如何预防收到伪造本域发信人的诈骗邮件

近日,很多伙伴都收到发件人显示本域用户发送给自己的诈骗邮件,如下图:

收发件人均为同一本域用户的诈骗邮件

 

邮件内容大部分是提示你邮箱账号被黑了,要求你支付相应的金额来解决问题。收到这种邮件后不用惊慌,首先我们可以先查看邮件头:

伪造本域发件人的诈骗邮件邮件头1

通过观察邮件头中的信息我们可以看到该封邮件发自yahoo.jp,但是发件人地址From却被改成了本域用户的邮箱。

(如何查看邮件头请看帖:<如何查找邮件头并从中获取有用信息>

 

还有伙伴收到的诈骗邮件的邮件头信息为:

伪造本域发件人的诈骗邮件邮件头2

相较第一种情况,这种诈骗邮件更加真实,因为我们可以发现所有的字段地址都是相同的本域邮箱地址。不过我们还是可以从路由(Received)信息中发现蛛丝马迹,这是一封来自IP:189.204.197.118(墨西哥)的诈骗邮件。

 


为了极大地降低收到欺诈邮件的概率,我们可以通过检查我们的SPF设置和设置相应的过滤规则。

1.首先,我们需要查看自己的域名是否设置好了SPF记录

SPF记录

 

一条 SPF 记录定义了一个或者多个 mechanism,而 mechanism 则定义了哪些 IP 是允许的,哪些 IP 是拒绝的,这些 mechanism 包括以下几类:

all | ip4 | ip6 | a | mx | ptr | exists | include

简单设置SPF记录:

v=spf1 a:mail.example.com mx:example.com ip4:xx.xx.xx.xx -all

结尾使用-all而不是~all(结合MDaemon中对SPF验证为Fail而不是SoftFail的处理)。

通过查询我们可以知道每个machanism的前缀定义为:

SPF记录中machanism的前缀

 

对于这些情况的解释和服务器通常的处理办法为:

machanism测试结果及服务器处理办法

设置前后我们可以通过查询工具来检查我们将要设置或已设置好的SPF记录是否有效:

网页版:https://www.kitterman.com/spf/validate.html

 

设置前的SPF语法查询:

Domain:horayang.club

SPF Record:v=spf1 a:mail.horayang.club mx:horayang.club -all

SPF语法检测1

检测结果:

SPF语法检测1(正确有效)

 

Domain:horayang.club

SPF Record:”v=spf1 a:mail.horayang.club mx:horayang.club -all

SPF语法检测2

检测结果:

SPF语法检测2(错误无效)

综上我们在设置SPF记录时要注意不要加入其它的符号,否则记录无效。

 

设置完成后的SPF记录有效性检测:

Domain:horayang.club

SPF记录检测

记录有效的返回值:

SPF记录检测(有效)

 

2.MDaemon中的SPF设置:在安全->安全设置->发件人身份验证->SPF验证中启用SPF验证

SPF验证

【勾选:…发送550错误代码/…然后关闭连接】

【…将此添加到垃圾邮件过滤器总值】的值也可以适当调高

 

3.对于发信人是yahoo同时From显示自己域名的欺诈邮件,MDaemon技术交流群(292514149)中的山坛兄弟提供了一种规则拦截思路:在安全->内容过滤器->规则->新建规则中设置

规则设置:

(1)如果邮件头From包含你的域名

同时

(2)自定义邮件头Return-Path中不包含你的域名(含@,避免他人利用abc.yourdomain@yourdomain的情况)则执行规则,将邮件移动到坏队列/删除/转发,自己决定。

内容过滤器设置(诈骗邮件规则过滤)

注:根据邮件头的具体信息来设置自定义邮件头。

分享到: 更多 (0)
友情链接: MailStore中文官网 | 上海云璨信息技术有限公司官网 | 邮件技术资讯网 | 云邮科技

Copyright © 2019 MDaemon中文 网站地图 沪ICP备14033669号 沪公网安备31011502012804号