相信大家和我一樣，在日常生活中收垃圾郵件也算是一份固定的工作了吧？收到垃圾信件后，如何追蹤垃圾郵件發(fā)送者呢？很多朋友會(huì)毫不猶豫的說(shuō)，當(dāng)然是查出寄信人的IP了。其實(shí)，在對(duì)付垃圾郵件方面，主要有兩種形式：防御與追蹤。防御主要是強(qiáng)調(diào)對(duì)垃圾郵件的過(guò)濾或者是阻止垃圾郵件的產(chǎn)生，而追蹤則強(qiáng)調(diào)主動(dòng)地追查垃圾郵件來(lái)源，并對(duì)其進(jìn)行警告或者采取其它措施。本文將主要介紹對(duì)郵件的追蹤方面的技術(shù)，通過(guò)針對(duì)郵件頭進(jìn)行分析，并查詢(xún)到最接近源頭的地址，以揭開(kāi)垃圾郵件發(fā)送者的“廬山真面目”。

郵件頭及傳輸過(guò)程

首先，我們通過(guò)一次反垃圾郵件的測(cè)試來(lái)看看什么是郵件頭。因?yàn)榇蠖鄶?shù)情況下，服務(wù)器都會(huì)把寄信人的相關(guān)信息附在郵件的文件頭。比如，利用Tom.com的免費(fèi)郵箱，給spamemail@china.com.cn發(fā)一個(gè)郵件，然后進(jìn)入http://mail.china.com.cn/郵箱，收到后打開(kāi)看看（如圖1所示）：

圖1

點(diǎn)擊信箱上面的“郵件頭信息”，可看到這樣的信息：

Return-Path: 
Delivered-To: spamemail@china.com.cn
Received: from 210.72.21.22 (HELO eqmanager2.china.org.cn)
(envelope-from pwbpub@tom.com)
by mx.china.com.cn (quarkmail-1.2.1) with SMTP id S918541AbULBMFs
for spamemail@china.com.cn; Thu, 2 Dec 2004 20:05:48 +0800
X-scanvirus: By Sophos Scan Engine
X-scanresult: CLEAN
X-Received:unknown,202.108.255.195,20041202195628
Received: from unknown (HELO tom.com) (202.108.255.195)
by localhost with SMTP; 2 Dec 2004 11:56:28 -0000
MIME-Version: 1.0
Message-ID: <41AF02AE.000113.05427@bjapp25>
Date: Thu, 2 Dec 2004 19:55:26 +0800 (CST)
From: "=?gb2312?B?cHdicHVi?=" 
To: spamemail@china.com.cn
Subject: =?gb2312?B?wKy7+NPKvP6y4srU?=
X-Priority: 3
X-Originating-IP: [211.99.190.5]
X-Mailer: 163net
Content-Type: Multipart/Alternative;
boundary="Boundary-=_yvxueODEqwFokhipGevKzuojgYQF"

對(duì)方是從不同的郵件服務(wù)器上發(fā)來(lái)的，中間自然有轉(zhuǎn)信過(guò)程，每轉(zhuǎn)一次都會(huì)在文件頭頂部加信息。下表列出了一部分表頭的相關(guān)含義，對(duì)我們分析垃圾郵件具有事半功倍的效果。

From: 郵件從哪里發(fā)送的。很容易被偽造，在分析中，非常不可信任。

From 不同于From:域，這行并不通常是郵件頭的一部分，但是郵件轉(zhuǎn)發(fā)程序經(jīng)常插入這一行，表明郵件什么時(shí)候被接收的。這一行總是郵件頭的第一行，也可以被偽造，但并不一定。

Reply-To: 回復(fù)時(shí)發(fā)送的地址。很容易被偽造，但常常提供線索，比如有些垃圾郵件經(jīng)常用該域指向一個(gè)合法的郵件地址，以便spammer能夠接收到回復(fù)的郵件。

Return-Path: 與Reply-To:相同

Sender: 消息發(fā)送者。這通常都是偽造的

Message-ID: 郵件系統(tǒng)在創(chuàng)建郵件時(shí)的唯一標(biāo)記。也是最容易被偽造的地方。正常情況下，“Message-ID:”能確定發(fā)送者所登錄的系統(tǒng)，而不僅僅是創(chuàng)建郵件的系統(tǒng)。Message-ID 的結(jié)構(gòu)同郵件服務(wù)器程序有直接關(guān)系，不同的郵件服務(wù)器產(chǎn)生的ID 也不一樣，有時(shí)，相同郵件服務(wù)器的不同處理也會(huì)產(chǎn)生不一樣的ID。多數(shù)郵件服務(wù)器會(huì)包含日期、時(shí)間、DNS等，有的甚至包含郵件用戶信息。如0040409085748.91B1.SAN@test.com，就是由日期、時(shí)間、標(biāo)識(shí)、郵件用戶和DNS構(gòu)成。

In-Reply-To: 在回復(fù)的時(shí)候可能存在，通常指向原郵件的Messgae-ID。

Received: 最可信賴(lài)的頭。一般會(huì)有幾條，形成站點(diǎn)列表，這些信息表明達(dá)到目的地過(guò)程中郵件所經(jīng)過(guò)的服務(wù)器，該域都是郵件服務(wù)器自動(dòng)插入的，spammer可以偽造，但是在被偽造的那個(gè)點(diǎn)之后的是無(wú)法偽造的。這個(gè)列表從下往上表明了服務(wù)器路徑，最上面的一條Received:是最終目的的系統(tǒng)或郵件服務(wù)器。

通常的郵件傳遞主要步驟由下面過(guò)程完成：

Sender→MUA→MTA→(routing) →MTA →MDA →{filtering}→ MUA→receiver

腳本小子：MUA（Mail User Agent）表示郵件客戶端程序，比如Foxmail、Outlook、Mutt等；MTA（Mail Transport Agent or Message Transfer Agent）表示消息傳輸代理，這部分程序負(fù)責(zé)存儲(chǔ)和轉(zhuǎn)發(fā)、發(fā)送E-mail，它從MUA或者其他的MTA 接收到郵件后，就存在于本地，并分析收件人或者轉(zhuǎn)發(fā)到其他的MTA，在處理過(guò)程中，它通常會(huì)編輯、添加郵件頭內(nèi)容，比如Sendmail、Exchange等；MDA（Mail Delivery Agent）表示郵件發(fā)送代理，這個(gè)程序負(fù)責(zé)將郵件發(fā)送給用戶，通常處理某種特定發(fā)送操作。

了解了這些環(huán)節(jié)，我們就可以順藤摸瓜，探測(cè)垃圾發(fā)送者的老巢了。
垃圾郵件追蹤實(shí)例

SMTP協(xié)議對(duì)我們來(lái)說(shuō)，應(yīng)該是再熟悉不過(guò)的了，但是，這個(gè)協(xié)議在創(chuàng)建的時(shí)候并沒(méi)有考慮到未來(lái)的郵件會(huì)成為垃圾，因此安全性很差，郵件頭可以任意創(chuàng)建、偽造和修改，而郵件服務(wù)器一般不檢查發(fā)送者的內(nèi)容，而只關(guān)心接收者。這就給了垃圾郵件發(fā)送者可乘之機(jī)，比如，通過(guò)Outlook就可以偽造郵件頭。為了對(duì)付ISP監(jiān)控垃圾郵件，這些垃圾郵件發(fā)送者通常用一些郵件程序?qū)⑧]件轉(zhuǎn)發(fā)到其他的郵件服務(wù)器，并且修改和偽造郵件頭，避免被追蹤。所以，我們現(xiàn)在的關(guān)鍵任務(wù)是識(shí)別偽造內(nèi)容并獲得真實(shí)信息，根據(jù)真實(shí)信息進(jìn)行查詢(xún)。

1．郵件頭追蹤

一般來(lái)說(shuō)，郵件內(nèi)容、Reply-to、最終郵件服務(wù)器的Received的內(nèi)容都有助于我們追蹤垃圾郵件的來(lái)源。對(duì)于“Received：”域來(lái)說(shuō)，我們可以從時(shí)區(qū)出錯(cuò)、時(shí)間誤差、IP地址錯(cuò)誤這幾個(gè)方面來(lái)追查。試想，一個(gè)郵件經(jīng)過(guò)了幾天甚至更長(zhǎng)時(shí)間來(lái)傳遞，正常嗎？下面就是一個(gè)修改了郵件地址和IP地址的郵件頭：

Return-Path: 
Delivered-To: pwbpub@test.com
Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) 
by test.com (Postfix) with ESMTP id 590F2160A9 for; 
Thu, 8 Aug 2004 16:48:46 +0800 (CST)
Received: from mail.test.com.cn 
([127.0.0.1])by localhost (mail[127.0.0.1])
(amavisd-new, port 10024) with ESMTP id 30543-01 for; 
Thu, 8 Aug 2004 16:47:14 +0800 (CST)
Received: from risker.debian.org 
(unknown [218.18.xxx.xxx]) bymail.test.com.cn 
(Postfix) with ESMTP id 32E0817DC17 for; 
Thu, 8 Aug 2004 16:47:06 +0800 (CST)
Date: Wed, 5 May 2004 14:36:13 +0800
From: wlj 
To: pwbpub@test.com
Subject:
Message-Id: <20040505143613.25dd214b.spamemail@test.com.cn>
Mime-Version: 1.0
Content-Type: multipart/mixed;
X-Virus-Scanned: by amavisd-new at test.com.cn

上面的郵件頭，明顯經(jīng)過(guò)了篡改，包括在MUA 發(fā)送郵件時(shí)添加的頭內(nèi)容和經(jīng)過(guò)MTA過(guò)程中添加的內(nèi)容。現(xiàn)在，關(guān)鍵的任務(wù)就是要檢查“Received:”的傳遞過(guò)程了。

第一步：找到如下內(nèi)容：

Received: from risker.debian.org (unknown [218.18.xxx.xxx]) by mail.test.com.cn (Postfix) with ESMTP id 32E0817DC17 for ; Thu, 8 Aug 2004 16:47:06 +0800 (CST)

仔細(xì)分析，我們可以看到，這是第一個(gè)MTA 從MUA 接收郵件時(shí)插入的頭內(nèi)容。MUA 的機(jī)器名是Risker.debian.org（這不是MUA 的DNS，而只是機(jī)器名），(unknown[218.18.xxx.xxx])表示該機(jī)器的IP地址，但是查詢(xún)的DNS是unknown的。該郵件被mai.test.com.cn接收，郵件服務(wù)器采用Postfix，而且采用的是ESMTP（擴(kuò)展的SMTP），分配的ESMTP id是32E0817DC17，傳遞目標(biāo)是pwbpub@test.com，接收時(shí)間為T(mén)hu，6 May 2004 16:47:06，時(shí)區(qū)是+0800 (CST)。

第二步：查找第二個(gè)Received:內(nèi)容。具體如下：

Received: from mail.test.com.cn ([127.0.0.1]) by localhost (mail[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 30543-01 for ; Thu, 8 Aug 2004 16:47:14 +0800 (CST)

這是郵件服務(wù)器內(nèi)部程序進(jìn)行的一個(gè)處理過(guò)程，因此IP 地址為127.0.0.1，并且是Localhost處理，(amavisd-new, port 10024)表明這個(gè)處理程序是使用的Amavisd-new，amavisd-new是一個(gè)用于郵件服務(wù)器的殺毒、過(guò)濾等的接口。

第三步：查找第三個(gè)Received:內(nèi)容。具體如下：

Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) by test.com (Postfix) with ESMTP id 590F2160A9 for ; Thu, 8 Aug 2004 16:48:46 +0800 (CST)

該過(guò)程表示郵件從服務(wù)器名為Mail.test.com.cn 傳遞出去，IP 地址為211.167.xxx.xxx，接收郵件的服務(wù)器是Test.com，采用Postfix服務(wù)程序，也通常使用的ESMTP，傳遞的目標(biāo)是pwbpub@test.com，日期為T(mén)hu，8 Aug 2004 16:48:46，時(shí)區(qū)是+0800(CST)。

從這個(gè)例子可以看出，郵件的傳遞過(guò)程是：

risker.debian.org（MUA）→mail.test.com.cn（MTA）→localhost（MTA中的amavisd-new）→test.com（MTA）

整個(gè)過(guò)程經(jīng)歷了將近兩分鐘，不過(guò)，在追蹤垃圾郵件過(guò)程中，這個(gè)傳遞過(guò)程中的Received:存在被篡改的可能，也就是說(shuō)，發(fā)送者可能使用了“障眼法”，因此，要煉就一雙火眼金睛，判斷哪些信息是偽造的，哪些是真實(shí)的。對(duì)于Received:來(lái)說(shuō)，最后的站點(diǎn)是接收者自己的郵件服務(wù)器，因此最后的Received是真實(shí)可靠的，除非自己的服務(wù)器已經(jīng)不安全了。

2．垃圾廣告郵件追蹤

現(xiàn)在，垃圾廣告郵件尤其猖獗。對(duì)于這類(lèi)郵件來(lái)說(shuō)，內(nèi)容中有聯(lián)系人、聯(lián)系電話、聯(lián)系Email、郵編等，追查就很直接。一個(gè)典型的此類(lèi)郵件頭內(nèi)容如下：

Return-Path: 
Delivered-To: pwbpub@test.com
Received: from spamemail.com (unknown [221.232.11.40])
by test.com (Postfix) with ESMTP id 399521C124
for ; Mon, 24 May 2004 11:07:41 +0800 (CST)
From: "bbcss" 
Subject: =?GB2312?B?0KGxvrS0tPPStcrmtvmxptXQycw=?=
To: pwbpub@test.com
Content-Type: multipart/mixed;
boundary="=_NextPart_2rfkindysadvnqw3nerasdf";charset="GB2312"
MIME-Version: 1.0
Reply-To: reply@yahoo.com.cn
Date: Mon, 24 May 2004 11:07:45 +0800
X-Priority: 3
Message-Id: <20040524030745.399521C124@test.com>

現(xiàn)在來(lái)對(duì)該郵件進(jìn)行簡(jiǎn)單的分析。首先找到這一段：

Received: from spamemail.com (unknown [221.232.11.40])by test.com (Postfix) with ESMTP id 399521C124 for ; Mon, 24 May 2004 11:07:41 +0800 (CST)

本例中，測(cè)試用的郵件服務(wù)器Test.com是可信的，因此這一條Received信息也是可靠的，但其中的一些內(nèi)容可能并不是真實(shí)可靠的。郵件來(lái)自一個(gè)機(jī)器名為spamemail.com的，IP 地址為221.232.11.40，郵件接收時(shí)間是Mon, 24 May 2004 11:07:41 +0800 (CST)。簡(jiǎn)單檢查Spamemail.com，可以得出IP地址為Spamemail.com [203.207.*.*]，很容易可以知道這個(gè)spamemail.com只是一個(gè)名字而已。該郵件的發(fā)送者是From: "bbcss" ，而回復(fù)地址是：Reply-To:reply@yahoo.com.cn。實(shí)際上，我們就可以推測(cè)：fault@spamemail.com就是偽造的了，但是回復(fù)地址卻可能是真實(shí)的；另外，他們肯定使用了一些垃圾郵件發(fā)送工具，能夠偽造發(fā)送者地址、機(jī)器名，并且可以直接傳遞郵件。
3．追捕

經(jīng)過(guò)上述分析測(cè)試，我們就可以得到一些有用的數(shù)據(jù)了。通過(guò)對(duì)郵件的分析，我們一般能夠找到可能接近源頭的某個(gè)郵件地址或者一個(gè)IP地址（這個(gè)IP地址可能是一個(gè)受害者），用這些信息來(lái)追查，依然存在很多難度，畢竟有些事情不是某個(gè)人可以完成的，但是卻在某些特殊應(yīng)用方面能夠提供不小的幫助。現(xiàn)在，假如我們看到的信來(lái)自163.net服務(wù)器（bjmx4.163.net），再追下去是從263.net服務(wù)器發(fā)來(lái)的（smtp.x263.net），再下去是來(lái)自IVAN (unknown [218.70.*.*])，是誰(shuí)呢？毫無(wú)疑問(wèn)應(yīng)該是寄信人了，他的IP就是218.70.*.*，用一個(gè)查地理地址最好用的軟件“追捕”查查看（如圖2所示）：

圖2

那就是來(lái)自重慶。通過(guò)很多優(yōu)秀的工具，我們就可以來(lái)揭開(kāi)對(duì)手的廬山真面目了。如果對(duì)方在聊天室或論壇上，我們?cè)鯓硬榈剿腎P呢？其實(shí)也簡(jiǎn)單，下載一個(gè)孤獨(dú)劍客的作品Iphunter，軟件下載地址為http://www4.skycn.com/soft/1122.html，運(yùn)行它后，就會(huì)把連接到你電腦的IP捕獲下來(lái)，而讓對(duì)方來(lái)連接你的電腦，當(dāng)然要讓他不知不覺(jué)的來(lái)連接，而最好的方法就是在聊天室或論壇上放一幅圖片，圖片的網(wǎng)址必須是你的IP，如 [img] /pic/8/2005-11-15-1615l.jpg [/img]，只要對(duì)方看到這個(gè)（要吸引他的眼球），他的電腦就會(huì)自動(dòng)來(lái)打開(kāi)這個(gè)圖，當(dāng)然就會(huì)找到你的電腦上來(lái)，呵呵，正好中計(jì)，Iphunter就可以把他的IP捕獲了！剩下的，就是要考慮一下怎么教訓(xùn)他了!