如何防止被伪造邮件地址

susie · 2011-03-04, 14:08

最近发现有的客户碰到了邮件地址被冒用的情况，导致邮箱里有很多假的退信，对于这种情况，在网上搜集了一些资料。以供参考！
电子邮件系统的退信机制是互联网运作的标准之一，几乎所有的电子邮件系统都支持这项功能。所谓退信机制，即邮件系统在SMTP连接阶段，检查收件人是否存在，如果收件人不存在，或是接收端因为某种原因而不能接受，邮件系统将自动生成退信信息（NDR【Non-Delivery Report】）并自动发送给发件人。依据RFC的定义，邮件系统必须接受这种NDR，否则有可能导致连正常邮件都无法收取。退信攻击就是利用邮件系统的这一特定产生的。

所谓退信攻击，是将预攻击的对象伪造成发件人地址，而收件人设置为一系列其他邮件域并不存在的账号，这样当邮件大量发送，例如通过僵尸网络，由于收件人不存在，邮件系统将产生大量的退信给发件人地址。该发件人地址所属的真实服务器将收到大量的退信，增加服务器的负荷，也容易使该公司的邮件服务器被列入黑名单。

退信攻击在程度上有所区别，上面介绍的这种攻击，被攻击者可能一天之内收到数百上千封各种退信。一般用户碰到的退信攻击属于骚扰性质，垃圾邮件发送者在发送垃圾邮件时，常常随机的设置发件人，例如其中包括bobo@abc.com，当大量发送垃圾邮件时，有些邮件可能是以bobo@abc.com发送的，则bobo就可能收到退信，有时一天只有几封或几十封，但总是不断，让人十分郁闷。

退信信息通常比较有规律，例如发件人为空，或者为MAILER-DAEMON@xxx.com，主题一般为Undelivered Mail Returned等。有些用户采用关键字的技术将退信予以阻断，或者干脆限定阻止空发件人，但是这经常会把正常的退信也阻止掉，导致信息不畅。

一般而言，退信占一个公司的邮件量5%以上，这其中绝大部分是垃圾退信。如何防止收到这种垃圾退信，避免退信攻击呢？

采用SPF或domain-key的技术。这两种技术的原理相似。例如sohu.com的SPF记录是sohu.com text = "v=spf1 ip4:61.135.130.0/23 ip4:61.135.132.0/23 （。。。sohu邮件服务器所属IP）all"；如果有人冒用sohu发送垃圾邮件，收件方如果采用了SPF过滤技术，就能判定这是假冒的垃圾邮件，将不会给sohu发送DNR了。

注：什么是SPF记录？
SPF 是 Sender Policy Framework，它的实施方法是在域名注册记录中加入一个 TXT 类型的记录，里面用符合 SPF 的语法写入邮件的发送限制。
例如你的域名是 abc.com，邮件地址是 aaa@abc.com。那么在这个域名注册记录中加入一条 TXT 记录，内容为类似 "v=spf1 ip4:11.11.11.0/24 ~all" 这样子，就限制了只有 IP 地址是 11.11.11.0/24 这个网段内的主机才能以 abc.com 的名义发送电子邮件。
剩下的工作需要接收邮件的主机去完成了。比如对方收到一封信来自 IP 地址为 22.22.22.22 的主机，自称发件人是 aaa@abc.com，那对方主机会去查找 abc.com 域名的 SPF 记录，结果发现 22.22.22.22 这个 IP 并不在 abc.com 域所允许的发送邮件范围内，那么就知道这封信可能是假造的。
目前 SPF 已经越来越广泛应用在电子邮件领域，在未来不能通过 SPF 检查的邮件都会被拒绝。

2011-03-04, 14:08	#1 (permalink)
susie 初级会员注册日期: 2011-02-11 帖子: 2	如何防止被伪造邮件地址最近发现有的客户碰到了邮件地址被冒用的情况，导致邮箱里有很多假的退信，对于这种情况，在网上搜集了一些资料。以供参考！电子邮件系统的退信机制是互联网运作的标准之一，几乎所有的电子邮件系统都支持这项功能。所谓退信机制，即邮件系统在SMTP连接阶段，检查收件人是否存在，如果收件人不存在，或是接收端因为某种原因而不能接受，邮件系统将自动生成退信信息（NDR【Non-Delivery Report】）并自动发送给发件人。依据RFC的定义，邮件系统必须接受这种NDR，否则有可能导致连正常邮件都无法收取。退信攻击就是利用邮件系统的这一特定产生的。所谓退信攻击，是将预攻击的对象伪造成发件人地址，而收件人设置为一系列其他邮件域并不存在的账号，这样当邮件大量发送，例如通过僵尸网络，由于收件人不存在，邮件系统将产生大量的退信给发件人地址。该发件人地址所属的真实服务器将收到大量的退信，增加服务器的负荷，也容易使该公司的邮件服务器被列入黑名单。退信攻击在程度上有所区别，上面介绍的这种攻击，被攻击者可能一天之内收到数百上千封各种退信。一般用户碰到的退信攻击属于骚扰性质，垃圾邮件发送者在发送垃圾邮件时，常常随机的设置发件人，例如其中包括bobo@abc.com，当大量发送垃圾邮件时，有些邮件可能是以bobo@abc.com发送的，则bobo就可能收到退信，有时一天只有几封或几十封，但总是不断，让人十分郁闷。退信信息通常比较有规律，例如发件人为空，或者为MAILER-DAEMON@xxx.com，主题一般为Undelivered Mail Returned等。有些用户采用关键字的技术将退信予以阻断，或者干脆限定阻止空发件人，但是这经常会把正常的退信也阻止掉，导致信息不畅。一般而言，退信占一个公司的邮件量5%以上，这其中绝大部分是垃圾退信。如何防止收到这种垃圾退信，避免退信攻击呢？采用SPF或domain-key的技术。这两种技术的原理相似。例如sohu.com的SPF记录是sohu.com text = "v=spf1 ip4:61.135.130.0/23 ip4:61.135.132.0/23 （。。。sohu邮件服务器所属IP）all"；如果有人冒用sohu发送垃圾邮件，收件方如果采用了SPF过滤技术，就能判定这是假冒的垃圾邮件，将不会给sohu发送DNR了。注：什么是SPF记录？ SPF 是 Sender Policy Framework，它的实施方法是在域名注册记录中加入一个 TXT 类型的记录，里面用符合 SPF 的语法写入邮件的发送限制。例如你的域名是 abc.com，邮件地址是 aaa@abc.com。那么在这个域名注册记录中加入一条 TXT 记录，内容为类似 "v=spf1 ip4:11.11.11.0/24 ~all" 这样子，就限制了只有 IP 地址是 11.11.11.0/24 这个网段内的主机才能以 abc.com 的名义发送电子邮件。剩下的工作需要接收邮件的主机去完成了。比如对方收到一封信来自 IP 地址为 22.22.22.22 的主机，自称发件人是 aaa@abc.com，那对方主机会去查找 abc.com 域名的 SPF 记录，结果发现 22.22.22.22 这个 IP 并不在 abc.com 域所允许的发送邮件范围内，那么就知道这封信可能是假造的。目前 SPF 已经越来越广泛应用在电子邮件领域，在未来不能通过 SPF 检查的邮件都会被拒绝。