當心郵件“鏡中人”

你是否遭遇過以下這些情況：朋友打來電話問你為什么老是給他發些垃圾郵件；同事抱怨你一個勁地向他的郵箱發送廣告傳單。不過，這些真的是你干的嗎？

在筆者身邊就有這樣的例子。筆者的朋友近期收到了大量被退回來的垃圾郵件。這些垃圾郵件貌似是從他的電子郵件帳戶中發送給了無效的電子郵件地址，然后又退回到所謂的“發件人”。但這個“發件人”地址是我朋友平時很少使用的一個帳戶，在他渾然不知的情況下，這一賬戶被用來發送垃圾郵件給別人。

最初他以為是自己的密碼被黑客竊取了，但是，后來盡管他重置了這個電子郵件帳戶的密碼，垃圾郵件照樣源源不斷地涌入進來。

怎么會這樣？這些郵件真的是我那個朋友發送的嗎？還是說，這些郵件的真實發件人通過技術手段偽造了別人的地址？我們如何才能阻止這種煩人的行為？難道惟一的防范措施就是注銷這個電子郵件帳戶，然后注冊一個新賬戶嗎？

郵件也有“頭”

如果你面臨這種情況，首先應該確認自己的電子郵件帳戶或者電腦是否中了病毒或者木馬。不過，最有可能的罪魁禍首是欺騙性的“電子郵件頭”。電子郵件頭是電子郵件的重要組成部分，其中包含有詳細的基礎技術信息列表，如郵件發信人地址、發送郵件的時間以及在郵件到達收信人過程中所經過的電子郵件服務器地址等內容。垃圾郵件發送者可以在“電子郵件頭”中更改電子郵件的發件人地址，冒充垃圾郵件是由其他電子郵件帳戶所發送的。這使得任何被收件人所退回來的電子郵件都會進入到偽造的發件人收件箱。偽造的發件人地址就好像“鏡中人”，看起來一模一樣，實際上卻有著本質區別。

垃圾郵件對電子郵件中的“郵件頭”弄虛作假，以便欺騙垃圾郵件過濾器蒙渾過關。這個伎倆能讓垃圾郵件看起來更加可信。一般人在收到素不相識的人發來的電子郵件時都會比較謹慎，而收到熟人發來的電子郵件時則會放松警惕。

Fidelis安全系統公司威脅研究和服務主管Will Irace認為，筆者朋友的例子很有可能是遭遇到了偽造“電子郵件頭”的情況：“如果他確信自己已經更改了郵箱密碼，那么這極有可能是垃圾郵件發送者偽造了他的地址，而不是真正從他的帳戶將電子郵件發送出去。”

邁克菲公司云計算和內容安全產品解決方案高級營銷主管Melissa Siems補充說：“大多數電子郵件帳戶受到偽造的可能性大于其受到攻擊的可能性，而且二者緊密相關。如果用戶頻繁使用的發件人地址被偽造的話，那么有可能用戶的電腦曾經遭到惡意軟件、網絡釣魚或者Rootkit攻擊。”

屏蔽IP地址并不可行

被退回來的郵件有時會在“電子郵件頭”里面含有一些詳細信息，這有助于識別郵件的真正來源。然而，垃圾郵件常常來自于被僵尸網絡感染或被木馬劫持的電腦，因此，要查出真正垃圾郵件發送者的可能性微乎其微。

如果我們能夠在“郵件頭”中查看到發送垃圾郵件電腦的IP地址，那么也許能夠確定郵件來自何處。然后，我們就可以聯系提供郵件服務的服務提供商，請對方屏蔽這個IP地址。從短期來看，這也許能阻止我們正常的發件人地址被偽造，但從長遠來看，這根本是白費力氣。一方面，郵件服務提供商也許需要大量證據舉證才能去屏蔽某一IP地址，或者其根本無法屏蔽；就算郵件服務提供商可以做這種操作，但是也無法阻止垃圾郵件發送者用另一臺IP地址完全不同的電腦來偽造發件人地址發送垃圾郵件。

因此，如果你手上有很多平時用不到的電子郵件賬戶，最明智的做法就是注銷這些賬戶。當然，如果這是企業電子郵件帳戶以及使用了多年的重要個人電子郵件賬戶的話，注銷這個帳戶顯然是不可行的。

做好預防工作

還有什么好辦法去應對“偽造發件人”的情況呢？

遺憾的是，對于偽造發件人地址這種齷齪事，現有的技術防護手段基本上無能為力。我們能夠做到的最好方法就是預防類似事件的產生：盡量避免垃圾郵件發送者收集到你的電子郵件地址。Irace以調侃的口吻給出了一些忠告，就是用戶能夠“預防”電子郵件地址被惡意收集：“在論壇里看到好資源，很多人立即就回帖說‘樓主好人，發我一份’，然后在網上留下自己的郵件地址，這種做法是不可取的；千萬不要隨便與別人共享自己的電子郵件賬戶。” 即使在某些情況下需要在網站或者論壇上公開自己的電子郵件地址，也應該在使用后刪除這些信息。

Siems認為，采用一些符合常識的安全做法可以降低電子郵件帳戶“被偽造”的風險。比如說，重要的電子郵件帳戶只用來與認識和信任的人進行交流。盡管這些聯系人的電腦在中毒或者被攻擊后仍會泄露你的電子郵件地址，但是風險相對會低很多。