我们正在使用智能邮件系统。最近,我们发现黑客入侵了一些用户帐户并发送了大量垃圾邮件。我们有防火墙来限制发件人的速率,但是对于下面的电子邮件,由于发件人地址为空,防火墙无法执行此操作。为什么空的 FROM 地址被认为是可以的?实际上,在我们的 MTA(surgemail) 中,我们可以在电子邮件标题中看到发件人。任何的想法?
11:17:06 [xx.xx.xx.xx][15459629] rsp: 220 mail30.server.com
11:17:06 [xx.xx.xx.xx][15459629] connected at 6/16/2010 11:17:06 AM
11:17:06 [xx.xx.xx.xx][15459629] cmd: EHLO ulix.geo.auth.gr
11:17:06 [xx.xx.xx.xx][15459629] rsp: 250-mail30.server.com Hello [xx.xx.xx.xx] 250-SIZE 31457280 250-AUTH LOGIN CRAM-MD5 250 OK
11:17:06 [xx.xx.xx.xx][15459629] cmd: AUTH LOGIN
11:17:06 [xx.xx.xx.xx][15459629] rsp: 334 VXNlcm5hbWU6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 334 UGFzc3dvcmQ6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 235 Authentication successful
11:17:07 [xx.xx.xx.xx][15459629] Authenticated as hackedaccount@domain1.com
11:17:07 [xx.xx.xx.xx][15459629] cmd: MAIL FROM:
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <> Sender ok
11:17:07 [xx.xx.xx.xx][15459629] cmd: RCPT TO:recipient@domain2.com
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <recipient@domain2.com> Recipient ok
11:17:08 [xx.xx.xx.xx][15459629] cmd: DATA
Nat*_*ate 24
空MAIL FROM用于传递状态通知。邮件服务器需要支持它(RFC 1123 第 5.2.9 节)。
它主要用于退回邮件,以防止无限循环。当MAIL FROM与空地址(表示为<>)一起使用时,如果邮件被发送给不存在的用户,则接收服务器知道不会生成退回邮件。
如果没有这个,有人可能会通过向另一个域中不存在的用户伪造消息,并使用您自己域中不存在的用户的返回地址来对您进行 DoS,从而导致永无止境的循环退回邮件。
如果你用空来阻止消息会发生什么MAIL FROM:?
MAIL FROM:您看到的空邮件可能不是来自垃圾邮件发送者。
相反,垃圾邮件制造者伪造了您域中的地址,并将其用作发送到另一个域的邮件的返回地址。假设您是yourdomain.com,我的域是mydomain.net. 垃圾邮件发送者向 发送消息johnq@mydomain.net,将返回地址伪装为johnq@yourdomain.com。由于johnq我的域中没有用户,我的邮件服务器向MAIL FROM:<>明显的发件人johnq@yourdomain.com. 这就是你可能看到的。
MAIL FROM在我看来,阻止空消息弊大于利。根据我的经验,垃圾邮件发送者很少使用空地址,MAIL FROM:因为他们很容易伪造一个真实的地址。当邮件是真正的垃圾邮件时,有更好的方法来检测和阻止它,包括 RBL、贝叶斯过滤器和 SpamAssassin。
最后,您可以yourdomain.com通过为您的域设置适当的SPF 记录来至少防止某些伪造。
更新:仔细查看您的日志后,有人能够AUTH为您的服务器使用有效的用户名和密码。这将其置于另一类麻烦中。然而,我所说的一切MAIL FROM:仍然有效。99% 的情况下,这将是退回邮件的结果。
| 归档时间: |
|
| 查看次数: |
20143 次 |
| 最近记录: |