當(dāng)心郵件“鏡中人”

你是否遭遇過(guò)以下這些情況：朋友打來(lái)電話問(wèn)你為什么老是給他發(fā)些垃圾郵件；同事抱怨你一個(gè)勁地向他的郵箱發(fā)送廣告?zhèn)鲉巍２贿^(guò)，這些真的是你干的嗎？

在筆者身邊就有這樣的例子。筆者的朋友近期收到了大量被退回來(lái)的垃圾郵件。這些垃圾郵件貌似是從他的電子郵件帳戶中發(fā)送給了無(wú)效的電子郵件地址，然后又退回到所謂的“發(fā)件人”。但這個(gè)“發(fā)件人”地址是我朋友平時(shí)很少使用的一個(gè)帳戶，在他渾然不知的情況下，這一賬戶被用來(lái)發(fā)送垃圾郵件給別人。

最初他以為是自己的密碼被黑客竊取了，但是，后來(lái)盡管他重置了這個(gè)電子郵件帳戶的密碼，垃圾郵件照樣源源不斷地涌入進(jìn)來(lái)。

怎么會(huì)這樣？這些郵件真的是我那個(gè)朋友發(fā)送的嗎？還是說(shuō)，這些郵件的真實(shí)發(fā)件人通過(guò)技術(shù)手段偽造了別人的地址？我們?nèi)绾尾拍茏柚惯@種煩人的行為？難道惟一的防范措施就是注銷這個(gè)電子郵件帳戶，然后注冊(cè)一個(gè)新賬戶嗎？

郵件也有“頭”

如果你面臨這種情況，首先應(yīng)該確認(rèn)自己的電子郵件帳戶或者電腦是否中了病毒或者木馬。不過(guò)，最有可能的罪魁禍?zhǔn)资瞧垓_性的“電子郵件頭”。電子郵件頭是電子郵件的重要組成部分，其中包含有詳細(xì)的基礎(chǔ)技術(shù)信息列表，如郵件發(fā)信人地址、發(fā)送郵件的時(shí)間以及在郵件到達(dá)收信人過(guò)程中所經(jīng)過(guò)的電子郵件服務(wù)器地址等內(nèi)容。垃圾郵件發(fā)送者可以在“電子郵件頭”中更改電子郵件的發(fā)件人地址，冒充垃圾郵件是由其他電子郵件帳戶所發(fā)送的。這使得任何被收件人所退回來(lái)的電子郵件都會(huì)進(jìn)入到偽造的發(fā)件人收件箱。偽造的發(fā)件人地址就好像“鏡中人”，看起來(lái)一模一樣，實(shí)際上卻有著本質(zhì)區(qū)別。

垃圾郵件對(duì)電子郵件中的“郵件頭”弄虛作假，以便欺騙垃圾郵件過(guò)濾器蒙渾過(guò)關(guān)。這個(gè)伎倆能讓垃圾郵件看起來(lái)更加可信。一般人在收到素不相識(shí)的人發(fā)來(lái)的電子郵件時(shí)都會(huì)比較謹(jǐn)慎，而收到熟人發(fā)來(lái)的電子郵件時(shí)則會(huì)放松警惕。

Fidelis安全系統(tǒng)公司威脅研究和服務(wù)主管Will Irace認(rèn)為，筆者朋友的例子很有可能是遭遇到了偽造“電子郵件頭”的情況：“如果他確信自己已經(jīng)更改了郵箱密碼，那么這極有可能是垃圾郵件發(fā)送者偽造了他的地址，而不是真正從他的帳戶將電子郵件發(fā)送出去。”

邁克菲公司云計(jì)算和內(nèi)容安全產(chǎn)品解決方案高級(jí)營(yíng)銷主管Melissa Siems補(bǔ)充說(shuō)：“大多數(shù)電子郵件帳戶受到偽造的可能性大于其受到攻擊的可能性，而且二者緊密相關(guān)。如果用戶頻繁使用的發(fā)件人地址被偽造的話，那么有可能用戶的電腦曾經(jīng)遭到惡意軟件、網(wǎng)絡(luò)釣魚(yú)或者Rootkit攻擊。”

屏蔽IP地址并不可行

被退回來(lái)的郵件有時(shí)會(huì)在“電子郵件頭”里面含有一些詳細(xì)信息，這有助于識(shí)別郵件的真正來(lái)源。然而，垃圾郵件常常來(lái)自于被僵尸網(wǎng)絡(luò)感染或被木馬劫持的電腦，因此，要查出真正垃圾郵件發(fā)送者的可能性微乎其微。

如果我們能夠在“郵件頭”中查看到發(fā)送垃圾郵件電腦的IP地址，那么也許能夠確定郵件來(lái)自何處。然后，我們就可以聯(lián)系提供郵件服務(wù)的服務(wù)提供商，請(qǐng)對(duì)方屏蔽這個(gè)IP地址。從短期來(lái)看，這也許能阻止我們正常的發(fā)件人地址被偽造，但從長(zhǎng)遠(yuǎn)來(lái)看，這根本是白費(fèi)力氣。一方面，郵件服務(wù)提供商也許需要大量證據(jù)舉證才能去屏蔽某一IP地址，或者其根本無(wú)法屏蔽；就算郵件服務(wù)提供商可以做這種操作，但是也無(wú)法阻止垃圾郵件發(fā)送者用另一臺(tái)IP地址完全不同的電腦來(lái)偽造發(fā)件人地址發(fā)送垃圾郵件。

因此，如果你手上有很多平時(shí)用不到的電子郵件賬戶，最明智的做法就是注銷這些賬戶。當(dāng)然，如果這是企業(yè)電子郵件帳戶以及使用了多年的重要個(gè)人電子郵件賬戶的話，注銷這個(gè)帳戶顯然是不可行的。

做好預(yù)防工作

還有什么好辦法去應(yīng)對(duì)“偽造發(fā)件人”的情況呢？

遺憾的是，對(duì)于偽造發(fā)件人地址這種齷齪事，現(xiàn)有的技術(shù)防護(hù)手段基本上無(wú)能為力。我們能夠做到的最好方法就是預(yù)防類似事件的產(chǎn)生：盡量避免垃圾郵件發(fā)送者收集到你的電子郵件地址。Irace以調(diào)侃的口吻給出了一些忠告，就是用戶能夠“預(yù)防”電子郵件地址被惡意收集：“在論壇里看到好資源，很多人立即就回帖說(shuō)‘樓主好人，發(fā)我一份’，然后在網(wǎng)上留下自己的郵件地址，這種做法是不可取的；千萬(wàn)不要隨便與別人共享自己的電子郵件賬戶。” 即使在某些情況下需要在網(wǎng)站或者論壇上公開(kāi)自己的電子郵件地址，也應(yīng)該在使用后刪除這些信息。

Siems認(rèn)為，采用一些符合常識(shí)的安全做法可以降低電子郵件帳戶“被偽造”的風(fēng)險(xiǎn)。比如說(shuō)，重要的電子郵件帳戶只用來(lái)與認(rèn)識(shí)和信任的人進(jìn)行交流。盡管這些聯(lián)系人的電腦在中毒或者被攻擊后仍會(huì)泄露你的電子郵件地址，但是風(fēng)險(xiǎn)相對(duì)會(huì)低很多。