近日,很多伙伴都收到发件人显示本域用户发送给自己的诈骗邮件,如下图:
[caption id="attachment_2183" align="alignnone" width="474"]邮件内容大部分是提示你邮箱账号被黑了,要求你支付相应的金额来解决问题。收到这种邮件后不用惊慌,首先我们可以先查看邮件头:
[caption id="attachment_2180" align="alignnone" width="718"]通过观察邮件头中的信息我们可以看到该封邮件发自yahoo.jp,但是发件人地址From却被改成了本域用户的邮箱。
(如何查看邮件头请看帖:<如何查找邮件头并从中获取有用信息>) 还有伙伴收到的诈骗邮件的邮件头信息为: [caption id="attachment_2182" align="alignnone" width="742"]相较第一种情况,这种诈骗邮件更加真实,因为我们可以发现所有的字段地址都是相同的本域邮箱地址。不过我们还是可以从路由(Received)信息中发现蛛丝马迹,这是一封来自IP:189.204.197.118(墨西哥)的诈骗邮件。
为了极大地降低收到欺诈邮件的概率,我们可以通过检查我们的SPF设置和设置相应的过滤规则。
一条 SPF 记录定义了一个或者多个 mechanism,而 mechanism 则定义了哪些 IP 是允许的,哪些 IP 是拒绝的,这些 mechanism 包括以下几类:
all | ip4 | ip6 | a | mx | ptr | exists | include
简单设置SPF记录:
v=spf1 a:mail.example.com mx:example.com ip4:xx.xx.xx.xx -all
结尾使用-all而不是~all(结合MDaemon中对SPF验证为Fail而不是SoftFail的处理)。
通过查询我们可以知道每个machanism的前缀定义为:
[caption id="attachment_2185" align="alignnone" width="533"]设置前的SPF语法查询: Domain:horayang.club SPF Record:v=spf1 a:mail.horayang.club mx:horayang.club -all [caption id="attachment_2188" align="alignnone" width="738"]SPF语法检测1[/caption] 检测结果: [caption id="attachment_2189" align="alignnone" width="605"]
SPF语法检测1(正确有效)[/caption] Domain:horayang.club SPF Record:"v=spf1 a:mail.horayang.club mx:horayang.club -all [caption id="attachment_2190" align="alignnone" width="720"]
SPF语法检测2[/caption] 检测结果: [caption id="attachment_2191" align="alignnone" width="551"]
SPF语法检测2(错误无效)[/caption] 综上我们在设置SPF记录时要注意不要加入其它的符号,否则记录无效。
设置完成后的SPF记录有效性检测: Domain:horayang.club [caption id="attachment_2192" align="alignnone" width="590"]SPF记录检测[/caption] 记录有效的返回值: [caption id="attachment_2193" align="alignnone" width="605"]
SPF记录检测(有效)[/caption]
【勾选:...发送550错误代码/...然后关闭连接】
【...将此添加到垃圾邮件过滤器总值】的值也可以适当调高