加拿大进出口外贸【转】追踪垃圾邮件方法，如何识别邮件发信人来源

加拿大外贸

相信大家和我一样，在日常生活中收垃圾邮件也算是一份固定的工作了吧？收到垃圾信件后，如何追踪垃圾邮件发送者呢？很多朋友会毫不犹豫的说，当然是查出寄信人的IP了。其实，在对付垃圾邮件方面，主要有两种形式：防御与追踪。防御主要是强调对垃圾邮件的过滤或者是阻止垃圾邮件的产生，而追踪则强调主动地追查垃圾邮件来源，并对其进行警告或者采取其它措施。本文将主要介绍对邮件的追踪方面的技术，通过针对邮件头进行分析，并查询到最接近源头的地址，以揭开垃圾邮件发送者的“庐山真面目”。

　　邮件头及传输过程

　　首先，我们通过一次反垃圾邮件的测试来看看什么是邮件头。因为大多数情况下，服务器都会把寄信人的相关信息附在邮件的文件头。比如，利用Tom.com的免费邮箱，给 [email protected]发一个邮件，然后进入http://mail.china.com.cn/邮箱，点击信箱上面的“邮件头信息”，可看到这样的信息：

　　Return-Path: <[email protected]>

　　Delivered-To: [email protected]

　　Received: from 210.72.21.22 (HELO eqmanager2.china.org.cn) (envelope-from [email protected])

　　by mx.china.com.cn (quarkmail- 1.2.1 ) with SMTP id S918541AbULBMFs

　　for [email protected]; Thu, 2 Dec 2004 20:05:48 +0800

　　X-scanvirus: By Sophos Scan Engine

　　X-scanresult: CLEAN

　　X-Received:unknown,202.108.255.195,20041202195628

　　Received: from unknown (HELO tom.com) (202.108.255.195)

　　by localhost with SMTP; 2 Dec 2004 11:56:28 -0000

　　MIME-Version: 1.0

　　Message-ID: <41AF02AE.000113.05427@bjapp25>

　　Date: Thu, 2 Dec 2004 19:55:26 +0800 (CST)

　　From: "=?gb2312?B?cHdicHVi?=" <[email protected]>

　　To: [email protected]

　　Subject: =?gb2312?B?wKy7+NPKvP6y4srU?=

　　X-Priority: 3

　　X-Originating-IP: [211.99.190.5]

　　X-Mailer: 163net

　　Content-Type: Multipart/Alternative; boundary="Boundary-=_yvxueODEqwFokhipGevKzuojgYQF"

　　对方是从不同的邮件服务器上发来的，中间自然有转信过程，每转一次都会在文件头顶部加信息。下表列出了一部分表头的相关含义，对我们分析垃圾邮件具有事半功倍的效果。

　　From: 邮件从哪里发送的。很容易被伪造，在分析中，非常不可信任。

　　From不同于From:域，这行并不通常是邮件头的一部分，但是邮件转发程序经常插入这一行，表明邮件什么时候被接收的。这一行总是邮件头的第一行，也可以被伪造，但并不一定。

　　Reply-To: 回复时发送的地址。很容易被伪造，但常常提供线索，比如有些垃圾邮件经常用该域指向一个合法的邮件地址，以便spammer能够接收到回复的邮件。

　　Return-Path: 与 Reply-To: 相同

　　Sender: 消息发送者。这通常都是伪造的

　　Message-ID: 邮件系统在创建邮件时的唯一标记。也是最容易被伪造的地方。正常情况下， “Message-ID:” 能确定发送者所登录的系统，而不仅仅是创建邮件的系统。 Message-ID 的结构同邮件服务器程序有直接关系，不同的邮件服务器产生的ID也不一样，有时，相同邮件服务器的不同处理也会产生不一样的ID。多数邮件服务器会包含日期、时间、DNS等，有的甚至包含邮件用户信息。如[email protected]，就是由日期、时间、标识、邮件用户和DNS构成。

　　In-Reply-To: 在回复的时候可能存在，通常指向原邮件的 Messgae-ID 。

　　Received: 最可信赖的头。一般会有几条，形成站点列表，这些信息表明达到目的地过程中邮件所经过的服务器，该域都是邮件服务器自动插入的，spammer可以伪造，但是在被伪造的那个点之后的是无法伪造的。这个列表从下往上表明了服务器路径，最上面的一条 Received: 是最终目的的系统或邮件服务器。

　　通常的邮件传递主要步骤由下面过程完成：

　　MDA MTA → routing → MTA → Sender →MUA → receiver → MUA → {filtering} →

　　脚本小子： MUA（Mail User Agent）表示邮件客户端程序，比如Foxmail、Outlook、Mutt等；MTA（Mail Transport Agent or Message Transfer Agent）表示消息传输代理，这部分程序负责存储和转发、发送E-mail，它从MUA或者其他的MTA接收到邮件后，就存在于本地，并分析收件人或者转发到其他的MTA，在处理过程中，它通常会编辑、添加邮件头内容，比如Sendmail、Exchange等；MDA（Mail Delivery Agent）表示邮件发送代理，这个程序负责将邮件发送给用户，通常处理某种特定发送操作。

　　了解了这些环节，我们就可以顺藤摸瓜，探测垃圾发送者的老巢了。

评论
我的MSN邮箱每天就要收到很多垃圾邮箱，一周不去处理，就有几百封，真的很头疼。
加拿大电商露天电影首发——葡中双语字幕《中央车站》 http://bbs.shanghai.com/thread-1714999-1-1.html screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoo 加拿大电商做区块链为什么都注册新加坡基金会 目前做区块链项目的客户都会通过注册基金会来作为项目的主体，为什么都在新加坡注册基金会，首先性价比高，而且新加坡市场也比较成熟，项目
  ·中文新闻 昆士兰青少年在穆伦巴唐斯（Murrumba Downs）开着被盗汽车闯红灯
·中文新闻 澳洲航空在悉尼机场发动机“爆炸”迫使紧急迫降