自动回复的垃圾邮件--"反垃圾"攻防日志连载(1)
- 今天,263网络通信“反垃圾”攻防实验室的防守方忙做了一团:一位攻击者利用263的邮箱成功完成了大量垃圾邮件的发送,这对于反垃圾先锋263是不能容忍的事情。
- 电脑屏幕前,反垃圾技术专家TONY连连摇头:“不可能,不可能,263的邮箱不可能用来发送垃圾邮件。我们的邮件发送服务器已经被严密地监控,发送的频率过高或者一次发送的用户数过多都会被阻止,更何况263还拥有超强的关键字过滤。” 。
- 显然,这不是一次普通的常规攻击。通常的垃圾邮件发送,是应用垃圾邮件群发工具来实现的,而这个课题早已被263的技术人员解决。那么,攻击者到底是应用什么手段来实现垃圾邮件的发送的呢?
- 在技术专家们的配合下,一套SMTP检查系统很快上线,凡是应用263服务器发送的邮件,都必须核准mail与mail from的地址,垃圾邮件发送者在进行邮件地址伪造的时候就会被263邮件服务器跟踪。一旦发现两个地址有不一致的情况,就可以判定属于垃圾邮件。
- “探针邮件”就是我们在系统里面故意部署大量的陷阱,这些虚拟邮件地址的拼写非常短、都是容易被猜到的邮箱,比如liming@263.net之类的(当然我们也会有意公布一些)。这样的邮箱并没有人在真正使用,因此只要有邮件发到这些邮箱,就可以直接作为垃圾邮件被收录进样本库。
- TONY的眼光停留在了那封垃圾邮件上,专业的知识让他很快从邮件的信头中发现了一些蛛丝马迹,信头的邮件投递路由清楚的表明这封垃圾邮件是“自动回复”的产生的,对于这种情况,唯一有可能的就是 “自动回复”的内容就是要宣传的“垃圾信息”。
- 可以断定的是,这是一种利用自动回复反弹发送垃圾邮件的方式,邮箱主人并不曾给垃圾邮件发送者的邮箱发送邮件,而是垃圾邮件发送者伪造了这样的一个现象:将Mail from的地址改成垃圾邮件接收者的E-mail地址,申请一个263邮箱并设置好自动回复的垃圾邮件内容,然后给申请的263邮箱发送一封正常的邮件,这个时候263邮箱就进行自动回复,把垃圾邮件回复到Mail from的地址。如此反复,如果伪造大量的发件人给这个邮箱发信,就可以使用自动回复反弹发送大量的垃圾邮件。
- TONNY恍然大悟,一拍大腿叫道:“咱们的‘邮件自动回复’服务器是单独的一个服务器,在那个服务器上没有进行邮件投递速率控制!”于是,技术专家们赶紧在“自动回复”服务器上安装了监控工具,果然发现了某个帐号频繁地大量进行“自动回复”。
- 没有什么比解决一个“反垃圾难题”更能令这些反垃圾专家们高兴了,然而反垃圾是一个漫长而辛苦的工程,反垃圾专家们在攻防实验室的酸甜苦辣才刚刚开始。敬请关注下期内容:《识破“mail from伪造”》。
- “反垃圾”攻防实验室友情提示:自动回复的邮件是可以被设置成垃圾邮件的,因此邮件提供商也要对自动回复进行监控,以免垃圾邮件发送高手利用此漏洞进行攻击
相关消息 
