反垃圾邮件技术之密径追踪

本文涉及的产品
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
简介:


中国的网民数量已突破亿,每年电子邮件发送量达500 亿封,但是这样的数据却并不能令我们惊喜,因为在这500 亿封电子邮件中,有将近60%也就是有300 亿封是垃圾邮件。垃圾邮件已经成为一个综合性的社会问题,要想从根本上杜绝垃圾邮件的泛滥,必须采取全民总动员的方式。由政府出面组织立法,行业制订规则、积极协调,邮件服务商则提供技术,用户积极参与、协同合作。只有这样,形成一个大众化的反垃圾邮件联盟,才能从根本上取得显著成效。

反垃圾邮件技术之   密径寻源

滥用SMTP

垃圾邮件泛滥的今天,如果收到了垃圾邮件,你可能会根据邮件的提示采用取消订阅的操作,而这些取消订阅的方法根本就是一种伪装,几乎没有一个是有效的。相反,邮件的发起者却根据你的反馈信息,将你的邮件地址纳入有效投递用户数据库,得不偿失。追其原因,主要和商业利益以及SMTP协议的安全机制不健全有关。
SMTP 协议对我们来说,应该是再熟悉不过的了,但是,这个协议在创建的时候并没有考虑到未来的邮件会成为垃圾,因此安全性很差(人们还是以RFC524为基础来执行SMTP的),邮件头可以任意创建、伪造和修改。邮件服务器一般不检查发送者的内容,而只关心接收者,这就给了垃圾邮件发送者可乘之机。互联网上的SMTP认证是针对无限制转发采取的措施。所谓无限制转发,就是任何人都可以使用你的服务器发送邮件,一方面降低了投入成本,另一方面隐藏了真实的来源。隐藏真实地址的原因主要是因为垃圾邮件发送在许多国家属于违法行为,另外,垃圾邮件发送者(spammer)都明白垃圾邮件是不受欢迎的,通过伪造发送者地址,就可能减少这种反应。早在2002年的时候,欧美的一些IT技术论坛上,关于因为大量的垃圾邮件引起了西方ISP屏蔽中国邮件服务器的“热潮”,就曾经广为部署过。当时,中国电信的202.96.0.0202.111.255.255范围内的全部地址都被屏蔽,这都是垃圾邮件惹的祸。服务器被中继(Open Relay)的现象不但阻止垃圾邮件的首要任务,而且也是病毒邮件泛滥的罪魁祸首。
 

解读信头

追踪邮件将很大程度依靠对邮件头的分析,RFC2076 列出了多数通用的消息头,此外也可以参考RFC2822。比如在Outlook Express中,我们可以通过点击邮件的高级属性打开邮件头部的信息(图1),一个邮件头中常用于分析的项目如下:
1.       Return-Path : [email]eberlyolabode@domian1.net[/email]  ;回复时发送的地址。很容易被伪造,但常常提供线索,比如有些垃圾邮件经常用该域指向一个合法的邮件地址,以便spammer能够接收到回复的邮件;
2.       Delivered-To : [email]nospammer@mymail.com[/email] ;和后面的“To”相同,收信人地址;
3.       Received : from mail.domian1.net (unknown [192.168.x.148])
    by mail.domain2.com (Postfix) with ESMTP id 66B 1612191F
    for <nospammer% mymail.com @domian2.net >; Mon, 24 Jul 2006 05:11:54 +0800 (CST)
邮件头中最可信部分。一般会有几条,形成站点列表,这些信息表明达到目的地过程中邮件所经过的服务器,域名都是邮件服务器自动插入的,spammer 可以伪造,但是在被伪造以后经过的域名是可信的。这个列表从下往上表明了服务器路径,最上面的一条Received是最终目的邮件服务器,也就是自己要接收邮件的服务器,除非它也出现了问题。Receive 语句的基本表达格式是:from Server A by Server BServer A 为发送服务器, Server B 为接收服务器。ESMTP ID 表示
4.       Message-ID : < 000001c 6ae 9c $a 563a 520$a4e 8a 8c 0@saj61>  ,邮件系统在创建邮件时的唯一标记(参考RFC822RFC1036)。也经常被伪造,但如果是正常的,那么Message-ID:也通常能确定发送者所登录的系统,而不仅仅是邮件被创建的系统。Message-ID 的结构同邮件服务器程序有直接关系,不同的邮件服务器的ID也不相同,但区别于ESMTP ID
5.       服务器产生的ID 也不一样,有时相同邮件服务器的不同处理也会产生不一样的ID
6.       Reply-To : "Olabode Eberly" <[email]eberlyolabode@domian1.net[/email]>  回复地址,被伪造;
7.       From : "Olabode Eberly" <[email]eberlyolabode@domian1.net[/email]>  发信人地址,被伪造;
8.       To : nospammer@ mymail.com
 

判别源头的要点

一个完整的邮件传输过程如下:“邮件发送者→ MUA → MTA → 网络传输→MTA → MDA→ 可能会有的邮件过滤 →MUA → 邮件接收者”。通过邮件传输原理,就可以将每个环节的不同特征拿出来,这为我们判别垃圾邮件带来帮助(图2
l          MUA  (Mail User Agent)
Mail Client 端的软件,它帮我们传送与接受Mail,使用者通过它来跟 Mail Server 沟通,最常见的 MUA  Outlook ExpressFox Mail
l          MTA (Mail Transfer Agent)
它的作用是帮助我们把Mail传送给其它Mail Serve,同时接受外部主机寄来的信件,所有的 SMTP servers 都可称为MTA
l          MDA (Mail Delivery Agent)
这项服务是用来把 MTA 所接受的Mail传递至使用者 Mailbox(收信箱)里面,部分SMTP Servers 也兼顾这MDA的角色。
l         收信、发信人地址
在我们收到的垃圾邮件中经常遇到发信人是我们自己的名字,或者收信人根本是与自己毫无关系的名字。这是因为收信人的 MUA 会从邮件中提取, From To Date 字段,如果发信人的 MUA 不是按照正常的逻辑工作的,或者发信人有意的使用垃圾邮件发送软件,那么就会变更 MAIL FROM  RCPT TO  的值,使其拥有了不同的邮件地址。这个时候, MAIL FROM 的值绝对是不可信的,而发信者为了得到收信人的反馈信息,所有我们可以通过 RCPT TO  中的域名地址来定位来源。
l         非法中继
如果发信人使用的不是自己所拥有的邮件服务器,在传输过程中使用互联网上带有 Open Relay 漏洞的服务器,这就为判别邮件的真实来源带来的困难。在 Received 字段中如果包含了既不是发信人,又不是收信人域名的邮件服务器,这就很有可能是被非法中继的服务器,我们可是使用TELNET等工具测试这台服务器是否具有 Open Relay 漏洞。
l         反向解析不同
如果发信人的域名为 sender.com ,但他在 SMTP 对话中的 HELO 命令后冒充另外一个域名是,比如  HELO testname.org  ,此时信件的 Received 字段很有可能是如下形式:Received: from testname.org (sender.com [192.168.100.100]) by……, 我们通过对testname.org进行反向地址查询后,就能发现IP地址信息与这个域名地址不符。
l         查找伪造的Received
由于怕暴露自己的真实信息,垃圾邮件的发送者经常在邮件头中插入大量的Received行。如果你的邮件头中存在大量的Received字段,最后几行一般是被插入的,因为信件一旦离开主机后,发信人是无法进行控制的,所经过的邮件服器将自动将信息加入到信头顶部。从上到下追踪Fromby的信息,以及IP的路由信息,是可以判别那些行是被伪造的。
 

评论:

通过上述内容我们有可能查找出邮件的真实发送IP,将其屏蔽,但如果发信方采用拨号的方式进行发送,或者机场经常更换地址,这就增加了判别正确的可信度。早在 1999 年,垃圾邮件与病毒邮件还未成为全球IT业关注议题时,制定因特网与电子邮件相关标准的 IETF/IRTF等单位就提交文件 RFC 2505, 针对反制垃圾邮件的 SMTP MTA 主机设计提出规划建议:需要SMTP MTA 主机应针对邮件发送来源进行通透解析,判定是否具匿名、伪造、滥发等非法行为,以采取退件或延迟反制机制;RFC 2505 更提出技术洞见,预言具弹性辨识机制、精良设计的 MTA 才能时时因应垃圾滥发者的反制手法。深度垃圾邮件行为解析必需在 MTA 阶段执行,以邮件传输值追踪技术、邮件通讯行为解析技术与预设滥发者类型Pattern,追踪、验证并判断来信是否为垃圾邮件。绝非浅层邮件行为解析如联机次数分析、发送 IP 地址、发送时间、发送频率、收件者数目、浅层电子邮件标头检查、发送行为侦测与检验Handshaking 联机阶段等信息可判断



















本文转自张琦51CTO博客,原文链接:http://blog.51cto.com/zhangqi/33834,如需转载请自行联系原作
相关文章
|
28天前
|
存储 安全 网络安全
蜜罐技术:如何跟踪攻击者的活动
【10月更文挑战第22天】蜜罐是一种用于网络安全的系统,通过模拟漏洞吸引攻击者,记录其行为以研究攻击手法。分为高交互和低交互两种类型,前者提供真实操作系统服务,后者仅模拟部分系统功能。蜜罐有助于收集恶意软件样本,分析攻击者行为,提高网络安全防御。
27 3
|
6月前
|
机器学习/深度学习 人工智能 安全
模型被投毒攻击,如今有了新的安全手段,还被AI顶刊接收
【4月更文挑战第25天】研究人员提出了一种结合区块链和分布式账本技术的联邦学习系统,以增强对抗投毒攻击的安全性。该系统利用智能合约支持的点对点投票和奖励惩罚机制,提高模型聚合的鲁棒性。此创新方法首次将区块链应用于联邦学习,减少中心化服务器的风险,但同时也面临计算成本增加、延迟问题以及智能合约安全性的挑战。论文已被AI顶刊接收,为金融、医疗等领域提供更安全的机器学习解决方案。[[1](https://ieeexplore.ieee.org/document/10471193)]
74 3
|
供应链 安全 搜索推荐
浅谈网络攻击追踪溯源
浅谈网络攻击追踪溯源
|
安全 Oracle 网络协议
[Web安全]信息收集(上)
[Web安全]信息收集
173 0
[Web安全]信息收集(上)
|
安全 搜索推荐 机器人
[Web安全]信息收集(下)
[Web安全]信息收集
140 0
 [Web安全]信息收集(下)
|
XML SQL 安全
常见高危Web漏洞原理及检测技术分析与研究
随着计算机技术以及信息网络通信技术的高速发展,人们也逐渐意识到信息安全的重要性,网络安全问题成为社会、国家的关注焦点。本文对Web漏洞的类型与原理、Web漏洞扫描技术的原理与应用进行了研究,分析了计算机网络中安全漏洞检测技术的应用策略。
|
Web App开发
二月垃圾邮件现状报:欺诈和钓鱼类信息倍增
2010年1月海地大地震后,欺诈和钓鱼消息数量急剧上升,攻击者利用这次灾难事件来为自己谋取利益。与2009年12月相比,2010年1月欺诈和钓鱼类消息在垃圾邮件中所占的比例是原来的2倍。419尼日利亚垃圾邮件(Nigerian Spam)手段江湖重现,欺诈和钓鱼消息数量占垃圾邮件总数的21%,达到该报告发布以来的历史最高记录。
796 0
|
数据安全/隐私保护
下一篇
无影云桌面