我们有一个用户电子邮件,我们认为这是一个反向散射攻击。 我们无法find该帐户被盗用的证据。 用户还表示他们还没有发出任何他们回来的电子邮件。 在我们的系统中,当电子邮件被发送到用户邮箱时,日志将显示如下所示的行:
LOCAL(username) delivered: Delivered to the user mailbox 我觉得有趣的是,根据反馈数量,他们说他们正在得到,它不符合日志中出现多less上面的行,这将等于返回到电子邮件的数量收件箱。 对此有何想法?
退回消息应该包含Received头文件,这些头文件至less显示消息通过的一些服务器。 电子邮件标题是调查这样的问题的宝贵资源。 访问标题的方法因电子邮件客户端而异,其中一些使得访问邮件源变得容易。
configuration以-all结尾的强SPF策略,如v=spf1 a mx -all应该减less反向散射。 但是,这确实需要适当的政策。 您可能想要查看我的政策作为例子。
垃圾邮件发送者在外发邮件中使用伪造的发件人地址是很常见的。 他们有可能在过去的一二十年中收集了用户的电子邮件地址。
如果消息是反向散射,则可能需要尝试联系发送反向散射的pipe理员。 但是,电子邮件有可能类似于反向散射。 Received标题的内容应该有助于确定哪个是哪个。
收到的标题由处理该消息的每个主机添加到标题的顶部。 第一个头中的IP地址总是正确的。 除非有伪造的头部,否则IP地址是否正确。 欺骗性头部之上的头部也将具有正确的IP地址。 除了IP地址,还应该有发送服务器的域名。 根据发送主机是否正确configuration,可能会在EHLO / HELO命令中使用额外的域名。
这些标题来自Facebook最近收到的消息。 他们在HELO命令中使用不同于rDNSvalidation的域名。 第二个标题来自生成该消息的Facebook服务器。 (收件人已被混淆,但其余内容未经修改。)
收到:66-220-155-140.outmail.facebook.com([66.220.155.140] helo = mx-out.facebook.com)
通过mail.systemajik.com与esmtps(TLS1.0:ECDHE_RSA_AES_128_CBC_SHA1:128)
(Ex 4.86_2)
(信封 - 来自<[email protected]>)
id 1bdfwX-0005HR-Mp
为[email protected]; 星期六,27八月2016 11:54:51 -0400
收到:来自facebook.com(c4xYYmwT / TJ03btpEcY4vvyPTWZL08E + gbfjjvUwuTSB8dW6JOUncubaoppFzCkE 10.224.41.31)
通过facebook.com与Thrift编号915685ca6c6e11e69a620002c9da3c98-2a7fcaa0;
星期六,27八月2016 08:54:42 -0700
这些标题来自最近收到的垃圾邮件。 这个主机有一个不正确的PTRlogging,所以rDNSvalidation失败。 HELO命令中的域名通过rDNSvalidation。 第二个标题是由发送垃圾邮件的服务器上的程序传递的消息。 IP地址丢失的域名高度表示垃圾邮件。
收到:[96.30.32.176](helo = host.sareesbazaar.in)
通过mail.systemajik.com与esmtps(TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256)
(Ex 4.86_2)
(信封 - 来自<[email protected]>)
id 1bdgds-0005gm-C8
为[email protected]; 星期六,27八月2016 12:39:58 -0400
收件人:来自bonitto的host.sareesbazaar.in与本地(Exim 4.87)
(信封 - 来自<[email protected]>)
id 1bdgdg-0004rU-4n
为[email protected]; 星期六,27八月2016 11:39:24 -0500