反垃圾郵件技術(shù)之密徑追蹤(圖)

中國的網(wǎng)民數(shù)量已突破1 億，每年電子郵件發(fā)送量達(dá)500 億封，但是這樣的數(shù)據(jù)卻并不能令我們驚喜，因為在這500 億封電子郵件中，有將近60%也就是有300 億封是垃圾郵件。垃圾郵件已經(jīng)成為一個綜合性的社會問題，要想從根本上杜絕垃圾郵件的泛濫，必須采取全民總動員的方式。由政府出面組織立法，行業(yè)制訂規(guī) 則、積極協(xié)調(diào)，郵件服務(wù)商則提供技術(shù)，用戶積極參與、協(xié)同合作。只有這樣，形成一個大眾化的反垃圾郵件聯(lián)盟，才能從根本上取得顯著成效。
反垃圾郵件技術(shù)之 密徑尋源
濫用SMTP
垃圾郵件泛濫的今天，如果收到了垃圾郵件，你可能會根據(jù)郵件的提示采用取消訂閱的操作，而這些取消訂閱的方法根本就是一種偽裝，幾乎沒有一個是有效的。相 反，郵件的發(fā)起者卻根據(jù)你的反饋信息，將你的郵件地址納入有效投遞用戶數(shù)據(jù)庫，得不償失。追其原因，主要和商業(yè)利益以及SMTP協(xié)議的安全機(jī)制不健全有 關(guān)。
SMTP協(xié)議對我們來說，應(yīng)該是再熟悉不過的了，但是，這個協(xié)議在創(chuàng)建的時候并沒有考慮到未來的郵件會成為垃圾，因此安全性很差（人們還是以RFC524 為基礎(chǔ)來執(zhí)行SMTP的），郵件頭可以任意創(chuàng)建、偽造和修改。郵件服務(wù)器一般不檢查發(fā)送者的內(nèi)容，而只關(guān)心接收者，這就給了垃圾郵件發(fā)送者可乘之機(jī)。互聯(lián) 網(wǎng)上的SMTP認(rèn)證是針對無限制轉(zhuǎn)發(fā)采取的措施。所謂無限制轉(zhuǎn)發(fā)，就是任何人都可以使用你的服務(wù)器發(fā)送郵件，一方面降低了投入成本，另一方面隱藏了真實的 來源。隱藏真實地址的原因主要是因為垃圾郵件發(fā)送在許多國家屬于違法行為，另外，垃圾郵件發(fā)送者（spammer）都明白垃圾郵件是不受歡迎的，通過偽造 發(fā)送者地址，就可能減少這種反應(yīng)。早在2002年的時候，歐美的一些IT技術(shù)論壇上，關(guān)于因為大量的垃圾郵件引起了西方ISP屏蔽中國郵件服務(wù)器的“熱 潮”，就曾經(jīng)廣為部署過。當(dāng)時，中國電信的202.96.0.0—202.111.255.255范圍內(nèi)的全部地址都被屏蔽，這都是垃圾郵件惹的禍。服務(wù) 器被中繼（Open Relay）的現(xiàn)象不但阻止垃圾郵件的首要任務(wù)，而且也是病毒郵件泛濫的罪魁禍?zhǔn)住?

解讀信頭
追蹤?quán)]件將很大程度依靠對郵件頭的分析，RFC2076 列出了多數(shù)通用的消息頭，此外也可以參考RFC2822。比如在Outlook Express中，我們可以通過點(diǎn)擊郵件的高級屬性打開郵件頭部的信息（圖1），一個郵件頭中常用于分析的項目如下：

cs.xzking.com/d/file/20150130/708cfb8e2a529bebe94a4562d4256172.bmp' />


1. Return-Path: eberlyolabode@domian1.net ；回復(fù)時發(fā)送的地址。很容易被偽造，但常常提供線索，比如有些垃圾郵件經(jīng)常用該域指向一個合法的郵件地址，以便spammer能夠接收到回復(fù)的郵件；
2. Delivered-To: nospammer@mymail.com；和后面的“To”相同，收信人地址；
3. Received: from mail.domian1.net (unknown [192.168.x.148])
by mail.domain2.com (Postfix) with ESMTP id 66B1612191F
for ; Mon, 24 Jul 2006 05:11:54 0800 (CST)
郵件頭中最可信部分。一般會有幾條，形成站點(diǎn)列表，這些信息表明達(dá)到目的地過程中郵件所經(jīng)過的服務(wù)器，域名都是郵件服務(wù)器自動插入 的，spammer 可以偽造，但是在被偽造以后經(jīng)過的域名是可信的。這個列表從下往上表明了服務(wù)器路徑，最上面的一條Received是最終目的郵件服務(wù)器，也就是自己要接 收郵件的服務(wù)器，除非它也出現(xiàn)了問題。Receive 語句的基本表達(dá)格式是：from Server A by Server B，Server A 為發(fā)送服務(wù)器, Server B 為接收服務(wù)器。ESMTP ID 表示
4. Message-ID: 000001c6ae9c$a563a520$a4e8a8c0@saj61> ，郵件系統(tǒng)在創(chuàng)建郵件時的唯一標(biāo)記（參考RFC822 、RFC1036）。也經(jīng)常被偽造，但如果是正常的，那么Message-ID:也通常能確定發(fā)送者所登錄的系統(tǒng)，而不僅僅是郵件被創(chuàng)建的系統(tǒng)。 Message-ID 的結(jié)構(gòu)同郵件服務(wù)器程序有直接關(guān)系，不同的郵件服務(wù)器的ID也不相同，但區(qū)別于ESMTP ID；
5. 服務(wù)器產(chǎn)生的ID 也不一樣，有時相同郵件服務(wù)器的不同處理也會產(chǎn)生不一樣的ID
6. Reply-To: "Olabode Eberly" eberlyolabode@domian1.net> 回復(fù)地址，被偽造；
7. From: "Olabode Eberly" eberlyolabode@domian1.net> 發(fā)信人地址，被偽造；
8. To: nospammer@ mymail.com

判別源頭的要點(diǎn)
一個完整的郵件傳輸過程如下：“郵件發(fā)送者→ MUA → MTA → 網(wǎng)絡(luò)傳輸→MTA → MDA→ 可能會有的郵件過濾 →MUA → 郵件接收者”。通過郵件傳輸原理，就可以將每個環(huán)節(jié)的不同特征拿出來，這為我們判別垃圾郵件帶來幫助（圖2）。



l MUA (Mail User Agent)
Mail Client端的軟件，它幫我們傳送與接受Mail，使用者通過它來跟 Mail Server 溝通，最常見的 MUA 有 Outlook Express和Fox Mail等
l MTA (Mail Transfer Agent)
它的作用是幫助我們把Mail傳送給其它Mail Serve，同時接受外部主機(jī)寄來的信件，所有的 SMTP servers 都可稱為 MTA。
l MDA (Mail Delivery Agent)
這項服務(wù)是用來把 MTA 所接受的Mail傳遞至使用者 Mailbox（收信箱）里面，部分SMTP Servers 也兼顧這MDA的角色。
l 收信、發(fā)信人地址
在我們收到的垃圾郵件中經(jīng)常遇到發(fā)信人是我們自己的名字，或者收信人根本是與自己毫無關(guān)系的名字。這是因為收信人的MUA會從郵件中提 取，F(xiàn)rom、To、Date字段，如果發(fā)信人的MUA不是按照正常的邏輯工作的，或者發(fā)信人有意的使用垃圾郵件發(fā)送軟件，那么就會變更MAIL FROM 和RCPT TO 的值，使其擁有了不同的郵件地址。這個時候，MAIL FROM的值絕對是不可信的，而發(fā)信者為了得到收信人的反饋信息，所有我們可以通過RCPT TO 中的域名地址來定位來源。
l 非法中繼
如果發(fā)信人使用的不是自己所擁有的郵件服務(wù)器，在傳輸過程中使用互聯(lián)網(wǎng)上帶有Open Relay漏洞的服務(wù)器，這就為判別郵件的真實來源帶來的困難。在Received字段中如果包含了既不是發(fā)信人，又不是收信人域名的郵件服務(wù)器，這就很 有可能是被非法中繼的服務(wù)器，我們可是使用TELNET等工具測試這臺服務(wù)器是否具有Open Relay漏洞。
l 反向解析不同
如果發(fā)信人的域名為sender.com，但他在SMTP對話中的HELO命令后冒充另外一個域名是，比如 HELO testname.org ，此時信件的Received字段很有可能是如下形式：Received: from testname.org (sender.com [192.168.100.100]) by……, 我們通過對testname.org進(jìn)行反向地址查詢后，就能發(fā)現(xiàn)IP地址信息與這個域名地址不符。
l 查找偽造的Received
由于怕暴露自己的真實信息，垃圾郵件的發(fā)送者經(jīng)常在郵件頭中插入大量的Received行。如果你的郵件頭中存在大量的Received字段，最 后幾行一般是被插入的，因為信件一旦離開主機(jī)后，發(fā)信人是無法進(jìn)行控制的，所經(jīng)過的郵件服器將自動將信息加入到信頭頂部。從上到下追蹤From和by的信 息，以及IP的路由信息，是可以判別那些行是被偽造的。

評論：
通過上述內(nèi)容我們有可能查找出郵件的真實發(fā)送IP，將其屏蔽，但如果發(fā)信方采用撥號的方式進(jìn)行發(fā)送，或者機(jī)場經(jīng)常更換地址，這就增加了判別正確的可信度。 早在 1999 年，垃圾郵件與病毒郵件還未成為全球IT業(yè)關(guān)注議題時，制定因特網(wǎng)與電子郵件相關(guān)標(biāo)準(zhǔn)的 IETF/IRTF等單位就提交文件 RFC 2505， 針對反制垃圾郵件的 SMTP MTA 主機(jī)設(shè)計提出規(guī)劃建議：需要SMTP MTA 主機(jī)應(yīng)針對郵件發(fā)送來源進(jìn)行通透解析，判定是否具匿名、偽造、濫發(fā)等非法行為，以采取退件或延遲反制機(jī)制；RFC 2505 更提出技術(shù)洞見，預(yù)言具彈性辨識機(jī)制、精良設(shè)計的 MTA 才能時時因應(yīng)垃圾濫發(fā)者的反制手法。深度垃圾郵件行為解析必需在 MTA 階段執(zhí)行，以郵件傳輸值追蹤技術(shù)、郵件通訊行為解析技術(shù)與預(yù)設(shè)濫發(fā)者類型 Pattern，追蹤、驗證并判斷來信是否為垃圾郵件。絕非淺層郵件行為解析如聯(lián)機(jī)次數(shù)分析、發(fā)送 IP 地址、發(fā)送時間、發(fā)送頻率、收件者數(shù)目、淺層電子郵件標(biāo)頭檢查、發(fā)送行為偵測與檢驗Handshaking 聯(lián)機(jī)階段等信息可判斷。