廣告信假冒本地信箱

隨風浮雲 發表於 2005-8-17 14:20:02

昨晚我的系統smtp(in).log 出現這個訊息 Wed 2005-08-17 02:28:19: ---------- Wed 2005-08-17 02:33:37: Session 5004; child 1; thread 33176 Wed 2005-08-17 02:33:36: Accepting SMTP connection from Wed 2005-08-17 02:33:36: Performing PTR lookup (228.196.43.202.IN-ADDR.ARPA) Wed 2005-08-17 02:33:36: * D=228.196.43.202.IN-ADDR.ARPA TTL=(3) PTR= Wed 2005-08-17 02:33:36: * Gathering A records... Wed 2005-08-17 02:33:36: * D=n3.bulk.tpe.yahoo.com TTL=(0) A= Wed 2005-08-17 02:33:36: ---- End PTR results Wed 2005-08-17 02:33:36: --> 220 compayn.com.tw ESMTP MDaemon 8.0.4; Wed, 17 Aug 2005 02:33:36 +0800 Wed 2005-08-17 02:33:36: <-- HELO n3.bulk.tpe.yahoo.com Wed 2005-08-17 02:33:36: Performing DNS-BL lookup (202.43.196.228 - connecting IP) Wed 2005-08-17 02:33:36: * sbl-xbl.spamhaus.org - passed Wed 2005-08-17 02:33:36: * opm.blitzed.org - passed Wed 2005-08-17 02:33:37: * relays.ordb.org - passed Wed 2005-08-17 02:33:37: * bl.spamcop.net - passed Wed 2005-08-17 02:33:37: ---- End DNS-BL results Wed 2005-08-17 02:33:37: Performing IP lookup (n3.bulk.tpe.yahoo.com) Wed 2005-08-17 02:33:37: * D=n3.bulk.tpe.yahoo.com TTL=(7) A= Wed 2005-08-17 02:33:37: ---- End IP lookup results Wed 2005-08-17 02:33:37: --> 250 cfwater.com.tw Hello n3.bulk.tpe.yahoo.com, pleased to meet you Wed 2005-08-17 02:33:37: <-- MAIL FROM:<[email protected]> Wed 2005-08-17 02:33:37: Performing IP lookup (company.com.tw) Wed 2005-08-17 02:33:37: * D=company.com.tw TTL=(1440) A= Wed 2005-08-17 02:33:37: * P=010 D=company.com.tw TTL=(60) MX= {1.2.3.4} Wed 2005-08-17 02:33:37: ---- End IP lookup results Wed 2005-08-17 02:33:37: --> 250 <[email protected]>, Sender ok Wed 2005-08-17 02:33:37: <-- RCPT TO:<[email protected]> Wed 2005-08-17 02:33:37: --> 250 <[email protected]>, Recipient ok Wed 2005-08-17 02:33:37: <-- DATA Wed 2005-08-17 02:33:37: Creating temp file (SMTP): c:\mdaemon\queues\temp\md50000001309.tmp Wed 2005-08-17 02:33:37: --> 354 Enter mail, end with <CRLF>.<CRLF> Wed 2005-08-17 02:33:37: Message size: 9242 bytes Wed 2005-08-17 02:33:37: Performing DomainKeys lookup (Sender: [email protected]) Wed 2005-08-17 02:33:37: * Message-ID: Wed 2005-08-17 02:33:37: * Querying for policy: yahoo-inc.com Wed 2005-08-17 02:33:37: * Querying: _domainkey.yahoo-inc.com ... Wed 2005-08-17 02:33:37: * Policy record: t=y; n=http://antispam.yahoo.com/domainkeys Wed 2005-08-17 02:33:37: * Result: pass Wed 2005-08-17 02:33:37: ---- End DomainKeys results Wed 2005-08-17 02:33:37: Passing message through AntiVirus (Size: 9242)... Wed 2005-08-17 02:33:37: * Message is clean (no viruses found) Wed 2005-08-17 02:33:37: ---- End AntiVirus results Wed 2005-08-17 02:33:37: Message creation successful: c:\mdaemon\queues\inbound\md50000000302.msg Wed 2005-08-17 02:33:37: --> 250 Ok, message saved <Message-ID: > Wed 2005-08-17 02:33:37: <-- QUIT Wed 2005-08-17 02:33:37: --> 221 See ya in cyberspace Wed 2005-08-17 02:33:37: SMTP session successful (Bytes in/out: 9353/329) Wed 2005-08-17 02:33:37: ---------- 約略看出有個廣告信商藉由YAHOO信箱，然後再以收件者信箱為他自已寄件者的郵件名稱，來到處發信，感覺上一切都符合規定，而且信件內容評分也未超過，這種信件不知站上先進有何妙招擋信。 不過奇怪的是由下面這行可看出 Wed 2005-08-17 02:33:37: --> 250 Ok, message saved <Message-ID: > 信件已被儲存，但是收件者卻收不到這封信，我猜測原因是mdaemon的antivirus未測到病毒，但是NV測到病毒把它給殺掉了。 

[ 本文最後由隨風浮雲於 2008-4-10 05:01 PM 編輯 ]

MarchFun 發表於 2005-8-17 16:54:02

防止別人假冒帳號，最好的方法就是「POP Before SMTP」： <a href='http://www.suma.tw/modules/ipboard/index.php?showtopic=881' target='_blank'>http://www.suma.tw/modules/ipboar...p?showtopic=881</a>

隨風浮雲 發表於 2005-8-17 17:44:51

可是這封廣告信，不是由我的信箱發信給別人(我把轉址發信關掉)，而是由YAHOO信箱假冒本地郵件位址，然後再發給本地郵件，這跟POP Before SMTP有關嗎?

MarchFun 發表於 2005-8-17 18:36:58

當然有關，他是假冒你的內部信箱不是嗎？如果他通不過 POP Before SMTP，就無法假冒了。

隨風浮雲 發表於 2005-8-17 20:17:04

可是它的發信地點是在yahoo Wed 2005-08-17 02:33:36: Accepting SMTP connection from Wed 2005-08-17 02:33:36: Performing PTR lookup (228.196.43.202.IN-ADDR.ARPA) Wed 2005-08-17 02:33:36: * D=228.196.43.202.IN-ADDR.ARPA TTL=(3) PTR= ，這跟郵件伺服器設 POP Before SMTP，好像搭不上，除非yahoo是架設mdaemon， 我想大家都有好幾個免費信箱，在免費信箱中也許只會設定一個專屬回信信箱，例如我有hotmail yahoo gmail，但是我只設一個[email protected]是我的回信信箱，所以當我寄信給別人時，如果我的發信地點在hotmail yahoo gmail，當smtp出去時一定是顯示hotmail yahoo gmail的smtp，可是因為寄信email設定[email protected]，所以像mdaemon這類的軟體，會先檢查 hotmail yahoo gmail是否是一個合法發信位置(利用正解、反解dns去查)，然後再檢查[email protected]是否為正確email(利用查詢 company.com.tw主機是否有abc這個人)，當然其它如spf或是信件內容查詢，那就是後續評分的事了。 所以除了是非company.com.tw mdaemon郵件伺服器上使用者，要使用company.com.tw mdaemon郵件伺服器寄信和"POP Before SMTP"有關外，我真的想不通由外部寄信箱寄給自己怎麼會和POP Before SMTP有關。 對不起，小弟才疏學殘提了那麼多問題!

MarchFun 發表於 2005-8-17 22:55:03

那跟發信的地點無關，也不管是寄給誰。只要是使用你伺服器的帳號發信到你的伺服器或從你的伺服器寄出，通不過 POP Before SMTP 就是不給寄。 會架郵件伺服器，通常就是會從另一部電腦來收發伺服器的信件。那問題來了，請問這裏說的「另一部電腦」，你自己公司中的其他電腦是「另一部電腦」， yahoo 的伺服器是不是也是「另一部電腦」呢？　POP Before SMTP 就是用來防止任何人從「另一部電腦」冒用你伺服器中的帳號透過你的伺服器來寄信。

隨風浮雲 發表於 2005-8-18 08:18:55

假如我設了company.com.tw 的Mdaemon郵件伺服器POP Before SMTP功能，我用hotmail yahoo gmail寄信，寄件人郵件地址也不能用[email protected]，是這樣子嗎?

MarchFun 發表於 2005-8-18 11:12:19

是啊！沒錯！除非能先通過 POP Before SMTP 的檢查。

隨風浮雲 發表於 2005-8-19 08:09:21

經查清楚上面信件來源(看log看得好累)， Fri 2005-08-19 02:17:08: ---------- Fri 2005-08-19 02:47:14: Content Filter processing c:\mdaemon\queues\local\md50000000759.msg... Fri 2005-08-19 02:47:14: > Message return-path: [email protected] Fri 2005-08-19 02:47:14: > Message from: [email protected] Fri 2005-08-19 02:47:14: > Message to: [email protected] Fri 2005-08-19 02:47:14: > Message subject: Yahoo!奇摩交友推薦給LeeEdward活潑美麗的教育/研究女生 Fri 2005-08-19 02:47:14: > Message ID: Fri 2005-08-19 02:47:14: Start Content Filter results Fri 2005-08-19 02:47:14: * Matched 0 of 2 active rules Fri 2005-08-19 02:47:14: End of Content Filter results Fri 2005-08-19 02:47:14: ---------- 原來是yahoo自已就是一個大廣告商，他用我上面所說的，因為在使用YAHOO GMAIL HOTMAIL，都會用一個專屬信箱，他就利用這個專屬信箱為發信人，然後再寄信給這個發信人。

shem888 發表於 2008-4-9 17:14:24

最近有注意到一種垃圾信 ,   重點是他仿冒我公司的 Email Address , 寄信給自己 , 
觀看上述的說明,  開 POP Before SMTP  就不會被仿冒 !   但我確定已經是打開的 !!!
會是一種新的技術 ?  或我公司的密碼被解 ?   可以從那裡看出  他有 pop before SMTP ??
        或其他 ?
 
 
ps:  也因為是 Local  user  , AntiSpam 跟本不會動作
 
 
<A href="mailto:[email protected]">[email protected]</A>   是我公司的 Email 
 
 
垃圾信的內容 :
=================================================
-----Original Message----- From: <A href="mailto:[email protected]">[email protected]</A> Sent: 無 To: <A href="mailto:[email protected]">[email protected]</A> Subject: 各行各業馬上業績double!!
 
<A href="http://work.xxx/">http://work.xxx</A>
貴公司xxxxxxxx
xxxxxxxxxxxxxxxxxxxxxxxxx 
電洽0922-177-yyy 本公司網站 <A href="http://work.xxx/">http://work.xxx</A>
 =========================================
 
Smtp in  的 Log ...
=========================================
---------- Wed 2008-04-09 13:44:51: Session 5279; child 1; thread 2488 Wed 2008-04-09 13:44:49: Accepting SMTP connection from Wed 2008-04-09 13:44:49: Performing PTR lookup (39.106.131.220.IN-ADDR.ARPA) Wed 2008-04-09 13:44:49: *  D=39.106.131.220.IN-ADDR.ARPA TTL=(1440) PTR= Wed 2008-04-09 13:44:49: *  Gathering A records... Wed 2008-04-09 13:44:49: *  D=220-131-106-39.HINET-IP.hinet.net TTL=(1440) A= Wed 2008-04-09 13:44:49: ---- End PTR results Wed 2008-04-09 13:44:49: --> 220 xxxxxx.com.tw ESMTP MDaemon 9.6.5; Wed, 09 Apr 2008 13:44:49 +0800 Wed 2008-04-09 13:44:50: <-- HELO Lxlouisa.COM Wed 2008-04-09 13:44:50: --> 250 xxxxxx.com.tw Hello 220-131-106-39.HINET-IP.hinet.net, pleased to meet you Wed 2008-04-09 13:44:50: <-- mail from: <<A href="mailto:[email protected]">[email protected]</A>> Wed 2008-04-09 13:44:50: --> 250 <<A href="mailto:[email protected]">[email protected]</A>>, Sender ok Wed 2008-04-09 13:44:50: <-- RCPT TO:<<A href="mailto:[email protected]">[email protected]</A>> Wed 2008-04-09 13:44:50: Performing DNS-BL lookup (220.131.106.39 - connecting IP) Wed 2008-04-09 13:44:50: *  zen.spamhaus.org - failed Wed 2008-04-09 13:44:50: ---- End DNS-BL results Wed 2008-04-09 13:44:50: --> 250 <<A href="mailto:[email protected]">[email protected]</A>>, Recipient ok Wed 2008-04-09 13:44:50: <-- data Wed 2008-04-09 13:44:50: Creating temp file (SMTP): c:\mdaemon\temp\md50000016499.tmp Wed 2008-04-09 13:44:50: --> 354 Enter mail, end with <CRLF>.<CRLF> Wed 2008-04-09 13:44:50: Message size: 699 bytes Wed 2008-04-09 13:44:50: Performing DomainKeys lookup (Sender: <A href="mailto:[email protected]">[email protected]</A>) Wed 2008-04-09 13:44:50: *  File: c:\mdaemon\temp\md50000016499.tmp Wed 2008-04-09 13:44:50: *  Message-ID: n/a Wed 2008-04-09 13:44:50: *  Querying for policy: xxxxxx.com.tw Wed 2008-04-09 13:44:50: *    Querying: _domainkey.xxxxxx.com.tw ... Wed 2008-04-09 13:44:51: *    DNS: *  Name server reports domain name unknown Wed 2008-04-09 13:44:51: *  Result: neutral Wed 2008-04-09 13:44:51: ---- End DomainKeys results Wed 2008-04-09 13:44:51: Passing message through AntiVirus (Size: 699)... Wed 2008-04-09 13:44:51: *  Message is clean (no viruses found) Wed 2008-04-09 13:44:51: ---- End AntiVirus results Wed 2008-04-09 13:44:51: Passing message through Outbreak Protection... Wed 2008-04-09 13:44:51: *  Message-ID: Wed 2008-04-09 13:44:51: *  Reference-ID: str=0001.0A150202.47FC57D3.001E,ss=1,fgs=0 Wed 2008-04-09 13:44:51: *  Virus result: 0 - Clean Wed 2008-04-09 13:44:51: *  Spam result: 1 - Clean Wed 2008-04-09 13:44:51: *  IWF result: 0 - Clean Wed 2008-04-09 13:44:51: ---- End Outbreak Protection results Wed 2008-04-09 13:44:51: Message creation successful: c:\mdaemon\inbound\md50000469950.msg Wed 2008-04-09 13:44:51: --> 250 Ok, message saved <Message-ID: > Wed 2008-04-09 13:44:51: <-- quit Wed 2008-04-09 13:44:51: --> 221 See ya in cyberspace Wed 2008-04-09 13:44:51: SMTP session successful (Bytes in/out: 796/333)

[ 本文最後由 shem888 於 2008-4-9 05:16 PM 編輯 ]

隨風浮雲 發表於 2008-4-9 19:29:23

這應該不會是你們公司的ip吧： 220-131-106-39.HINET-IP.hinet.net 只要反查位址是否正確，就可以阻檔此類信件了。

shem888 發表於 2008-4-10 09:00:36

我們公司不是 220-131-106-39.HINET-IP.hinet.net   , 這是垃圾信的 .....
 
=================================
 
  ps: 之前更新Mdaemon  ( DNS-BL 被自動打開 )  有些信收不到 .. 
 
以為是 reverse lookup 的問題就把 Refuse to accept mail if a lookup returns "domain not found"  給取消了....
 
現在趕快恢復設定 !!!!
 
=================================
 
這次主要是他可以  仿冒我公司的Email  地址 ,  想查一下原因 !!!  我想開reverse lookup 應該就無法仿冒了吧 !
 

[ 本文最後由 shem888 於 2008-4-10 09:40 AM 編輯 ]

隨風浮雲 發表於 2008-4-10 16:58:50

現在的廣告信發信軟體，除了ip位置不能假冒以外，其它的都可以假冒。
 
不過假冒ip位址也不是什麼難事，只不過發信速度會比較慢，所以沒有廣告商愛用。

cuman 發表於 2008-4-16 11:26:38

試試看囉~~希望有用

canopus 發表於 2008-4-18 13:47:43

使用 POP Before SMTP，然後將內部 IP 加入Trusted IP addresses讓區網內部或來自信任的 IP 免除這項限制  受信任的 IP 便可不必遵守這個約定  即可免除 POP Before SMTP  若人員從外部使用WebClinet是否可以收發信件?

隨風浮雲 發表於 2008-4-18 17:07:01

WorldClient 是使用伺服器上的網頁，除非是你的防火牆阻擋了，不然一定可以收發信。

68681688 發表於 2008-5-14 14:03:05

看得有點混亂
我再練習一下好了

頁: [1]

數碼中文坊's Archiver

廣告信假冒本地信箱