近日,很多伙伴都收到发件人显示本域用户发送给自己的诈骗邮件,如下图:
收发件人均为同一本域用户的诈骗邮件
邮件内容大部分是提示你邮箱账号被黑了,要求你支付相应的金额来解决问题。收到这种邮件后不用惊慌,首先我们可以先查看邮件头:
伪造本域发件人的诈骗邮件邮件头1
通过观察邮件头中的信息我们可以看到该封邮件发自yahoo.jp,但是发件人地址From却被改成了本域用户的邮箱。
(如何查看邮件头请看帖:<如何查找邮件头并从中获取有用信息>)
还有伙伴收到的诈骗邮件的邮件头信息为:
伪造本域发件人的诈骗邮件邮件头2
相较第一种情况,这种诈骗邮件更加真实,因为我们可以发现所有的字段地址都是相同的本域邮箱地址。不过我们还是可以从路由(Received)信息中发现蛛丝马迹,这是一封来自IP:189.204.197.118(墨西哥)的诈骗邮件。
为了极大地降低收到欺诈邮件的概率,我们可以通过检查我们的SPF设置和设置相应的过滤规则。
1.首先,我们需要查看自己的域名是否设置好了SPF记录
SPF记录
一条 SPF 记录定义了一个或者多个 mechanism,而 mechanism 则定义了哪些 IP 是允许的,哪些 IP 是拒绝的,这些 mechanism 包括以下几类:
all | ip4 | ip6 | a | mx | ptr | exists | include
简单设置SPF记录:
v=spf1 a:mail.example.com mx:example.com ip4:xx.xx.xx.xx -all
结尾使用-all而不是~all(结合MDaemon中对SPF验证为Fail而不是SoftFail的处理)。
通过查询我们可以知道每个machanism的前缀定义为:
SPF记录中machanism的前缀
对于这些情况的解释和服务器通常的处理办法为:
machanism测试结果及服务器处理办法
设置前后我们可以通过查询工具来检查我们将要设置或已设置好的SPF记录是否有效:
网页版:https://www.kitterman.com/spf/validate.html
设置前的SPF语法查询:
Domain:horayang.club
SPF Record:v=spf1 a:mail.horayang.club mx:horayang.club -all
SPF语法检测1
检测结果:
SPF语法检测1(正确有效)
Domain:horayang.club
SPF Record:”v=spf1 a:mail.horayang.club mx:horayang.club -all
SPF语法检测2
检测结果:
SPF语法检测2(错误无效)
综上我们在设置SPF记录时要注意不要加入其它的符号,否则记录无效。
设置完成后的SPF记录有效性检测:
Domain:horayang.club
SPF记录检测
记录有效的返回值:
SPF记录检测(有效)
2.MDaemon中的SPF设置:在安全->安全设置->发件人身份验证->SPF验证中启用SPF验证
SPF验证
【勾选:…发送550错误代码/…然后关闭连接】
【…将此添加到垃圾邮件过滤器总值】的值也可以适当调高
3.对于发信人是yahoo同时From显示自己域名的欺诈邮件,MDaemon技术交流群(292514149)中的山坛兄弟提供了一种规则拦截思路:在安全->内容过滤器->规则->新建规则中设置
规则设置:
(1)如果邮件头From包含你的域名
同时
(2)自定义邮件头Return-Path中不包含你的域名(含@,避免他人利用abc.yourdomain@yourdomain的情况)则执行规则,将邮件移动到坏队列/删除/转发,自己决定。
内容过滤器设置(诈骗邮件规则过滤)
注:根据邮件头的具体信息来设置自定义邮件头。
