我们认为有一封用户电子邮件正遭受反向散射攻击。我们找不到该帐户被盗用的证据。该用户还表示,他们没有发送任何收到的电子邮件。在我们的系统中,当电子邮件发送到用户邮箱时,日志将显示如下一行:
LOCAL(username) delivered: Delivered to the user mailbox
我发现有趣的是,根据他们所说的退回邮件数量,这与日志中出现的上述行数不一致,后者相当于退回收件箱的电子邮件数量。对此有什么看法?
答案1
退回邮件应包含Received
标头,以显示邮件经过的至少部分服务器。电子邮件标头是调查此类问题的宝贵资源。访问标头的方法因电子邮件客户端而异,其中一些客户端可以轻松访问邮件源。
-all
配置以like结尾的强 SPF 策略v=spf1 a mx -all
应该可以减少反向散射。但是,这确实需要适当的策略。您可能需要查看我的政策作为示例。
垃圾邮件发送者在发送邮件时使用伪造的发件人地址是很常见的。他们可能在过去的十年或二十年里收集了您用户的电子邮件地址。
如果邮件是反向散射邮件,您可能需要尝试联系发送反向散射邮件的管理员。但是,电子邮件可能旨在模仿反向散射邮件。标题的内容Received
应该有助于确定哪个是哪个。
接收的报头由处理消息的每个主机添加到报头顶部。第一个报头中的 IP 地址始终是正确的。除非存在伪造的报头,否则 IP 地址(如果存在)将是正确的。伪造报头上方的报头也将具有正确的 IP 地址。除了 IP 地址之外,还应该有发送服务器的域名。根据发送主机是否正确配置,EHLO/HELO 命令中可能会使用额外的域名。
这些标头来自最近收到的来自 Facebook 的消息。它们在 HELO 命令中使用的域名与 rDNS 验证发现的域名不同。第二个标头来自生成该消息的 Facebook 服务器。(收件人已被混淆,但其余内容未经修改。)
已收到:来自 66-220-155-140.outmail.facebook.com ([66.220.155.140] helo=mx-out.facebook.com) 通过 mail.systemajik.com 使用 esmtps (TLS1.0:ECDHE_RSA_AES_128_CBC_SHA1:128) (Exim 4.86_2) (信封发件人 <[电子邮件保护]>) 编号 1bdfwX-0005HR-Mp 为了[电子邮件保护]; 2016 年 8 月 27 日星期六 11:54:51 -0400 收到:来自 facebook.com (c4xYYmwT/TJ03btpEcY4vvyPTWZL08E+gbfjjvUwuTSB8dW6JOUncubaoppFzCkE 10.224.41.31) 由 facebook.com 使用 Thrift id 915685ca6c6e11e69a620002c9da3c98-2a7fcaa0 发布; 2016 年 8 月 27 日星期六 08:54:42 -0700
这些标头来自最近收到的垃圾邮件。此主机的 PTR 记录不正确,因此未通过 rDNS 验证。HELO 命令中的域通过了 rDNS 验证。第二个标头是由发送垃圾邮件的服务器上的程序传递的消息。IP 地址缺少域,这高度表明这是一封垃圾邮件。
收到:来自 [96.30.32.176] (helo=host.sareesbazaar.in) 通过 mail.systemajik.com 使用 esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (Exim 4.86_2) (信封发件人 <[电子邮件保护]>) 编号 1bdgds-0005gm-C8 为了[电子邮件保护]; 2016 年 8 月 27 日星期六 12:39:58 -0400 已收到:来自 bonitto,由 host.sareesbazaar.in 使用本地 (Exim 4.87) (信封发件人 <[电子邮件保护]>) 编号 1bdgdg-0004rU-4n 为了[电子邮件保护]; 2016 年 8 月 27 日星期六 11:39:24 -0500