Jos*_*ank 50 email web-hosting
我妻子的电子邮件帐户被黑了,攻击者得到了她的地址簿。我不知道攻击是在她的本地电子邮件客户端(在 Windows 7 上运行的 Thunderbird)还是在服务器(托管在 GoDaddy)上。无论哪种方式,联系人列表数据都在那里,我无法撤消。我已经更改了所有密码,更新了安全性等,并且我认为没有任何进一步的入侵。
但是,无论是谁这样做,都发送了大量垃圾邮件,并使用我妻子的名字作为“发件人”。他们安静了一会儿,然后我经常醒来看到我妻子的几十封电子邮件,当然她并没有真正发送,她地址簿中的每个其他人也收到了这些。因为她的通讯录里有很多死地址,我妻子收到了数百封“邮件投递失败”的退回邮件,以及数百封被接收域拒绝为垃圾邮件的电子邮件。她的联系人列表中的人越来越生气,这已经成为一个真正的问题。
我已经就此向 GoDaddy 询问过,他们说任何人 A 都可以向b@bbb.com声称是 的人发送电子邮件c@ccc.com,并且没有适当的电子邮件基础设施来验证人 A 有权从 发送电子邮件ccc.com。因此,我对此绝对无能为力,这个垃圾邮件发送者将能够骚扰他人、损害我妻子的声誉、将她的电子邮件列入黑名单等等,而且没有办法阻止它。
这是真的吗,或者我能做些什么来阻止这些垃圾邮件发送者,或者至少减轻损害?
IMS*_*SoP 46
由于协议的设计方式简单且高度分布式,因此很难以通用方式解决电子邮件欺骗问题。
在这个例子中,物理信件的类比很好:我可以把一封信放进邮筒,然后在上面写上它来自你家;我不需要闯入你的房子来做这件事,只要把它扔进一个公共邮箱。如果帖子被标记为“退回给发件人”,它很可能最终会被“退回”给您,即使它不是您写的。电子邮件也是如此:任何人都可以将消息发送到系统中,并带有收件人和发件人地址;您发送邮件的服务器可能与您接收邮件的服务器不同,并且当您将邮件放入系统时,没有集中服务来验证您的身份。
解决这个问题的一般方法有两种:
数字签名是一种在消息中包含一种签名或印章的方式,只有真正的发件人知道如何生成(使用他们从不共享的私钥)。然后,接收者可以使用公钥验证签名,该公钥在数学上证明谁生成了签名(并且它与接收到的文本匹配)。
但是,这对于您的示例并不是很有用,因为它不会阻止消息的传递,并且要求收件人知道公钥或经过验证的位置来检索它。
已经开发了基于域的发件人验证系统来尝试防止垃圾邮件。这些将数据存储在地址域(@ 之后的部分)的 DNS(目录查找)中,允许接收系统验证邮件是否合法。一个系统SPF列出了哪些系统可以代表该域发送邮件;另一个,DKIM,存储使用类似于上述数字签名方法的公钥,但用于验证传输系统,而不是实际的发送者。
(稍微过度扩展物理信件的类比,SPF 就像公开说“我只使用这个邮箱寄信”而 DKIM 就像公开说“我总是从这家邮局发送邮件,它为我打印了防篡改标签”。)
这些将与您的情况更相关 - 如果您的妻子使用自定义域,则适当的 SPF 或 DKIM 设置会导致许多系统静默拒绝她未发送的邮件(或将其标记为垃圾邮件,而不将其归因于她)。但是,它仅适用于域级别,而不适用于个人地址,并且某些收件人系统可能不会检查记录。
Xen*_*050 16
向她地址簿中的所有实时联系人发送电子邮件并告诉他们垃圾邮件问题可能会有所帮助。现在是从列表中删除任何已死联系人的最佳时机。
将来使用 PGP/GPG 将是私人用户和发件人自己验证电子邮件实际上是从发件人发送的近乎完美的解决方案,并且也可以隐藏/加密消息的内容,以便他们只能看到预期的接收者。但是,尽管 PGP 已经可用了几十年,但对于任何人来说,开始使用并不是特别容易,而且纯网络邮件(如 Gmail 等)很难让秘密部分真正对你保密,而且仍然很容易从任何地方使用...
可以采取一些措施来对电子邮件接收者进行身份验证(至少有一些,例如 Yahoo 和 Google 等,它们“代表了 Internet 电子邮件用户的很大比例” - DMARC 常见问题),表明它来自您的域的消息确实是来自您的域。他们使用 DMARK,它“允许发件人表明他们的消息受 SPF 和/或 DKIM 保护,并告诉接收者如果这两种身份验证方法都没有通过(例如垃圾邮件或拒绝消息)该怎么办” ——DMARC 常见问题解答。
更改为不同的电子邮件地址也可能在短期内有所帮助,然后您和其他所有人都可以安全地忽略/“标记为垃圾邮件”来自垃圾邮件发送者的所有进一步邮件。但是,即使这不是您的主要关注点,因为它们“显然是超级垃圾邮件”并且没有人被愚弄,您可能希望研究阻止“来自:”行被轻易欺骗,因为如果有足够多的用户总是“标记”作为垃圾邮件”您妻子的商务电子邮件,垃圾邮件过滤器可能会开始丢弃来自该地址的所有邮件。
电子邮件身份验证应该帮助发送和接收邮件服务器验证消息实际上是从他们所说的人那里发送的。我在 Gmail 上找到了一些信息,因为它是“三大”电子邮件公司之一,因此它可能是一个不错的起点。即使将电子邮件提供商切换到已经设置/经过身份验证的电子邮件提供商,例如Gmail for Business 也 应该有所帮助并且可能更容易,但不是必需的,尽管根据您从 GoDaddy 的回复来看,他们可能不是您的理想主机。
Gmail 的电子邮件身份验证帮助对发送域有一些建议:
如果您是发送域
带有 DKIM 签名的消息使用密钥对消息进行签名。使用短密钥签名的消息很容易被欺骗(请参阅 http://www.kb.cert.org/vuls/id/268267),因此使用短密钥签名的消息不再表明该消息已正确验证。为了最好地保护我们的用户,Gmail 将从 2013 年 1 月开始将使用少于 1024 位密钥签名的电子邮件视为未签名电子邮件。我们强烈建议所有使用短密钥的发件人都改用长度至少为 1024 位的 RSA 密钥。强烈建议对每个邮件发件人进行身份验证,以确保您的邮件被正确分类。有关其他建议,请参阅我们的批量发件人指南。
身份验证本身并不足以保证您的邮件可以送达,因为垃圾邮件发送者也可以对邮件进行身份验证。在对邮件进行分类时,Gmail 会将用户报告和其他信号与身份验证信息结合起来。
类似地,邮件未经身份验证这一事实不足以将其归类为垃圾邮件,因为某些发件人不会对其邮件进行身份验证,或者因为在某些情况下身份验证会中断(例如,当消息被发送到邮件列表时)。
为帮助打击垃圾邮件和滥用行为,Gmail 使用电子邮件身份验证来验证邮件是否确实是从其看似发件人的地址发送的。作为 DMARC 计划的一部分,Google 允许域所有者帮助定义我们如何处理虚假声称来自您域的未经身份验证的邮件。
你可以做什么
域所有者可以发布一项政策,告知 Gmail 和其他参与的电子邮件提供商如何处理从您的域发送但未经身份验证的邮件。通过定义策略,您可以帮助打击网络钓鱼以保护用户和您的声誉。
在 DMARC 网站上,了解如何发布您的政策,或查看 Google Apps 域的说明。
以下是一些需要牢记的事项:
- 您将收到来自每个参与电子邮件提供商的每日报告,以便您了解您的电子邮件经过身份验证的频率以及识别无效电子邮件的频率。
- 当您从这些报告中的数据中学习时,您可能希望调整您的策略。例如,您可以将可操作的策略从“监控”调整为“隔离”再到“拒绝”,因为您对自己的所有邮件都将通过身份验证变得更有信心。
- 您的政策可以是严格的,也可以是宽松的。例如,eBay 和 PayPal 发布了一项政策,要求他们的所有邮件都经过身份验证才能出现在某人的收件箱中。根据他们的政策,Google 拒绝来自 eBay 或 PayPal 的所有未经身份验证的消息。
更多关于 DMARC
DMARC.org 的成立是为了允许电子邮件发件人通过在可发现且灵活的策略中发布他们的偏好来影响未经身份验证的邮件。它还使参与的电子邮件提供商能够提供报告,以便发件人可以改进和监控他们的身份验证基础设施。
Google 与其他电子邮件域(如 AOL、Comcast、Hotmail 和 Yahoo!)一起参与了 DMARC。邮件。此外,美国银行、Facebook、富达、LinkedIn 和 Paypal 等发件人已经发布了供 Google 和其他收件人遵循的政策。
有关更多信息,请参阅官方 Gmail 博客中的这篇文章。
其他有用的链接:
kas*_*erd 10
可以做什么取决于您可以控制多少基础设施,以及您是使用自己的域名还是只是在其他人控制的域下拥有一个地址。
如果您有自己的域,则可以轻松切换到同一域下的新电子邮件地址。此外,您可以设置 DNS 记录以告诉全世界来自您域的所有电子邮件都应该进行数字签名。(SPF、DKIM 和 DMARC 是要搜索的术语,如果这是您想要采用的方法。)
您不能指望每个人都验证这些签名,因此即使您确实设置了 DNS 记录,表明来自您域的电子邮件必须经过签名,仍然会有滥用者发送声称来自您域的未签名电子邮件,而接收者会接受这些未签名的电子邮件。
如果您不控制域,那么更改电子邮件地址就不是那么容易了,并且您对是否使用 DNS 记录来限制在外发电子邮件中欺骗域的能力几乎没有影响。
使用欺骗性源地址的垃圾邮件导致退回到合法地址的垃圾邮件问题至少在原则上很容易解决。
您可以记录Message-ID您发送的所有电子邮件。所有退回邮件都需要在Message-ID某处包含原始邮件的 ,否则退回邮件完全没有用,因为这会告诉您哪些邮件被退回。任何不包含Message-ID您之前发送过的邮件的退回邮件都可以直接发送到垃圾邮件文件夹或在接收时被拒绝(这样做的好处是将问题更接近源头一步)。
可以通过MAIL From地址将退回邮件与其他电子邮件区分开来。退回MAIL From邮件总是有一个空地址,其他电子邮件永远不会有一个空MAIL From地址。
因此,如果MAIL From为空 - 并且DATA不包含Message-ID您之前发送的邮件,则可以安全地拒绝邮件。
这就是原则。把它付诸实践有点困难。首先,用于外发和接收电子邮件的基础设施可能是分开的,这使得用于接收电子邮件的基础设施始终了解Message-ID通过外发电子邮件基础设施的每一个都存在问题。
此外,一些提供商坚持发送不符合常识的退回邮件。例如,我看到提供商发送的退回邮件不包含有关退回的原始电子邮件的任何信息。对于这种无用的退回邮件,我的最佳建议是将它们视为垃圾邮件,即使它们来自其他合法的邮件系统。
请记住,任何获得电子邮件地址列表的人都可以将任何地址作为源地址,将任何地址作为目标地址。因此,除非您有其他信息,否则您无法确定泄漏是否发生在您自己的系统中。可能是您的任何联系人泄露了包括您在内的地址列表。
您越能弄清楚哪些地址在泄漏列表中,哪些不在,您就越能确定它是从哪里泄漏的。可能您已经这样做了,并得出结论认为泄漏一定来自您的联系人列表,因为您的联系人都不会知道所有已确认已泄漏的地址。
我的方法是使用我自己的域和该域下的单独电子邮件地址,用于与我通信的每个联系人。我在邮件地址中包含了与联系人第一次通信的日期,这样看起来就像kasperd@mdgwh.04.dec.2015.kasperd.net我今天要给新联系人写一封电子邮件。这种方法显然并不适合所有人,但对我来说,它肯定有助于准确了解是谁泄露了我的一个电子邮件地址列表。这也意味着我可以关闭个人地址,这样只有泄露我地址的人才能为我更新他们的联系信息。
是和否。
没有什么能阻止我用您作为发件人的地址写一封电子邮件。这与普通纸质邮件没有什么不同,我也可以在信封正面写上目的地地址,在信封背面写上(任何!)回信地址。
但是,您可以添加数字签名来证明您是发件人(请参阅 PGP 和 Xen 的回答)。邮件提供商也开始对邮件服务器之间的通信实施安全检查。(请参阅 TLS - 传输层安全性)。但是邮件是建立在旧协议之上的,每个人都表现得很好,合作也很好。它不是为大坏世界设计的。
你正在错误地接近这个。
从在计算机维修行业度过的多年时间来看,我可以告诉您,这里发生任何“黑客攻击”的可能性很小。更有可能的是您妻子的计算机感染了病毒,并且该病毒访问了她的 Thunderbird 地址簿。
这是相当普遍的。通常病毒直接从受感染的计算机发送电子邮件,因此清除病毒将阻止垃圾邮件——它们不是“欺骗”您妻子的电子邮件地址,而是您妻子的电子邮件地址。
按照其他用户的建议更改电子邮件地址不太可能解决任何问题……尤其是当您在同一台计算机上将其输入 Thunderbird 时。
下载并Combofix在您妻子的计算机上运行。
http://www.bleepingcomputer.com/download/combofix/
有关于如何运行它的说明:http : //www.bleepingcomputer.com/combofix/how-to-use-combofix
本质上,下载它,以管理员身份运行(右键单击--> 以管理员身份运行),单击确定/是/继续出现提示,然后离开 30 分钟到一个小时。它会运行很长时间,并且可能会重新启动计算机(确保您重新登录以继续工作)。
当打开带有一堆文本的全屏记事本时,您就会知道它已完成。关闭它,再次重新启动,你可能解决了你的问题......只有时间会证明。
| 归档时间: |
|
| 查看次数: |
13876 次 |
| 最近记录: |