相信大家和我一樣,在日常生活中收垃圾郵件也算是一份固定的工作了吧?收到垃圾信件后,如何追蹤垃圾郵件發(fā)送者呢?很多朋友會毫不猶豫的說,當然是查出寄信人的IP了。其實,在對付垃圾郵件方面,主要有兩種形式:防御與追蹤。防御主要是強調(diào)對垃圾郵件的過濾或者是阻止垃圾郵件的產(chǎn)生,而追蹤則強調(diào)主動地追查垃圾郵件來源,并對其進行警告或者采取其它措施。本文將主要介紹對郵件的追蹤方面的技術(shù),通過針對郵件頭進行分析,并查詢到最接近源頭的地址,以揭開垃圾郵件發(fā)送者的“廬山真面目”。
郵件頭及傳輸過程
首先,我們通過一次反垃圾郵件的測試來看看什么是郵件頭。因為大多數(shù)情況下,服務器都會把寄信人的相關(guān)信息附在郵件的文件頭。比如,利用Tom.com的免費郵箱,給spamemail@china.com.cn發(fā)一個郵件,然后進入http://mail.china.com.cn/郵箱,收到后打開看看(如圖1所示):
圖1
點擊信箱上面的“郵件頭信息”,可看到這樣的信息:
|
對方是從不同的郵件服務器上發(fā)來的,中間自然有轉(zhuǎn)信過程,每轉(zhuǎn)一次都會在文件頭頂部加信息。下表列出了一部分表頭的相關(guān)含義,對我們分析垃圾郵件具有事半功倍的效果。
From: 郵件從哪里發(fā)送的。很容易被偽造,在分析中,非常不可信任。
From 不同于From:域,這行并不通常是郵件頭的一部分,但是郵件轉(zhuǎn)發(fā)程序經(jīng)常插入這一行,表明郵件什么時候被接收的。這一行總是郵件頭的第一行,也可以被偽造,但并不一定。
Reply-To: 回復時發(fā)送的地址。很容易被偽造,但常常提供線索,比如有些垃圾郵件經(jīng)常用該域指向一個合法的郵件地址,以便spammer能夠接收到回復的郵件。
Return-Path: 與Reply-To:相同
Sender: 消息發(fā)送者。這通常都是偽造的
Message-ID: 郵件系統(tǒng)在創(chuàng)建郵件時的唯一標記。也是最容易被偽造的地方。正常情況下,“Message-ID:”能確定發(fā)送者所登錄的系統(tǒng),而不僅僅是創(chuàng)建郵件的系統(tǒng)。Message-ID 的結(jié)構(gòu)同郵件服務器程序有直接關(guān)系,不同的郵件服務器產(chǎn)生的ID 也不一樣,有時,相同郵件服務器的不同處理也會產(chǎn)生不一樣的ID。多數(shù)郵件服務器會包含日期、時間、DNS等,有的甚至包含郵件用戶信息。如0040409085748.91B1.SAN@test.com,就是由日期、時間、標識、郵件用戶和DNS構(gòu)成。
In-Reply-To: 在回復的時候可能存在,通常指向原郵件的Messgae-ID。
Received: 最可信賴的頭。一般會有幾條,形成站點列表,這些信息表明達到目的地過程中郵件所經(jīng)過的服務器,該域都是郵件服務器自動插入的,spammer可以偽造,但是在被偽造的那個點之后的是無法偽造的。這個列表從下往上表明了服務器路徑,最上面的一條Received:是最終目的的系統(tǒng)或郵件服務器。
通常的郵件傳遞主要步驟由下面過程完成:
Sender→MUA→MTA→(routing) →MTA →MDA →{filtering}→ MUA→receiver
腳本小子:MUA(Mail User Agent)表示郵件客戶端程序,比如Foxmail、Outlook、Mutt等;MTA(Mail Transport Agent or Message Transfer Agent)表示消息傳輸代理,這部分程序負責存儲和轉(zhuǎn)發(fā)、發(fā)送E-mail,它從MUA或者其他的MTA 接收到郵件后,就存在于本地,并分析收件人或者轉(zhuǎn)發(fā)到其他的MTA,在處理過程中,它通常會編輯、添加郵件頭內(nèi)容,比如Sendmail、Exchange等;MDA(Mail Delivery Agent)表示郵件發(fā)送代理,這個程序負責將郵件發(fā)送給用戶,通常處理某種特定發(fā)送操作。
了解了這些環(huán)節(jié),我們就可以順藤摸瓜,探測垃圾發(fā)送者的老巢了。
垃圾郵件追蹤實例
SMTP協(xié)議對我們來說,應該是再熟悉不過的了,但是,這個協(xié)議在創(chuàng)建的時候并沒有考慮到未來的郵件會成為垃圾,因此安全性很差,郵件頭可以任意創(chuàng)建、偽造和修改,而郵件服務器一般不檢查發(fā)送者的內(nèi)容,而只關(guān)心接收者。這就給了垃圾郵件發(fā)送者可乘之機,比如,通過Outlook就可以偽造郵件頭。為了對付ISP監(jiān)控垃圾郵件,這些垃圾郵件發(fā)送者通常用一些郵件程序?qū)⑧]件轉(zhuǎn)發(fā)到其他的郵件服務器,并且修改和偽造郵件頭,避免被追蹤。所以,我們現(xiàn)在的關(guān)鍵任務是識別偽造內(nèi)容并獲得真實信息,根據(jù)真實信息進行查詢。#p#分頁標題#e#
1.郵件頭追蹤
一般來說,郵件內(nèi)容、Reply-to、最終郵件服務器的Received的內(nèi)容都有助于我們追蹤垃圾郵件的來源。對于“Received:”域來說,我們可以從時區(qū)出錯、時間誤差、IP地址錯誤這幾個方面來追查。試想,一個郵件經(jīng)過了幾天甚至更長時間來傳遞,正常嗎?下面就是一個修改了郵件地址和IP地址的郵件頭:
|
上面的郵件頭,明顯經(jīng)過了篡改,包括在MUA 發(fā)送郵件時添加的頭內(nèi)容和經(jīng)過MTA過程中添加的內(nèi)容。現(xiàn)在,關(guān)鍵的任務就是要檢查“Received:”的傳遞過程了。
第一步:找到如下內(nèi)容:
Received: from risker.debian.org (unknown [218.18.xxx.xxx]) by mail.test.com.cn (Postfix) with ESMTP id 32E0817DC17 for ; Thu, 8 Aug 2004 16:47:06 +0800 (CST)
仔細分析,我們可以看到,這是第一個MTA 從MUA 接收郵件時插入的頭內(nèi)容。MUA 的機器名是Risker.debian.org(這不是MUA 的DNS,而只是機器名),(unknown[218.18.xxx.xxx])表示該機器的IP地址,但是查詢的DNS是unknown的。該郵件被mai.test.com.cn接收,郵件服務器采用Postfix,而且采用的是ESMTP(擴展的SMTP),分配的ESMTP id是32E0817DC17,傳遞目標是pwbpub@test.com,接收時間為Thu,6 May 2004 16:47:06,時區(qū)是+0800 (CST)。
第二步:查找第二個Received:內(nèi)容。具體如下:
Received: from mail.test.com.cn ([127.0.0.1]) by localhost (mail[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 30543-01 for ; Thu, 8 Aug 2004 16:47:14 +0800 (CST)
這是郵件服務器內(nèi)部程序進行的一個處理過程,因此IP 地址為127.0.0.1,并且是Localhost處理,(amavisd-new, port 10024)表明這個處理程序是使用的Amavisd-new,amavisd-new是一個用于郵件服務器的殺毒、過濾等的接口。
第三步:查找第三個Received:內(nèi)容。具體如下:
Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) by test.com (Postfix) with ESMTP id 590F2160A9 for ; Thu, 8 Aug 2004 16:48:46 +0800 (CST)
該過程表示郵件從服務器名為Mail.test.com.cn 傳遞出去,IP 地址為211.167.xxx.xxx,接收郵件的服務器是Test.com,采用Postfix服務程序,也通常使用的ESMTP,傳遞的目標是pwbpub@test.com,日期為Thu,8 Aug 2004 16:48:46,時區(qū)是+0800(CST)。
從這個例子可以看出,郵件的傳遞過程是:
risker.debian.org(MUA)→mail.test.com.cn(MTA)→localhost(MTA中的amavisd-new)→test.com(MTA)
整個過程經(jīng)歷了將近兩分鐘,不過,在追蹤垃圾郵件過程中,這個傳遞過程中的Received:存在被篡改的可能,也就是說,發(fā)送者可能使用了“障眼法”,因此,要煉就一雙火眼金睛,判斷哪些信息是偽造的,哪些是真實的。對于Received:來說,最后的站點是接收者自己的郵件服務器,因此最后的Received是真實可靠的,除非自己的服務器已經(jīng)不安全了。
2.垃圾廣告郵件追蹤
現(xiàn)在,垃圾廣告郵件尤其猖獗。對于這類郵件來說,內(nèi)容中有聯(lián)系人、聯(lián)系電話、聯(lián)系Email、郵編等,追查就很直接。一個典型的此類郵件頭內(nèi)容如下:
|
現(xiàn)在來對該郵件進行簡單的分析。首先找到這一段:
Received: from spamemail.com (unknown [221.232.11.40])by test.com (Postfix) with ESMTP id 399521C124 for ; Mon, 24 May 2004 11:07:41 +0800 (CST)
本例中,測試用的郵件服務器Test.com是可信的,因此這一條Received信息也是可靠的,但其中的一些內(nèi)容可能并不是真實可靠的。郵件來自一個機器名為spamemail.com的,IP 地址為221.232.11.40,郵件接收時間是Mon, 24 May 2004 11:07:41 +0800 (CST)。簡單檢查Spamemail.com,可以得出IP地址為Spamemail.com [203.207.*.*],很容易可以知道這個spamemail.com只是一個名字而已。該郵件的發(fā)送者是From: "bbcss" ,而回復地址是:Reply-To:reply@yahoo.com.cn。實際上,我們就可以推測:fault@spamemail.com就是偽造的了,但是回復地址卻可能是真實的;另外,他們肯定使用了一些垃圾郵件發(fā)送工具,能夠偽造發(fā)送者地址、機器名,并且可以直接傳遞郵件。#p#分頁標題#e#
3.追捕
經(jīng)過上述分析測試,我們就可以得到一些有用的數(shù)據(jù)了。通過對郵件的分析,我們一般能夠找到可能接近源頭的某個郵件地址或者一個IP地址(這個IP地址可能是一個受害者),用這些信息來追查,依然存在很多難度,畢竟有些事情不是某個人可以完成的,但是卻在某些特殊應用方面能夠提供不小的幫助。現(xiàn)在,假如我們看到的信來自163.net服務器(bjmx4.163.net),再追下去是從263.net服務器發(fā)來的(smtp.x263.net),再下去是來自IVAN (unknown [218.70.*.*]),是誰呢?毫無疑問應該是寄信人了,他的IP就是218.70.*.*,用一個查地理地址最好用的軟件“追捕”查查看(如圖2所示):
圖2
那就是來自重慶。通過很多優(yōu)秀的工具,我們就可以來揭開對手的廬山真面目了。如果對方在聊天室或論壇上,我們怎樣查到他的IP呢?其實也簡單,下載一個孤獨劍客的作品Iphunter,軟件下載地址為http://www4.skycn.com/soft/1122.html,運行它后,就會把連接到你電腦的IP捕獲下來,而讓對方來連接你的電腦,當然要讓他不知不覺的來連接,而最好的方法就是在聊天室或論壇上放一幅圖片,圖片的網(wǎng)址必須是你的IP,如 [img] /pic/8/2005-11-15-1615l.jpg [/img],只要對方看到這個(要吸引他的眼球),他的電腦就會自動來打開這個圖,當然就會找到你的電腦上來,呵呵,正好中計,Iphunter就可以把他的IP捕獲了!剩下的,就是要考慮一下怎么教訓他了!
