今天,263网络通信“反垃圾”攻防实验室的防守方忙做了一团:一位攻击者利用263的邮箱成功完成了大量垃圾邮件的发送,这对于反垃圾先锋263是不能容忍的事情。
电脑屏幕前,反垃圾技术专家TONY连连摇头:“不可能,不可能,263的邮箱不可能用来发送垃圾邮件。我们的邮件发送服务器已经被严密地监控,发送的频率过高或者一次发送的用户数过多都会被阻止,更何况263还拥有超强的关键字过滤。”
显然,这不是一次普通的常规攻击。通常的垃圾邮件发送,是应用垃圾邮件群发工具来实现的,而这个课题早已被263的技术人员解决。那么,攻击者到底是应用什么手段来实现垃圾邮件的发送的呢?
TONY的眼光停留在了那封垃圾邮件上,专业的知识让他很快从邮件的信头中发现了一些蛛丝马迹,信头的邮件投递路由清楚的表明这封垃圾邮件是“自动回复”的产生的,对于这种情况,唯一有可能的就是 “自动回复”的内容就是要宣传的“垃圾信息”。
可以断定的是,这是一种利用自动回复反弹发送垃圾邮件的方式,邮箱主人并不曾给垃圾邮件发送者的邮箱发送邮件,而是垃圾邮件发送者伪造了这样的一个现象:将Mail from的地址改成垃圾邮件接收者的E-mail地址,申请一个263邮箱并设置好自动回复的垃圾邮件内容,然后给申请的263邮箱发送一封正常的邮件,这个时候263邮箱就进行自动回复,把垃圾邮件回复到Mail from的地址。如此反复,如果伪造大量的发件人给这个邮箱发信,就可以使用自动回复反弹发送大量的垃圾邮件。
TONNY恍然大悟,一拍大腿叫道:“咱们的‘邮件自动回复’服务器是单独的一个服务器,在那个服务器上没有进行邮件投递速率控制!”于是,技术专家们赶紧在“自动回复”服务器上安装了监控工具,果然发现了某个帐号频繁地大量进行“自动回复”。
没有什么比解决一个“反垃圾难题”更能令这些反垃圾专家们高兴了,然而反垃圾是一个漫长而辛苦的工程,反垃圾专家们在攻防实验室的酸甜苦辣才刚刚开始。敬请关注下期内容:《识破“mail from伪造”》
“反垃圾”攻防实验室友情提示:自动回复的邮件是可以被设置成垃圾邮件的,因此邮件提供商也要对自动回复进行监控,以免垃圾邮件发送高手利用此漏洞进行攻击。
以下是263反垃圾攻防实验室发布的第一期“企业邮件垃圾邮件分类统计”(2005年8月28日—9月3日)
数据来源:263天下邮企业邮件反垃圾系统
