如何判斷SPAM信件的來源IP??<附上原碼>
請問大家…<br>以下是我收到廣告信的部份原碼,原本我們的收件者及網域己被我改成<br>[email protected],請見諒。<br><br>此郵件是假冒sinamail.com發出的信件。<br>因為我們有國外客戶的信,我逼不得己把DNS反查關閉。(註1)<br><br>請問一下:是不是最後一個Received:的部份(由上往下算)就是最原始的發信地。<br>就如同訊息所示,是不是130.172.214.228就是我該拒絕的部份?<br><br>如果是,怎麼做比較好?<br>是要加入在Security→Address Suppression中嗎?<br>還是加在CFilter規則中?<br><br>Return-path: <[email protected]><br>Received: from YahooBB220003120100.bbtec.net ()<br> by my.com.tw (my.com.tw )<br> (MDaemon.PRO.v7.1.1.R)<br> with ESMTP id md50000025884.msg<br> for <[email protected]>; Tue, 05 Oct 2004 07:54:59 +0800<br>Received: from 130.172.214.228 by 220.3.120.100; Mon, 04 Oct 2004 12:36:39 +0100<br>Message-ID: <[email protected]><br>From: "羅 予姿" <[email protected]><br>Reply-To: "羅 予姿" <[email protected]><br>To: [email protected]<br>Subject: [***SPAM*** Score/Req: 14.15/05.00] 看看外國人怎麼做網頁的,超贊的!<br>.....略<br><br>註1:我曾經去TWNIC的DNS研習班上過課…聽那老師說,大多數的DNS Server都會忘了設反解!!!而且如果DNS的反解是由ISP來做的時候,其回查的時候........就....。<br>像我查ASUS的時候,它正解與反解的IP....就不一樣。<br>@@" 其實你從信件的表頭來查 IP 並封鎖,是一件危險的事。<br>最佳的方法還是檢查 MDaemon 的 SMTP IN 記錄,那裏看到的才準。 喔!!!!!!!!!!<br>嗯~~ 一語驚醒夢中人。待我查查…。<br>感謝感謝。 是不是looking的部份呢?<br><br>Tue 2004-10-05 07:54:54: <-- MAIL FROM: <[email protected]><br>Tue 2004-10-05 07:54:54: Performing lookup on sinamail.com (<span style='color:red'>looking for 220.3.120.100</span>)<br>Tue 2004-10-05 07:54:54: D=sinamail.com TTL=(1472) A=<br>Tue 2004-10-05 07:54:54: P=010 D=sinamail.com TTL=(1472) MX= {210.200.138.21}<br>Tue 2004-10-05 07:54:54: P=000 D=sinamail.com TTL=(1472) MX= {210.200.138.21}<br>Tue 2004-10-05 07:54:54: --> 250 <[email protected]>, Sender ok<br>.....略 不是,Looking 找的是被使用的網域名稱 sinamail.com,要封鎖的是利用這個網域名稱的那個原始 IP,也就是在更上面的「Accpeting SMTP Connection from 」這個 IP 才是。<br><br>直接將這個 IP 加在 Security→IP Screening 中,而不是 Address Suppression 及 CFilter。 我了解了。<br>不勝感激。<br>^^
頁:
[1]