我们利用 Lucy Security 向我们的用户发起网络钓鱼活动。电子邮件中包含一个登录页面的链接。点击后,统计信息将发送到我们的网络钓鱼平台,其中包括点击的用户、点击时间以及点击的 IP。
我们在反垃圾邮件(Defender 365)中将 Lucy Security 的服务器 IP 列入白名单,以便垃圾邮件可信度设置为 -1,不检查附件和链接等。到目前为止,我们没有从 Microsoft IP 获得太多点击。
问题是,我们从属于 Google Fiber、亚马逊、Verizon 和一些我从未听说过的美国电信公司的 IP 获得点击(我们在加拿大)。所有这些 IP 都在美国。这怎么可能呢?
我认为应该发生的事情是这样的:
- Lucy 将电子邮件从其内部服务器发送到我们的 Exchange 邮箱(由 Microsoft 365 托管)
- 这些电子邮件在微软内部进行了几次转发
- 我们列入白名单的所有反垃圾邮件措施均被跳过
- 电子邮件将发送至我们的邮箱
当我查看我收到的 Lucy 电子邮件的标题时,似乎确实发生了这种情况,但我们却从美国的一些本地 ISP 获得了点击。
几点说明:
- 我在制作这些钓鱼邮件时会伪造地址。伪造的地址放在发件人标头和返回路径标头中。我做当欺骗来自知名域名(例如 protonmail.com)的地址时,会比欺骗随机域名的地址获得更多的不必要的点击。
- 我们没有异地工作人员,即我们所有的用户都在我们的一个公共 IP 后面。
我不明白什么?这些电子邮件是如何在美国某处被点击的(似乎是被反垃圾邮件的)?有人知道从哪里开始解决这个问题吗?如果您需要更多信息,请告诉我。
答案1
您的用户不会首先将公司电子邮件的副本转发到私人地址。
(例如,更轻松地管理/集成日历与手机、在办公桌外获取通知、与家人共享日历,当然还可以在手机的原生应用中阅读邮件。)
之后发生的事显然超出了你的控制范围。
您注册的“点击”可能来自各种来源,例如:
- 您的用户的移动网络
- 您的用户在家中或其他地方访问的任何 WiFi 点
- 他们自己或他们的提供商(基于云的)的安全工具测试,看看检测到的链接是否需要被视为恶意的并应该被阻止
- 确实是收件人的实际点击。
例如,苹果在 macOS Monterey 和 iOS 15 中引入的隐私保护措施就发挥了这种作用。请参阅https://support.apple.com/guide/mail/use-mail-privacy-protection-mlhl03be2866/mac或者https://support.apple.com/guide/iphone/use-mail-privacy-protection-iphf084865c7/ios
这些工作原理是,在(预)加载(除其他外)电子邮件内容时使用随机分配的 IP 网络充当代理。
这很容易解释为什么你可以从不太可能的 IP 地址点击这些电子邮件链接。