- 论坛徽章:
- 0
|
一般来 说邮件头中received部分是最可信的,当然这其中也有伪造的可能,但是一般来说发送者只能伪造前面的部分(逻辑上),后面的部分,也就是排上面的received是伪造不了的。
而且如果在一个received部分中,如果目标主机(by部分)是自己的邮件服务器的话;那么,这个received部分就可以说是真实可信的。我们下边的邮件头是从outlook收到的病毒邮件所取得的。
情况大致介绍:
该用户 jingh@domain.com收到merry christmas病毒信件后,执行了里面的程序(这个病毒的制造者够损的,居然用压缩格式传送文件,要是直接exe文件传送,早有方法解决了)
结果该病毒访问 地址薄后,给所有联系人发信不算,自己的pc不断收到垃圾邮件,而且自己也在发送!!我用isoqlog看了一下,今天收发了各 2000多。开始以为是这个账户被破解密码了,给这个账户修改密码也不行。除非 删除这个账户,但是不那么现实,我在badmailfrom里添加了@cannonet.ne.jp 后,qmailctl restart后,客户端的outlook还在收信件!!也不知道是继续收发呢,还是已经停止了但是还是从/home/vpopmail/jingh/里收信!!
Return-Path: <virusadmin@canonet.ne.jp>;
Delivered-To: jingh@我的域名.com
Received: (qmail 24345 invoked by uid 89); 15 Dec 2004 06:33:11 -0000
Received: from unknown (HELO outer1.canonet.ne.jp) (202.228.190.243)
by 0 with SMTP; 15 Dec 2004 06:33:11 -0000
Received: from vcheck1.canonet.ne.jp (vcheck1.canonet.ne.jp [202.228.190.241])
by outer1.canonet.ne.jp (Postfix) with SMTP id C6594210F1D
for <jingh@我的域名.com>;; Wed, 15 Dec 2004 15:17:55 +0900 (JST)
Received: from inner1.canonet.ne.jp(202.228.190.242) by vcheck1.canonet.ne.jp via csmap
id ee154532_4e60_11d9_9515_00304824a51c_11686;
Wed, 15 Dec 2004 15:17:00 +0900 (JST)
Received: from mw0.canonet.ne.jp (unknown [172.17.2.20])
by inner1.canonet.ne.jp (Postfix) with SMTP id 0FE701F4948
for <upawuni@nihon-monorail.or.jp>;; Wed, 15 Dec 2004 15:16:39 +0900 (JST)
Received: (qmail 21271 invoked from network); 15 Dec 2004 15:16:35 +0900
Received: from unknown (HELO mail.nihon-monorail.or.jp) (这个居然是我的mailserver的ip)
by mw0.canonet.ne.jp with SMTP; 15 Dec 2004 15:16:35 +0900
Message-ID: <x728809502.2506473388152214508@sowqbwcaa>;
From: JINGUANGHUI <jingh@我的域名.com>;
To: <upawuni@nihon-monorail.or.jp>;
Subject: Virus Alert: Merry Christmas!
Date: 悈, 15 12 2004
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_575_0615_04470252.44803575"
X-Priority: 3
X-MSMail-Priority: Normal
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2900.2180
如何停止该账户发信??如何察看服务器正在做什么?尤其是发信,看/var/log/mail/??
注意:最上面的received部分有问题,by应该是我的主机名,但却是0!!
从时间上来看,最上面的那个received部分也奇怪,发信时间是东9区时间15:16,最后一个域居然是 06;33!!若是-0000表示格林尼治时间,那么东9区时间就是15:33,从日本到中国经过10多分钟是很正常的。
(难道我的主机被人控制了??如何察看登陆纪录??似乎并无异常。纪录明天公布。)
倒是第2部分的for的目标是最终账户,但是by的目标是日本的主机。
刚才ping了vcheck1.canonet.ne.jp 他的ip的确是202.228.190.241
而outer1的ip也的确是243. |
|