我時不時地收到帶有明顯惡意負載的電子郵件(例如帶有有害巨集的 Word 文件)。
我並不擔心這些電子郵件,因為我認得這些電子郵件,但我注意到所謂的寄件者都是同一家公司的員工,這是我所知道的。無論如何,寄件者地址都是虛構的。
所以我的問題是:什麼比較有可能?他們的郵箱被駭客入侵和濫用,還是我自己的郵箱被駭客入侵?
有辦法知道嗎?
答案1
很難確定,但我認為這是最有可能的情況:
- 寄件者的網域名稱沒有SPF限制允許哪些 IP 位址為該網域發送電子郵件的記錄。
根據我的經驗,其他可能的情況按可能性降序排列:
- 寄件者的電子郵件帳戶或電子郵件伺服器已洩露,並且正在向伺服器上已知的聯絡人發送垃圾郵件。
- 寄件者的網域確實具有合理的 SPF 記錄,但您的郵件伺服器的反垃圾郵件軟體不會檢查欺騙性電子郵件。
- 您的郵件伺服器或帳戶已遭到破壞,惡意軟體分發者正在使用您的聯絡人清單將惡意軟體電子郵件放入您的收件匣中。
場景 1 – 寄件者 SPF 設定錯誤
這是最有可能的情況,因為您在中指出對你的問題的更新寄件者的電子郵件地址是「虛構的」;欺騙寄件者可能不一定知道目標網域中的任何真實郵箱。
症狀
您收到某人寄來的電子郵件,但該人否認曾發送過該電子郵件。他們可能無法在已發送訊息資料夾甚至發送伺服器的電子郵件日誌中顯示相符的記錄。
原因
寄件者的網域沒有防止欺騙的 SPF(寄件者策略框架)記錄。
診斷
example.com
您可以使用以下命令檢查網域的 SPF 記錄:
nslookup -type=TXT example.com
替換example.com
為寄件者的網域名稱。您可能會看到如下所示的記錄:
"v=spf1 +a +mx +ip4:127.0.0.1 -all"
在上面的例子中,
+a
表示允許網域 A 記錄的 IP 位址代表該網域傳送電子郵件。+mx
意味著解析域的 MX 記錄並允許這些網域發送電子郵件。+ip4:127.0.0.1
表示允許該IP位址127.0.0.1
傳送該網域的電子郵件。-all
表示拒絕所有其他 IP 位址傳送該網域的電子郵件。
如果寄件者的 SPF 記錄中沒有-all
,則驗證 SPF 的接收郵件伺服器可能會接受可能由任何人發送的欺騙性電子郵件。
Received:
您可以透過閱讀收到的惡意電子郵件中的標頭來檢查電子郵件的實際寄件者。標Received:
頭的順序與電子郵件所經過的每個郵件伺服器的順序相反,但請注意,未由您的郵件伺服器新增的標頭可能會被欺騙。郵件閘道新增的第一個Received:
標頭顯示電子郵件的來源。例子:
Received: from mail-eopbgr810054.outbound.protection.outlook.com ([40.107.81.54]:59584 helo=NAM01-BY2-obe.outbound.protection.outlook.com)
by example.deltik.org with esmtps (TLSv1.2:ECDHE-RSA-AES256-GCM-SHA384:256)
(Exim 4.91)
(envelope-from <[email protected]>)
id 1gUudZ-00BGJx-L7
for [email protected]; Thu, 29 Nov 2018 06:49:21 -0600
在上面的範例中,電子郵件來自,它通過了垃圾郵件發送者網域 的40.107.81.54
SPF 記錄 ( ) 檢查,因此電子郵件被接受。"v=spf1 include:spf.protection.outlook.com -all"
luxurylifestylereport.net
或者,如果您有權存取電子郵件伺服器日誌,則可以從那裡讀取電子郵件的來源。
解決
寄件者的郵局管理員應為其網域設定 SPF 記錄,以防止垃圾郵件發送者欺騙電子郵件網域。這不是你能做的事。
在他們的郵政管理員修復此問題之前,您可以嘗試調整反垃圾郵件設定以阻止帶有惡意附件或垃圾內容的電子郵件。
場景 2 – 寄件者的電子郵件遭到洩露
這種情況不太可能發生,因為你說這個問題時常發生,但其他人應該已經注意到並報告了這個問題。
症狀
您可以在電子郵件標頭中看到該電子郵件來自允許為寄件者網域發送電子郵件的 IP 位址。
原因
該 IP 位址的郵件伺服器或透過該位址傳送郵件的伺服器已受到威脅。駭客也可能找到了寄件者知道的聯絡人副本,並嘗試向這些聯絡人發送電子郵件,希望找到相關的人。
診斷
與場景1相同的流程
解決
寄件者的郵政局長需要停止並保護他們的電子郵件系統。這不是你能做的事。
在他們的郵政管理員修復此問題之前,您可以嘗試調整反垃圾郵件設定以阻止帶有惡意附件或垃圾內容的電子郵件。
場景 3 – 接收郵件伺服器不檢查 SPF 記錄
這種情況不太可能發生,因為垃圾郵件發送者不想浪費資源來嘗試為已經保護自己免受欺騙的網域欺騙電子郵件。您可能還會收到大量來自其他網域的欺騙郵件。
症狀
您收到某人發送的電子郵件,但該人可以證明他們沒有發送該電子郵件。事實上,任何人都可以驗證網域的 SPF 記錄是否配置正確,但您收到的電子郵件來自網域 SPF 記錄禁止的 IP 位址。
原因
您的電子郵件伺服器沒有過濾掉欺騙性電子郵件。
診斷
與場景一的流程相同,但可以看到寄件者的IP位址未通過SPF檢查
解決
有關如何設定 SPF 驗證的信息,請參閱電子郵件伺服器的文檔。
場景 4 – 收件者電子郵件帳號遭到入侵
這種情況不太可能發生,因為隱藏您已受到威脅的事實並利用您的電子郵件地址的良好聲譽向其他人發送垃圾郵件更有利可圖。此外,惡意實體可能會多樣化來源電子郵件地址。
症狀
您的傳入電子郵件日誌不會顯示出現的電子郵件,或收到的電子郵件的標題沒有意義。
原因
有人希望透過將惡意軟體電子郵件放入您已經受到威脅的電子郵件帳戶中來獲得更多存取權限,而無需實際發送任何電子郵件。可以透過 IMAP 協定新增電子郵件。
診斷
檢查您的郵件伺服器日誌中是否有您無法辨識的身份驗證。
解決
更改您的電子郵件帳戶的密碼。