免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12
最近访问板块 发新帖
楼主: 刘五十三

[Mail] 退信攻击式垃圾邮件 [复制链接]

论坛徽章:
0
发表于 2008-06-19 16:28 |显示全部楼层
应该可以搞定了,我这边的邮件发出的内容里面都有
by cde.com (8.xx.x/8.xx.x) with ESMTP id xxxxxxxxxxxx
这样的行,我看了几个垃圾邮件退信和正常退信,退信里面都会包含原始邮件,或者至少包含原始邮件的邮件头,如果是正常退信,就有两行 by cde.com,实际上每一封通过我的服务器的邮件都有by cde.com的received行的,但是正常退信在引用原信的时候会有两行 by cde.com,垃圾邮件造成的退信只有一行 by cde.com 因为引用的原信没有通过cde.com服务器发出就没有by cde.com行。再加上一个判断发件人是MAILER-DAEMON两个条件都成立就可以了。设定条件后试试看是否能解决这个问题。感谢abel提供了思路。希望垃圾邮件发送人不会这么聪明的马上伪造received头了。

论坛徽章:
0
发表于 2008-06-19 16:32 |显示全部楼层
原帖由 ardi 于 2008-6-18 17:15 发表
你不是得罪了什么人了吧

应该不是,还不至于到这地步,估计就是运气不好

论坛徽章:
0
发表于 2008-06-19 16:34 |显示全部楼层
原帖由 gucuiwen 于 2008-6-19 10:55 发表
这种情况spf是最好的方案,但是目前很多网站的邮件域名还不支持spf,查询不到SPF记录,这就给假冒者可趁之机了,我的方案是先spf查询真实性,如果没有spf记录,就比对IP,如果IP和查询到的A记录明显不是一个网段的,就block掉。这种方法的误判率非常低,实际效果还是不错的。

什么叫明显不是一个网段的? 举例:

abc.com 查询到MX记录,再查询A记录,假设IP是202.90.28.12
如果实际来连接的IP是61.192.93.82 ,这两个IP一比对,非常明显,99.9%的可能性是伪造的。
如果查出来是202.90.27.36,我就认为他不是伪造的,因为有些大型邮件系统的收发邮件都是分布在不同网段的服务器上的,我的判断 原则是前两个数字必须相同,当然是在spf过滤没有记录下再做这一步,用python,perl等写脚本实现,有现成的模块可以用。


这个好像不可行,发信的ip就是正规的邮件服务器,我检查了几个都是这样,并不是垃圾邮件的或冒充的ip.

论坛徽章:
0
发表于 2008-06-19 17:04 |显示全部楼层
一般退信时在邮件超过了一定大小就不会带原邮件了,比如我的设置是退信时原邮件超过50K就不带原邮件了。

论坛徽章:
0
发表于 2008-06-20 08:34 |显示全部楼层
原帖由 xmbbx 于 2008-6-19 17:04 发表
一般退信时在邮件超过了一定大小就不会带原邮件了,比如我的设置是退信时原邮件超过50K就不带原邮件了。

不需要带原始邮件,有原始邮件的邮件头就可以,至少让别人可以根据原始邮件的msgid或队列号查询问题邮件走过的路径。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

SACC2019中国系统架构师大会

【数字转型 架构演进】SACC2019中国系统架构师大会,8.5折限时优惠重磅来袭!
2019年10月31日~11月2日第11届中国系统架构师大会(SACC2019)将在北京隆重召开。四大主线并行的演讲模式,1个主会场、20个技术专场、超千人参与的会议规模,100+来自互联网、金融、制造业、电商等领域的嘉宾阵容,将为广大参会者提供一场最具价值的技术交流盛会。

限时8.5折扣期:2019年9月30日前


----------------------------------------

大会官网>>
  

北京盛拓优讯信息技术有限公司. 版权所有 16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122
中国互联网协会会员  联系我们:huangweiwei@it168.com
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP