user53029 Asked: 2016-08-27 11:44:50 +0800 CST2016-08-27 11:44:50 +0800 CST 2016-08-27 11:44:50 +0800 CST 在邮件服务器上看不到电子邮件反向散射返回 772 我们有一封我们认为受到反向散射攻击的用户电子邮件。我们找不到帐户被盗用的证据。用户还表示他们没有发送任何他们收到的电子邮件。在我们的系统中,当一封电子邮件被发送到用户邮箱时,日志将显示如下一行: LOCAL(username) delivered: Delivered to the user mailbox 我发现有趣的是,根据他们所说的收到的退回邮件的数量,它与上面出现在日志中的行数不一致,这等于返回到的电子邮件数量收件箱。对此有什么想法吗? spam smtp email-server email-bounces 1 个回答 Voted Best Answer BillThor 2016-08-27T16:35:18+08:002016-08-27T16:35:18+08:00 退回邮件应包含Received至少显示邮件通过的一些服务器的标题。电子邮件标题是调查此类问题的宝贵资源。访问标头的方法因电子邮件客户端而异,其中一些使访问消息源变得容易。 配置以-alllike结尾的强 SPF 策略v=spf1 a mx -all应该可以减少反向散射。但是,它确实需要适当的政策。您可能想查看我的政策作为示例。 垃圾邮件发送者在外发邮件中使用伪造的发件人地址是很常见的。他们可能在过去十年或两年的某个时候收集了您用户的电子邮件地址。 如果消息是反向散射的,您可能需要尝试联系发送反向散射的管理员。但是,电子邮件可能旨在类似于反向散射。标题的内容Received应该有助于确定哪个是哪个。 每个处理消息的主机将接收到的标头添加到标头的顶部。第一个标头中的 IP 地址总是正确的。除非存在欺骗性标头,否则 IP 地址(如果存在)将是正确的。欺骗标头上方的标头也将具有正确的 IP 地址。除了 IP 地址之外,还应该有发送服务器的域名。根据发送主机是否正确配置,EHLO/HELO 命令中可能会使用一个额外的域名。 这些标头来自最近从 Facebook 收到的消息。他们在 HELO 命令中使用的域名与 rDNS 验证发现的域名不同。第二个标头来自生成消息的 facebook 服务器。(收件人已被混淆,但其余内容未修改。) 收到:来自 66-220-155-140.outmail.facebook.com ([66.220.155.140] helo=mx-out.facebook.com) 通过 mail.systemajik.com 使用 esmtps (TLS1.0:ECDHE_RSA_AES_128_CBC_SHA1:128) (进出口 4.86_2) (信封来自 <[email protected]>) id 1bdfwX-0005HR-Mp 对于某人@example.com;2016 年 8 月 27 日星期六 11:54:51 -0400 收到:来自 facebook.com (c4xYYmwT/TJ03btpEcY4vvyPTWZL08E+gbfjjvUwuTSB8dW6JOUncubaoppFzCkE 10.224.41.31) 通过 facebook.com 与 Thrift id 915685ca6c6e11e69a620002c9da3c98-2a7fcaa0; 2016 年 8 月 27 日星期六 08:54:42 -0700 这些标头来自最近收到的垃圾邮件。此主机的 PTR 记录不正确,因此 rDNS 验证失败。HELO 命令中的域确实通过了 rDNS 验证。第二个标头是由发送垃圾邮件的服务器上的程序传递的邮件。IP 地址的缺失域高度指示垃圾邮件。 收到:来自 [96.30.32.176] (helo=host.sareesbazaar.in) 通过 mail.systemajik.com 使用 esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (进出口 4.86_2) (信封来自 <[email protected]>) 编号 1bdgds-0005gm-C8 对于某人@example.com;2016 年 8 月 27 日星期六 12:39:58 -0400 收到:来自 host.sareesbazaar.in 与本地的鲣鱼(Exim 4.87) (信封来自 <[email protected]>) 编号 1bdgdg-0004rU-4n 对于某人@example.com;2016 年 8 月 27 日星期六 11:39:24 -0500
退回邮件应包含
Received至少显示邮件通过的一些服务器的标题。电子邮件标题是调查此类问题的宝贵资源。访问标头的方法因电子邮件客户端而异,其中一些使访问消息源变得容易。配置以
-alllike结尾的强 SPF 策略v=spf1 a mx -all应该可以减少反向散射。但是,它确实需要适当的政策。您可能想查看我的政策作为示例。垃圾邮件发送者在外发邮件中使用伪造的发件人地址是很常见的。他们可能在过去十年或两年的某个时候收集了您用户的电子邮件地址。
如果消息是反向散射的,您可能需要尝试联系发送反向散射的管理员。但是,电子邮件可能旨在类似于反向散射。标题的内容
Received应该有助于确定哪个是哪个。每个处理消息的主机将接收到的标头添加到标头的顶部。第一个标头中的 IP 地址总是正确的。除非存在欺骗性标头,否则 IP 地址(如果存在)将是正确的。欺骗标头上方的标头也将具有正确的 IP 地址。除了 IP 地址之外,还应该有发送服务器的域名。根据发送主机是否正确配置,EHLO/HELO 命令中可能会使用一个额外的域名。
这些标头来自最近从 Facebook 收到的消息。他们在 HELO 命令中使用的域名与 rDNS 验证发现的域名不同。第二个标头来自生成消息的 facebook 服务器。(收件人已被混淆,但其余内容未修改。)
收到:来自 66-220-155-140.outmail.facebook.com ([66.220.155.140] helo=mx-out.facebook.com) 通过 mail.systemajik.com 使用 esmtps (TLS1.0:ECDHE_RSA_AES_128_CBC_SHA1:128) (进出口 4.86_2) (信封来自 <[email protected]>) id 1bdfwX-0005HR-Mp 对于某人@example.com;2016 年 8 月 27 日星期六 11:54:51 -0400 收到:来自 facebook.com (c4xYYmwT/TJ03btpEcY4vvyPTWZL08E+gbfjjvUwuTSB8dW6JOUncubaoppFzCkE 10.224.41.31) 通过 facebook.com 与 Thrift id 915685ca6c6e11e69a620002c9da3c98-2a7fcaa0; 2016 年 8 月 27 日星期六 08:54:42 -0700这些标头来自最近收到的垃圾邮件。此主机的 PTR 记录不正确,因此 rDNS 验证失败。HELO 命令中的域确实通过了 rDNS 验证。第二个标头是由发送垃圾邮件的服务器上的程序传递的邮件。IP 地址的缺失域高度指示垃圾邮件。
收到:来自 [96.30.32.176] (helo=host.sareesbazaar.in) 通过 mail.systemajik.com 使用 esmtps (TLS1.2:ECDHE_RSA_AES_256_GCM_SHA384:256) (进出口 4.86_2) (信封来自 <[email protected]>) 编号 1bdgds-0005gm-C8 对于某人@example.com;2016 年 8 月 27 日星期六 12:39:58 -0400 收到:来自 host.sareesbazaar.in 与本地的鲣鱼(Exim 4.87) (信封来自 <[email protected]>) 编号 1bdgdg-0004rU-4n 对于某人@example.com;2016 年 8 月 27 日星期六 11:39:24 -0500