2008年3月12日 星期三

廣告郵件的手法(Spam Tricks)

這兩天還在跟朋友討論有關SPAM的相關問題,從仿造隱身跳板或其它各式各樣的手法,毫無設限的亂聊,結果,昨晚我的Gmail就收到了奇怪的信件,心裡還在想...不會吧?竟然這麼快就有東西可以驗證

什麼樣奇怪的信件呢?一封是我投遞失敗的回信,可以參考「您收到了從未寄送之郵件的退信。」(如下圖)。另一封則是收到我自己寄給自己的信(而且還被Gmail直接判別成垃圾郵件),我剛看到時,也是一頭霧水,自己去看那兩封的檔頭內容,才發現我只是替死鬼...,因為別人把表頭內的回覆路徑(Return-path)改成我的Gmail address。



今早又受到一次自己寄給自己的垃圾信件,不過這次Gmail已經加上警示訊息(忘了裁圖就清空了...),裡面只有夾帶著一張gif的圖片,連到某個不知名的網址,不過...還是有跡可循,因為我在Gmail的設定上,自己顯示的名稱有刻意「大寫」,而且我也只使用Webmail來收發Gmail的信件,所以全為小寫的寄件者名稱,原則上不會是我自己寄出的,應該都是屬於偽造信件(我自己有測試過,如圖)



其實,我剛收到時退信跟垃圾信時,我自己也嚇了一跳,難不成是我的Gmail帳號被?還是發生了什麼狀況?因此還馬上更換了Gmail的Password,靜下心來仔細看了一下這些信件的表頭內容,才發現到原來是我遇到SPAMMER使用的其中一種手法。

我列出那封別人假冒我的MAIL寄出的表頭HEADER(退信中有夾帶):
Return-path: <indeepnight@gmail.com>
Received: from esselte-h.takinfo.belso ([172.24.27.254] helo=esselte-1.takinfo.hu)
by herculesn.takinfo.hu with smtp (Exim 4.43)
id 1JZ7N2-0006kj-1H
for indeepth@szekkutas.tksz.hu; Tue, 11 Mar 2008 17:30:32 +0100
Content-Return: allowed
X-Mailer: CME-V6.5.4.3; MSN
Message-Id: <20080311113752.2962.qmail@den>
To: <indeepth@szekkutas.tksz.hu>
Subject: RE: MensHealth id 1827817
From: <indeepth@szekkutas.tksz.hu>
MIME-Version: 1.0
Content-Type: text/html; charset="ISO-8859-1"
Content-Transfer-Encoding: 7bit
X-Antivirus: avast! (VPS 000779-0, 08.10.2007), Outbound message
X-Antivirus-Status: Clean</indeepth@szekkutas.tksz.hu></indeepth@szekkutas.tksz.hu></indeepnight@gmail.com>

從這表頭中,其實就大概可以找到一些蛛絲馬跡,例如「X-MailerMessage-Id:、ISO-8859-1...等」都可以看出不會是我寄出的信件。

說明:
X-Mailer:通常是寄出信件的軟體名介面
Message-Id:原則上在
@前為自行產生@之後則是DOMAIN。
ISO-8859-1這個編碼應該不是一般人會用的吧?

其它的有興趣可以自己去問一下Google,可以得到不少資訊,甚至有些討論區還喜歡拿這些SPAM的表頭來品頭論足一番。

至於要怎麼防範這種事情發生呢?

老實說,我們也真的拿它們沒辦法,因為這部份總是有漏洞可循,無論是從軟體面(網路上有很多發信軟體)、網路架構(你可以透過PROXY或其它方式發信)、還是取之不盡免費信箱(連圖形認證也有機可趁《ZDnet:圖形驗證遭破解 Gmail也淪陷》)

無論怎麼防範,總是會造成使用者的困擾,防禦力高:想收的信收不到、防禦力低:你可能會把該看的信當圾圾信給刪了,很難兩全,或許公司內部的信件(特定名單),還可以用白名單來囊括,那...業務呢?總不能希望他們把每個潛在客戶的名單都列入吧!?

更何況...這些也能透過偽造的方式躲過過濾器,除此之外,一般個人或較小的企業又有多少資源能夠導入功能強大、效能也好的郵件過濾設備(頂多是防毒軟體的加減用吧!),因此,我們至少要能夠自行判斷那些是應該要開的郵件。

如果是一些信被自己誤刪還好,一個不小心,還會讓自己成為發送這種郵件的跳板僵屍電腦),那才是真的得不償失,不可不慎呀!(這是在警惕自己,不是嚇人唷!汗...)