应用邮件系统自动回复的漏洞,伪造大量的发件人给某个邮箱发信,从而使用自动回复反弹发送大量的垃圾邮件。
这种伪造就是mail from伪造,目前在整个行业里,受SMTP协议本身实现的限制,技术上还无法根本杜绝“mail from”伪造。因而263网络通信的“反垃圾”攻防实验室就这一问题展开了全面的研究与分析,并制定解决方法。
当你碰巧收到朋友发过来的垃圾邮件时,而你的朋友也确实没有发过这样的垃圾邮件,这就是垃圾邮件发送者对“mail from”进行了伪造。垃圾邮件发送者可以用任意的一个“mail from”来发送垃圾邮件,之所以伪造是为了让垃圾邮件更加隐蔽,但是他所发送的垃圾邮件内容是不变的,也正是这个原因暴露了垃圾邮件的特征之一:即mail from与from地址的不一致。
263网络通信的反垃圾专家TONY,推了推眼镜,点头道:“垃圾邮件发送者太狡猾了,这mail from好比传统邮件信封上的寄件人地址,而from好比传统邮件信纸上的写信人地址。正常的邮件发送是两个地址都一样的,如果这两个不一样,就有垃圾邮件的嫌疑。”
在技术专家们的配合下,一套SMTP检查系统很快上线,凡是应用263服务器发送的邮件,都必须核准mail与mail from的地址,垃圾邮件发送者在进行邮件地址伪造的时候就会被263邮件服务器跟踪。一旦发送邮件超过一定数量现两个地址有不一致的情况,就可以判定属于垃圾邮件。
那么,是不是所有的垃圾邮件都是伪造mail from造成和from地址不一致呢?显然不是的,反垃圾专家TONY再次陷入了深思:邮件系统中负责传送邮件的服务器有两个角色,一种是接收用户发送的邮件,另一种是负责接收别的邮件服务器投递给本服务器用户的邮件。在发送端可以发现垃圾邮件的蛛丝马迹,在接收端是不是也可以呢?敬请关注下期内容:《同域认证,识别伪造同域垃圾邮件》
“反垃圾”攻防实验室友情提示:mail地址与mail from地址的不一致是垃圾邮件的重要特征之一,反垃圾工作者通过对邮件的mail与mail from进行比较来识破伪造的垃圾邮件,从而实现“反垃圾”。
(出处:http://www.sheup.com)