如何判斷SPAM信件的來源IP??<附上原碼>

勇氣果子

請問大家…
以下是我收到廣告信的部份原碼，原本我們的收件者及網域己被我改成
[email protected]，請見諒。

此郵件是假冒sinamail.com發出的信件。
因為我們有國外客戶的信，我逼不得己把DNS反查關閉。(註1)

請問一下：是不是最後一個Received:的部份(由上往下算)就是最原始的發信地。
就如同訊息所示，是不是130.172.214.228就是我該拒絕的部份?

如果是，怎麼做比較好?
是要加入在Security→Address Suppression中嗎?
還是加在CFilter規則中?

Return-path: <[email protected]>
Received: from YahooBB220003120100.bbtec.net ([220.3.120.100])
by my.com.tw (my.com.tw [192.168.1.100])
(MDaemon.PRO.v7.1.1.R)
with ESMTP id md50000025884.msg
for <[email protected]>; Tue, 05 Oct 2004 07:54:59 +0800
Received: from 130.172.214.228 by 220.3.120.100; Mon, 04 Oct 2004 12:36:39 +0100
Message-ID: <[email protected]>
From: "羅 予姿" <[email protected]>
Reply-To: "羅 予姿" <[email protected]>
To: [email protected]
Subject: [***SPAM*** Score/Req: 14.15/05.00] 看看外國人怎麼做網頁的，超贊的！
.....略

註1：我曾經去TWNIC的DNS研習班上過課…聽那老師說，大多數的DNS Server都會忘了設反解!!!而且如果DNS的反解是由ISP來做的時候，其回查的時候........就....。
像我查ASUS的時候，它正解與反解的IP....就不一樣。
@@"

MarchFun

其實你從信件的表頭來查 IP 並封鎖，是一件危險的事。
最佳的方法還是檢查 MDaemon 的 SMTP IN 記錄，那裏看到的才準。

勇氣果子

喔!!!!!!!!!!
嗯~~ 一語驚醒夢中人。待我查查…。
感謝感謝。

勇氣果子

是不是looking的部份呢?

Tue 2004-10-05 07:54:54: <-- MAIL FROM: <[email protected]>
Tue 2004-10-05 07:54:54: Performing lookup on sinamail.com (looking for 220.3.120.100)
Tue 2004-10-05 07:54:54: D=sinamail.com TTL=(1472) A=[210.200.138.21]
Tue 2004-10-05 07:54:54: P=010 D=sinamail.com TTL=(1472) MX=[www.sinamail.com] {210.200.138.21}
Tue 2004-10-05 07:54:54: P=000 D=sinamail.com TTL=(1472) MX=[sinamail.com] {210.200.138.21}
Tue 2004-10-05 07:54:54: --> 250 <[email protected]>, Sender ok
.....略

MarchFun

不是，Looking 找的是被使用的網域名稱 sinamail.com，要封鎖的是利用這個網域名稱的那個原始 IP，也就是在更上面的「Accpeting SMTP Connection from [xxx.xxx.xxx.xxx]」這個 IP 才是。

直接將這個 IP 加在 Security→IP Screening 中，而不是 Address Suppression 及 CFilter。

勇氣果子

我了解了。
不勝感激。
^^