反,但请注意,不是由您的邮件服务器添加的标头可能会被欺骗。Received:您的邮件网关添加的第一个标头显示了电子邮件的来源。示例:

Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
    by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
    (Exim 4.91)
    (envelope-from <[email protected]>)
    id 1gUudZ-00BGJx-L7
    for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600

在上面的例子中,电子邮件来自,该邮件通过了垃圾邮件发件人域上的40.107.81.54SPF 记录 ( ) 检查,因此该电子邮件被接受。"v=spf1 include:spf.protection.outlook.com -all"luxurylifestylereport.net

或者,如果您有权访问电子邮件服务器日志,您可以从那里读取电子邮件的来源。

解决

发件人的邮件管理员应为其域配置 SPF 记录,以防止垃圾邮件发送者冒充该域发送电子邮件。您无法做到这一点。

在邮政管理员解决此问题之前,您可以尝试调整反垃圾邮件设置以阻止带有恶意附件或垃圾内容的电子邮件。


场景 2 – 发件人的电子邮件被盗用

这种情况不太可能发生,因为您说这个问题时有发生,但其他人应该已经注意到并报告过这个问题。

症状

您可以在电子邮件标题中看到该电子邮件来自允许为发件人的域发送电子邮件的 IP 地址。

原因

该 IP 地址的邮件服务器或通过该 IP 地址发送邮件的服务器已被入侵。黑客可能还找到了发件人知道的联系人的副本,并试图向这些联系人发送电子邮件,希望找到可以联系的人。

诊断

与场景 1 相同的流程

解决

发件人的邮件管理员需要停止并保护他们的电子邮件系统。这不是你能做的事情。

在邮政管理员解决此问题之前,您可以尝试调整反垃圾邮件设置以阻止带有恶意附件或垃圾内容的电子邮件。


场景 3 – 接收邮件服务器不检查 SPF 记录

这种情况不太可能发生,因为垃圾邮件发送者不想浪费资源尝试伪造已经保护自己免受欺骗的域名的电子邮件。您可能还会收到大量来自其他域名的欺骗邮件。

症状

您收到某人发来的电子邮件,但该人可以证明他们没有发送该电子邮件。事实上,任何人都可以验证域的 SPF 记录是否配置正确,但您收到的电子邮件来自域的 SPF 记录禁止的 IP 地址。

原因

您的电子邮件服务器没有过滤掉欺骗性的电子邮件。

诊断

与场景 1 的过程相同,但您可以看到发件人的 IP 地址未通过 SPF 检查

解决

请参阅您的电子邮件服务器的文档以了解如何配置 SPF 验证。


场景 4 – 收件人电子邮件账户被盗用

这种情况不太可能发生,因为向你隐瞒你已被入侵的事实并利用你的电子邮件地址的良好声誉向他人发送垃圾邮件更有利可图。此外,恶意实体可能会将源电子邮件地址多样化。

症状

您的传入电子邮件日志未显示出现的电子邮件,或者收到的电子邮件的标题没有意义。

原因

有人希望通过将恶意软件电子邮件放入您已受感染的电子邮件帐户(但实际上不发送任何电子邮件)来获取对您的更多访问权限。可以通过 IMAP 协议添加电子邮件。

诊断

检查您的邮件服务器日志,查找您无法识别的身份验证。

解决

更改您的电子邮件帐户的密码。

相关内容