| 中國的網(wǎng)民數(shù)量已突破1 億,每年電子郵件發(fā)送量達(dá)500 億封,但是這樣的數(shù)據(jù)卻并不能令我們驚喜,因?yàn)樵谶@500 億封電子郵件中,有將近60%也就是有300 億封是垃圾郵件。垃圾郵件已經(jīng)成為一個(gè)綜合性的社會(huì)問題,要想從根本上杜絕垃圾郵件的泛濫,必須采取全民總動(dòng)員的方式。由政府出面組織立法,行業(yè)制訂規(guī)則、積極協(xié)調(diào),郵件服務(wù)商則提供技術(shù),用戶積極參與、協(xié)同合作。只有這樣,形成一個(gè)大眾化的反垃圾郵件聯(lián)盟,才能從根本上取得顯著成效。
反垃圾郵件技術(shù)之 密徑尋源 濫用SMTP 垃圾郵件泛濫的今天,如果收到了垃圾郵件,你可能會(huì)根據(jù)郵件的提示采用取消訂閱的操作,而這些取消訂閱的方法根本就是一種偽裝,幾乎沒有一個(gè)是有效的。相反,郵件的發(fā)起者卻根據(jù)你的反饋信息,將你的郵件地址納入有效投遞用戶數(shù)據(jù)庫,得不償失。追其原因,主要和商業(yè)利益以及SMTP協(xié)議的安全機(jī)制不健全有關(guān)。 SMTP協(xié)議對我們來說,應(yīng)該是再熟悉不過的了,但是,這個(gè)協(xié)議在創(chuàng)建的時(shí)候并沒有考慮到未來的郵件會(huì)成為垃圾,因此安全性很差(人們還是以RFC524為基礎(chǔ)來執(zhí)行SMTP的),郵件頭可以任意創(chuàng)建、偽造和修改。郵件服務(wù)器一般不檢查發(fā)送者的內(nèi)容,而只關(guān)心接收者,這就給了垃圾郵件發(fā)送者可乘之機(jī)。互聯(lián)網(wǎng)上的SMTP認(rèn)證是針對無限制轉(zhuǎn)發(fā)采取的措施。所謂無限制轉(zhuǎn)發(fā),就是任何人都可以使用你的服務(wù)器發(fā)送郵件,一方面降低了投入成本,另一方面隱藏了真實(shí)的來源。隱藏真實(shí)地址的原因主要是因?yàn)槔]件發(fā)送在許多國家屬于違法行為,另外,垃圾郵件發(fā)送者(spammer)都明白垃圾郵件是不受歡迎的,通過偽造發(fā)送者地址,就可能減少這種反應(yīng)。早在2002年的時(shí)候,歐美的一些IT技術(shù)論壇上,關(guān)于因?yàn)榇罅康睦]件引起了西方ISP屏蔽中國郵件服務(wù)器的“熱潮”,就曾經(jīng)廣為部署過。當(dāng)時(shí),中國電信的202.96.0.0—202.111.255.255范圍內(nèi)的全部地址都被屏蔽,這都是垃圾郵件惹的禍。服務(wù)器被中繼(Open Relay)的現(xiàn)象不但阻止垃圾郵件的首要任務(wù),而且也是病毒郵件泛濫的罪魁禍?zhǔn)住? 解讀信頭 追蹤?quán)]件將很大程度依靠對郵件頭的分析,RFC2076 列出了多數(shù)通用的消息頭,此外也可以參考RFC2822。比如在Outlook Express中,我們可以通過點(diǎn)擊郵件的高級屬性打開郵件頭部的信息(圖1),一個(gè)郵件頭中常用于分析的項(xiàng)目如下: 1. Return-Path: eberlyolabode@domian1.net ;回復(fù)時(shí)發(fā)送的地址。很容易被偽造,但常常提供線索,比如有些垃圾郵件經(jīng)常用該域指向一個(gè)合法的郵件地址,以便spammer能夠接收到回復(fù)的郵件; 2. Delivered-To: nospammer@mymail.com;和后面的“To”相同,收信人地址; 3. Received: from mail.domian1.net (unknown [192.168.x.148]) by mail.domain2.com (Postfix) with ESMTP id 66B1612191F for ; Mon, 24 Jul 2006 05:11:54 0800 (CST) 郵件頭中最可信部分。一般會(huì)有幾條,形成站點(diǎn)列表,這些信息表明達(dá)到目的地過程中郵件所經(jīng)過的服務(wù)器,域名都是郵件服務(wù)器自動(dòng)插入的,spammer 可以偽造,但是在被偽造以后經(jīng)過的域名是可信的。這個(gè)列表從下往上表明了服務(wù)器路徑,最上面的一條Received是最終目的郵件服務(wù)器,也就是自己要接收郵件的服務(wù)器,除非它也出現(xiàn)了問題。Receive 語句的基本表達(dá)格式是:from Server A by Server B,Server A 為發(fā)送服務(wù)器, Server B 為接收服務(wù)器。ESMTP ID 表示 4. Message-ID: 000001c6ae9c$a563a520$a4e8a8c0@saj61> ,郵件系統(tǒng)在創(chuàng)建郵件時(shí)的唯一標(biāo)記(參考RFC822 、RFC1036)。也經(jīng)常被偽造,但如果是正常的,那么Message-ID:也通常能確定發(fā)送者所登錄的系統(tǒng),而不僅僅是郵件被創(chuàng)建的系統(tǒng)。Message-ID 的結(jié)構(gòu)同郵件服務(wù)器程序有直接關(guān)系,不同的郵件服務(wù)器的ID也不相同,但區(qū)別于ESMTP ID; 5. 服務(wù)器產(chǎn)生的ID 也不一樣,有時(shí)相同郵件服務(wù)器的不同處理也會(huì)產(chǎn)生不一樣的ID 6. Reply-To: "Olabode Eberly" eberlyolabode@domian1.net> 回復(fù)地址,被偽造; 7. From: "Olabode Eberly" eberlyolabode@domian1.net> 發(fā)信人地址,被偽造; 8. To: nospammer@ mymail.com 判別源頭的要點(diǎn) 一個(gè)完整的郵件傳輸過程如下:“郵件發(fā)送者→ MUA → MTA → 網(wǎng)絡(luò)傳輸→MTA → MDA→ 可能會(huì)有的郵件過濾 →MUA → 郵件接收者”。通過郵件傳輸原理,就可以將每個(gè)環(huán)節(jié)的不同特征拿出來,這為我們判別垃圾郵件帶來幫助(圖2)。 
l MUA (Mail User Agent) Mail Client端的軟件,它幫我們傳送與接受Mail,使用者通過它來跟 Mail Server 溝通,最常見的 MUA 有 Outlook Express和Fox Mail等 l MTA (Mail Transfer Agent) 它的作用是幫助我們把Mail傳送給其它Mail Serve,同時(shí)接受外部主機(jī)寄來的信件,所有的 SMTP servers 都可稱為 MTA。 l MDA (Mail Delivery Agent) 這項(xiàng)服務(wù)是用來把 MTA 所接受的Mail傳遞至使用者 Mailbox(收信箱)里面,部分SMTP Servers 也兼顧這MDA的角色。 l 收信、發(fā)信人地址 在我們收到的垃圾郵件中經(jīng)常遇到發(fā)信人是我們自己的名字,或者收信人根本是與自己毫無關(guān)系的名字。這是因?yàn)槭招湃说腗UA會(huì)從郵件中提取,F(xiàn)rom、To、Date字段,如果發(fā)信人的MUA不是按照正常的邏輯工作的,或者發(fā)信人有意的使用垃圾郵件發(fā)送軟件,那么就會(huì)變更MAIL FROM 和RCPT TO 的值,使其擁有了不同的郵件地址。這個(gè)時(shí)候,MAIL FROM的值絕對是不可信的,而發(fā)信者為了得到收信人的反饋信息,所有我們可以通過RCPT TO 中的域名地址來定位來源。 l 非法中繼 如果發(fā)信人使用的不是自己所擁有的郵件服務(wù)器,在傳輸過程中使用互聯(lián)網(wǎng)上帶有Open Relay漏洞的服務(wù)器,這就為判別郵件的真實(shí)來源帶來的困難。在Received字段中如果包含了既不是發(fā)信人,又不是收信人域名的郵件服務(wù)器,這就很有可能是被非法中繼的服務(wù)器,我們可是使用TELNET等工具測試這臺(tái)服務(wù)器是否具有Open Relay漏洞。 l 反向解析不同 如果發(fā)信人的域名為sender.com,但他在SMTP對話中的HELO命令后冒充另外一個(gè)域名是,比如 HELO testname.org ,此時(shí)信件的Received字段很有可能是如下形式:Received: from testname.org (sender.com [192.168.100.100]) by……, 我們通過對testname.org進(jìn)行反向地址查詢后,就能發(fā)現(xiàn)IP地址信息與這個(gè)域名地址不符。 l 查找偽造的Received 由于怕暴露自己的真實(shí)信息,垃圾郵件的發(fā)送者經(jīng)常在郵件頭中插入大量的Received行。如果你的郵件頭中存在大量的Received字段,最后幾行一般是被插入的,因?yàn)樾偶坏╇x開主機(jī)后,發(fā)信人是無法進(jìn)行控制的,所經(jīng)過的郵件服器將自動(dòng)將信息加入到信頭頂部。從上到下追蹤From和by的信息,以及IP的路由信息,是可以判別那些行是被偽造的。 評論: 通過上述內(nèi)容我們有可能查找出郵件的真實(shí)發(fā)送IP,將其屏蔽,但如果發(fā)信方采用撥號(hào)的方式進(jìn)行發(fā)送,或者機(jī)場經(jīng)常更換地址,這就增加了判別正確的可信度。早在 1999 年,垃圾郵件與病毒郵件還未成為全球IT業(yè)關(guān)注議題時(shí),制定因特網(wǎng)與電子郵件相關(guān)標(biāo)準(zhǔn)的 IETF/IRTF等單位就提交文件 RFC 2505, 針對反制垃圾郵件的 SMTP MTA 主機(jī)設(shè)計(jì)提出規(guī)劃建議:需要SMTP MTA 主機(jī)應(yīng)針對郵件發(fā)送來源進(jìn)行通透解析,判定是否具匿名、偽造、濫發(fā)等非法行為,以采取退件或延遲反制機(jī)制;RFC 2505 更提出技術(shù)洞見,預(yù)言具彈性辨識(shí)機(jī)制、精良設(shè)計(jì)的 MTA 才能時(shí)時(shí)因應(yīng)垃圾濫發(fā)者的反制手法。深度垃圾郵件行為解析必需在 MTA 階段執(zhí)行,以郵件傳輸值追蹤技術(shù)、郵件通訊行為解析技術(shù)與預(yù)設(shè)濫發(fā)者類型 Pattern,追蹤、驗(yàn)證并判斷來信是否為垃圾郵件。絕非淺層郵件行為解析如聯(lián)機(jī)次數(shù)分析、發(fā)送 IP 地址、發(fā)送時(shí)間、發(fā)送頻率、收件者數(shù)目、淺層電子郵件標(biāo)頭檢查、發(fā)送行為偵測與檢驗(yàn)Handshaking 聯(lián)機(jī)階段等信息可判斷。 |
免責(zé)聲明:本站部分文章和圖片均來自用戶投稿和網(wǎng)絡(luò)收集,旨在傳播知識(shí),文章和圖片版權(quán)歸原作者及原出處所有,僅供學(xué)習(xí)與參考,請勿用于商業(yè)用途,如果損害了您的權(quán)利,請聯(lián)系我們及時(shí)修正或刪除。謝謝!
始終以前瞻性的眼光聚焦站長、創(chuàng)業(yè)、互聯(lián)網(wǎng)等領(lǐng)域,為您提供最新最全的互聯(lián)網(wǎng)資訊,幫助站長轉(zhuǎn)型升級,為互聯(lián)網(wǎng)創(chuàng)業(yè)者提供更加優(yōu)質(zhì)的創(chuàng)業(yè)信息和品牌營銷服務(wù),與站長一起進(jìn)步!讓互聯(lián)網(wǎng)創(chuàng)業(yè)者不再孤獨(dú)!
掃一掃,關(guān)注站長網(wǎng)微信
大家都在看
