2012年10月4日 星期四

當心!當網管必知的4種可惡的垃圾信來源


當心!當網管必知的4種可惡的垃圾信來源

發送垃圾信,必須透過一種叫做「SMTP伺服器」的電腦軟體來做為發送媒介,而其實這 SMTP伺服器並不是什麼壞玩意,他是正常郵件伺服器三件式「SMTP、POP3、IMAP」中的其中一環,它的合法用途就是用來替網域做收件及寄件的動作。

那是否只要架設了一套「SMTP伺服器」就能夠開始發送垃圾信呢?在十幾年前,是的,因為當時垃圾信防堵技術還不發達,但到了今天,可不是這麼回事,今天的垃圾信防堵技術中,有下面幾種常見的方式:

IP名譽檢查:你的IP位址是否有過寄垃圾信的壞紀錄,或者是否是動態IP還是固定IP,這些都有辦法透過一些公開的網路服務做查詢

IP反解檢查:各大ISP早就執行了這項動作,所有動態IP都會冠上 *.dynamic.* 的反解網域,一看就知道是不是動態IP

DNS SPF檢查:透過一個 DNS 設定中的 TEXT 紀錄,哪一個網域的寄件主機有包含哪幾台,一看就知道,根本騙不了人

DNS DKIM檢查:比 SPF 檢查要更進一步,甚至可以做到驗證信件寄件人及郵件內容是否被竄改的程度

接下來,我們就來看看,到底是誰在寄垃圾信

第一種 透過ISP撥接帳號:這種是最笨的方法,自以為不斷地換IP就能寄垃圾信而不被禁止連線,實際上他取得的任何一個IP都被

列於「IP名譽檢查」資料庫中的黑名單,就算沒列入,也沒辦法通過「IP反解檢查」中動態IP字串的檢查,大型郵件代管商是不會接受來自這種地方的垃圾郵件的

第二種 透過被入侵的主機:如果某台郵件伺服器被入侵了(正常帳戶被破解),駭客透過他來發垃圾信,將可以通過「IP名譽檢查」及「IP反解檢查」的查核,因為正規的郵件伺服器主機一定都是使用優質的固定IP,但駭客寄信時若使用非該網域正常的回信地址,則無法通過「SPF檢查」,比如說被入侵的網域是 *.edu.tw 但駭客想要用 gmail.com 作為寄件者地址,則不會通過「SPF檢查」也無法通過「DNS DKIM」

第三種 透過 Yahoo! 或 Google 的社群機制:這一種實在是很糟糕的方式,糟糕的是這些網路服務提供商,他們提供某種社群服務,並且讓群組的管理者建立通知信箱列表,並利用這一機制發送垃圾信,這將能通過所有垃圾信機制的檢查,因為它們完全合法,網路服務提供商應該確實的驗證內容訂閱者的意願,但它們很顯然沒有這麼做,你根本沒有加入,但信箱卻被加入到郵寄清單中。

第四種 透過殭屍電腦網路:這實在是讓人無奈的事情,由於電腦教育的不足,全世界有數千萬台以上的電腦,早已被植入木馬,讓駭客為所欲為,犯法作亂,這些殭屍電腦也常常被用於寄垃圾信,不過這些殭屍電腦基本上也無法通過「IP名譽檢查」,但由於許多殭屍電腦為長期僵化,很可能遭受駭客完全控制,並利用於設定合法的 spf 紀錄,有可能會通過這項檢查。

因此,我們建議 mis 架設企業郵件伺服器時,不但要注意上面防堵的機制是否都有準備到位,對於自己的主機,也要好好地加以管理,避免成為另一個犯罪的溫床。

轉載自《EVO郵件伺服器工作團隊》

沒有留言:

張貼留言