|
垃圾邮件追踪实例
SMTP协议对我们来说,应该是再熟悉不过的了,但是,这个协议在创建的时候并没有考虑到未来的邮件会成为垃圾,因此安全性很差,邮件头可以任意创建、伪造和修改,而邮件服务器一般不检查发送者的内容,而只关心接收者。这就给了垃圾邮件发送者可乘之机,比如,通过Outlook就可以伪造邮件头。为了对付ISP监控垃圾邮件,这些垃圾邮件发送者通常用一些邮件程序将邮件转发到其他的邮件服务器,并且修改和伪造邮件头,避免被追踪。所以,我们现在的关键任务是识别伪造内容并获得真实信息,根据真实信息进行查询。
1.邮件头追踪
一般来说,邮件内容、Reply-to、最终邮件服务器的Received的内容都有助于我们追踪垃圾邮件的来源。对于“Received:”域来说,我们可以从时区出错、时间误差、IP地址错误这几个方面来追查。试想,一个邮件经过了几天甚至更长时间来传递,正常吗?下面就是一个修改了邮件地址和IP地址的邮件头:
Return-Path: <spamemail@test.com.cn>
Delivered-To: pwbpub@test.com
Received: from mail.test.com.cn (unknown [211.167.xxx.xxx])
by test.com (Postfix) with ESMTP id 590F2160A9 for<pwbpub@test.com>; Thu, 8 Aug 2004 16:48:46 +0800 (CST)
Received: from mail.test.com.cn ([127.0.0.1]) by localhost (mail[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 30543-01 for<pwbpub@test.com>; Thu, 8 Aug 2004 16:47:14 +0800 (CST)
Received: from risker.debian.org (unknown [218.18.xxx.xxx]) bymail.test.com.cn (Postfix) with ESMTP id 32E0817DC17 for<pwbpub@test.com>; Thu, 8 Aug 2004 16:47:06 +0800 (CST)
Date: Wed, 5 May 2004 14:36:13 +0800
From: wlj <spamemail@test.com.cn>
To: pwbpub@test.com
Subject:
Message-Id: <20040505143613.25dd214b.spamemail@test.com.cn>
Mime-Version: 1.0
Content-Type: multipart/mixed;
X-Virus-Scanned: by amavisd-new at test.com.cn
上面的邮件头,明显经过了篡改,包括在MUA 发送邮件时添加的头内容和经过MTA过程中添加的内容。现在,关键的任务就是要检查“Received:”的传递过程了。
第一步:找到如下内容:
Received: from risker.debian.org (unknown [218.18.xxx.xxx]) by mail.test.com.cn (Postfix) with ESMTP id 32E0817DC17 for <pwbpub@test.com>; Thu, 8 Aug 2004 16:47:06 +0800 (CST)
仔细分析,我们可以看到,这是第一个MTA 从MUA 接收邮件时插入的头内容。MUA 的机器名是Risker.debian.org(这不是MUA 的DNS,而只是机器名),(unknown[218.18.xxx.xxx])表示该机器的IP地址,但是查询的DNS是unknown的。该邮件被mai.test.com.cn接收,邮件服务器采用Postfix,而且采用的是ESMTP(扩展的SMTP),分配的ESMTP id是32E0817DC17,传递目标是pwbpub@test.com,接收时间为Thu,6 May 2004 16:47:06,时区是+0800 (CST)。
第二步:查找第二个Received:内容。具体如下:
Received: from mail.test.com.cn ([127.0.0.1]) by localhost (mail[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 30543-01 for <pwbpub@test.com>; Thu, 8 Aug 2004 16:47:14 +0800 (CST)
这是邮件服务器内部程序进行的一个处理过程,因此IP 地址为127.0.0.1,并且是Localhost处理,(amavisd-new, port 10024)表明这个处理程序是使用的Amavisd-new,amavisd-new是一个用于邮件服务器的杀毒、过滤等的接口。
第三步:查找第三个Received:内容。具体如下:
Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) by test.com (Postfix) with ESMTP id 590F2160A9 for <pwbpub@test.com>; Thu, 8 Aug 2004 16:48:46 +0800 (CST)
该过程表示邮件从服务器名为Mail.test.com.cn 传递出去,IP 地址为211.167.xxx.xxx,接收邮件的服务器是Test.com,采用Postfix服务程序,也通常使用的ESMTP,传递的目标是pwbpub@test.com,日期为Thu,8 Aug 2004 16:48:46,时区是+0800(CST)。
从这个例子可以看出,邮件的传递过程是:
risker.debian.org(MUA)→mail.test.com.cn(MTA)→localhost(MTA中的amavisd-new)→test.com(MTA)
整个过程经历了将近两分钟,不过,在追踪垃圾邮件过程中,这个传递过程中的Received:存在被篡改的可能,也就是说,发送者可能使用了“障眼法”,因此,要炼就一双火眼金睛,判断哪些信息是伪造的,哪些是真实的。对于Received:来说,最后的站点是接收者自己的邮件服务器,因此最后的Received是真实可靠的,除非自己的服务器已经不安全了。
2.垃圾广告邮件追踪
现在,垃圾广告邮件尤其猖獗。对于这类邮件来说,内容中有联系人、联系电话、联系Email、邮编等,追查就很直接。一个典型的此类邮件头内容如下:
Return-Path: <fault@spamemail.com>
Delivered-To: pwbpub@test.com
Received: from spamemail.com (unknown [221.232.11.40])
by test.com (Postfix) with ESMTP id 399521C124
for <pwbpub@test.com>; Mon, 24 May 2004 11:07:41 +0800 (CST)
From: "bbcss" <fault@spamemail.com>
Subject: =?GB2312?B?0KGxvrS0tPPStcrmtvmxptXQycw=?=
To: pwbpub@test.com
Content-Type: multipart/mixed;
boundary="=_NextPart_2rfkindysadvnqw3nerasdf";charset="GB2312"
MIME-Version: 1.0
Reply-To: reply@yahoo.com.cn
Date: Mon, 24 May 2004 11:07:45 +0800
X-Priority: 3
Message-Id: <20040524030745.399521C124@test.com>
现在来对该邮件进行简单的分析。首先找到这一段:
Received: from spamemail.com (unknown [221.232.11.40])by test.com (Postfix) with ESMTP id 399521C124 for <pwbpub@test.com>; Mon, 24 May 2004 11:07:41 +0800 (CST)
本例中,测试用的邮件服务器Test.com是可信的,因此这一条Received信息也是可靠的,但其中的一些内容可能并不是真实可靠的。邮件来自一个机器名为spamemail.com的,IP 地址为221.232.11.40,邮件接收时间是Mon, 24 May 2004 11:07:41 +0800 (CST)。简单检查Spamemail.com,可以得出IP地址为Spamemail.com [203.207.*.*],很容易可以知道这个spamemail.com只是一个名字而已。该邮件的发送者是From: "bbcss" <fault@spamemail.com>,而回复地址是:Reply-To:reply@yahoo.com.cn。实际上,我们就可以推测:fault@spamemail.com就是伪造的了,但是回复地址却可能是真实的;另外,他们肯定使用了一些垃圾邮件发送工具,能够伪造发送者地址、机器名,并且可以直接传递邮件。
上一页 [1] [2] [3] 下一页
|
