在郵件伺服器上看不到電子郵件反向散射返回
我們有一封我們認為受到反向散射攻擊的使用者電子郵件。我們找不到帳戶被盜用的證據。使用者還表示他們沒有發送任何他們收到的電子郵件。在我們的系統中,當一封電子郵件被發送到使用者郵箱時,日誌將顯示如下一行:
LOCAL(username) delivered: Delivered to the user mailbox我發現有趣的是,根據他們所說的收到的退回郵件的數量,它與上面出現在日誌中的行數不一致,這等於返回到的電子郵件數量收件箱。對此有什麼想法嗎?
退回郵件應包含
Received至少顯示郵件通過的一些伺服器的標題。電子郵件標題是調查此類問題的寶貴資源。訪問標頭的方法因電子郵件客戶端而異,其中一些使訪問消息源變得容易。配置以
-alllike結尾的強 SPF 策略v=spf1 a mx -all應該可以減少反向散射。但是,它確實需要適當的政策。您可能想查看我的政策作為範例。垃圾郵件發送者在外發郵件中使用偽造的發件人地址是很常見的。他們可能在過去十年或兩年的某個時候收集了您使用者的電子郵件地址。
如果消息是反向散射的,您可能需要嘗試聯繫發送反向散射的管理員。但是,電子郵件可能旨在類似於反向散射。標題的內容
Received應該有助於確定哪個是哪個。每個處理消息的主機將接收到的標頭添加到標頭的頂部。第一個標頭中的 IP 地址總是正確的。除非存在欺騙性標頭,否則 IP 地址(如果存在)將是正確的。欺騙標頭上方的標頭也將具有正確的 IP 地址。除了 IP 地址之外,還應該有發送伺服器的域名。根據發送主機是否正確配置,EHLO/HELO 命令中可能使用了一個額外的域名。
這些標頭來自最近從 Facebook 收到的消息。他們在 HELO 命令中使用的域名與 rDNS 驗證發現的域名不同。第二個標頭來自生成消息的 facebook 伺服器。(收件人已被混淆,但其餘內容未修改。)
收到:來自 66-220-155-140.outmail.facebook.com ([66.220.155.140] helo=mx-out.facebook.com) 通過 mail.systemajik.com 使用 esmtps (TLS1.0:ECDHE_RSA_AES_128_CBC_SHA1:128) (進出口 4.86_2) (信封來自 <notification+y4krssa@facebookmail.com>) id 1bdfwX-0005HR-Mp 對於某人@example.com;2016 年 8 月 27 日星期六 11:54:51 -0400 收到:來自 facebook.com (c4xYYmwT/TJ03btpEcY4vvyPTWZL08E+gbfjjvUwuTSB8dW6JOUncubaoppFzCkE 10.224.41.31) 通過 facebook.com 與 Thrift id 915685ca6c6e11e69a620002c9da3c98-2a7fcaa0; 2016 年 8 月 27 日星期六 08:54:42 -0700這些標頭來自最近收到的垃圾郵件。此主機的 PTR 記錄不正確,因此 rDNS 驗證失敗。HELO 命令中的域確實通過了 rDNS 驗證。第二個標頭是由發送垃圾郵件的伺服器上的程序傳遞的郵件。IP 地址的缺失域高度指示垃圾郵件。
收到:來自 [96.30.32.176] (helo=host.sareesbazaar.in) 通過 mail.systemajik.com 使用 esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (進出口 4.86_2) (信封來自 <bonitto@host.sareesbazaar.in>) 編號 1bdgds-0005gm-C8 對於某人@example.com;2016 年 8 月 27 日星期六 12:39:58 -0400 收到:來自 host.sareesbazaar.in 與本地的鰹魚(Exim 4.87) (信封來自 <bonitto@host.sareesbazaar.in>) 編號 1bdgdg-0004rU-4n 對於某人@example.com;2016 年 8 月 27 日星期六 11:39:24 -0500