iT邦幫忙

0

奇特的郵件標頭

Received: from mll ([222.246.71.189]) by 郵件主機名稱.網域名稱.com.tw with Microsoft SMTPSVC(6.0.3790.4675);
Sat, 21 May 2011 06:43:25 +0800
Sender: 某個郵件帳號@網域名稱.com.tw
Date: Sat, 21 May 2011 06:43:15 +0800
From: =?utf-8?B?5rGq5pet6bqf?= <fssqvv@yuwxf.cn>
To:
Subject: =?utf-8?B?bGgt5Yaz6IOc5Lit5bGCLeaZuuaFp+aJk+mAoOmrmOaViOWboumYny1ldy0=?=
=?utf-8?B?5rGq5pet6bqfLWV1eHl4?=
Message-ID: <20110521064325885642@網域名稱.com.tw>
X-mailer: Foxmail 6, 13, 102, 15 [cn]
Mime-Version: 1.0
Content-Type: multipart/mixed;
boundary="=====003_Dragon526751472011_====="
Return-Path: 某個郵件帳號@網域名稱.com.tw
X-OriginalArrivalTime: 20 May 2011 22:43:25.0236 (UTC) FILETIME=[54586740:01CC173F]

請教各位,這樣的郵件標頭,有什麼含義嗎?

註:
上述標頭內容的「網域名稱」、「某個郵件帳號」,皆非原標頭檔的字眼
網域名稱,是一個已向上游網路組織註冊的合法 domain name
某個郵件帳號,就是這台 Server 上確實存在且使用中的郵件帳號

fillano iT邦超人 1 級 ‧ 2011-05-22 19:36:52 檢舉
這個「汪X麟」是認識的人嗎?
8
tiger2000
iT邦新手 5 級 ‧ 2011-05-23 08:15:31
最佳解答

如果只是偽冒寄件者, 影響比較小. 你可以直接把來自該 IP : 222.246.71.189 的來信都變成黑名單之類的動作.

不過我覺得應該要注意是否有人帳號/密碼被猜中, 然後被 SMTP 認證後, 對外狂送垃圾信, 不確定Sender這個header的定義是否是被SMTP Auth成功的account.??

hsw1976 iT邦新手 3 級 ‧ 2011-05-23 10:59:00 檢舉

這些標頭內容都是從 \Exchsrvr\Mailroot\vsi 1\Queue\ 裡的 eml 檔看來的
而且這兩天觀察下來,發現一個特徵: Sender所指的郵件帳號都是固定那兩個
看來得找時間改密碼,驗證會不會有相同狀況了

hsw1976 iT邦新手 3 級 ‧ 2011-05-24 13:12:07 檢舉

依目前觀察的結果來看
密碼變更之後
queue裡面仍會有異常郵件
透過SMTP驗證而後對外發信的問題
似乎可以排除?

12
ganymede
iT邦好手 1 級 ‧ 2011-05-22 10:25:42

這沒什麼好怪的, 因為現行的 SMTP headder 是很容易偽造的.

hsw1976 iT邦新手 3 級 ‧ 2011-05-22 11:44:53 檢舉

所以偽造 SMTP Header 之後可以做什麼事?

raytracy iT邦大神 1 級 ‧ 2011-05-22 12:47:02 檢舉

hsw1976提到:
可以做什麼事?

.....做壞事......偷笑

hsw1976 iT邦新手 3 級 ‧ 2011-05-23 01:21:35 檢舉

當然,總不可能會是做好事

8
bzbz
iT邦新手 2 級 ‧ 2011-05-22 18:30:57

spam mail

hsw1976 iT邦新手 3 級 ‧ 2011-05-23 01:23:36 檢舉

所以從標頭來看
有沒有可能代表那個帳號已經被 Try 中
然後透過偽造標頭來寄發廣告信?

4
ayu
iT邦研究生 2 級 ‧ 2011-05-24 15:16:48

位於中國湖南的 222.246.71.189 有被列在 spamhaus PBL 裡,
Foxmail是中國常用的 mail client 之一,
這份 mail header 有不少偽造之處, 包括 Sender/From/Message-ID...等,
真正重點在 Return-Path: 某個郵件帳號@網域名稱.com.tw 這行,
假裝它是退信, 退到真正存在的 mail address.

這是垃圾信常見手法之一, 請毋需驚慌.

至於有無try帳密? 以您提供的 mail header 而言, 沒有關聯!

hsw1976 iT邦新手 3 級 ‧ 2011-05-24 18:26:09 檢舉

感謝您的解說

難道這就是傳說中的「電子郵件退信攻擊」?

hsw1976 iT邦新手 3 級 ‧ 2011-05-25 16:44:28 檢舉

這幾天用發信軟體稍微玩了一下
發現偽造Mail Header發信
似乎是蠻容易的一件事

hsw1976 iT邦新手 3 級 ‧ 2011-05-31 15:34:14 檢舉

\Exchsrvr\Mailroot\vsi 1\Queue\ 底下卡一堆信
這堆信的 Mail Header,內容就像題目所列的
為什麼 queue 裡面會卡這種信
就很讓人廢解了

我要發表回答

立即登入回答