當(dāng)心郵件“鏡中人”

你是否遭遇過以下這些情況：朋友打來電話問你為什么老是給他發(fā)些垃圾郵件；同事抱怨你一個勁地向他的郵箱發(fā)送廣告?zhèn)鲉?。不過，這些真的是你干的嗎？

在筆者身邊就有這樣的例子。筆者的朋友近期收到了大量被退回來的垃圾郵件。這些垃圾郵件貌似是從他的電子郵件帳戶中發(fā)送給了無效的電子郵件地址，然后又退回到所謂的“發(fā)件人”。但這個“發(fā)件人”地址是我朋友平時很少使用的一個帳戶，在他渾然不知的情況下，這一賬戶被用來發(fā)送垃圾郵件給別人。

最初他以為是自己的密碼被黑客竊取了，但是，后來盡管他重置了這個電子郵件帳戶的密碼，垃圾郵件照樣源源不斷地涌入進(jìn)來。

怎么會這樣？這些郵件真的是我那個朋友發(fā)送的嗎？還是說，這些郵件的真實發(fā)件人通過技術(shù)手段偽造了別人的地址？我們?nèi)绾尾拍茏柚惯@種煩人的行為？難道惟一的防范措施就是注銷這個電子郵件帳戶，然后注冊一個新賬戶嗎？

郵件也有“頭”

如果你面臨這種情況，首先應(yīng)該確認(rèn)自己的電子郵件帳戶或者電腦是否中了病毒或者木馬。不過，最有可能的罪魁禍?zhǔn)资瞧垓_性的“電子郵件頭”。電子郵件頭是電子郵件的重要組成部分，其中包含有詳細(xì)的基礎(chǔ)技術(shù)信息列表，如郵件發(fā)信人地址、發(fā)送郵件的時間以及在郵件到達(dá)收信人過程中所經(jīng)過的電子郵件服務(wù)器地址等內(nèi)容。垃圾郵件發(fā)送者可以在“電子郵件頭”中更改電子郵件的發(fā)件人地址，冒充垃圾郵件是由其他電子郵件帳戶所發(fā)送的。這使得任何被收件人所退回來的電子郵件都會進(jìn)入到偽造的發(fā)件人收件箱。偽造的發(fā)件人地址就好像“鏡中人”，看起來一模一樣，實際上卻有著本質(zhì)區(qū)別。

垃圾郵件對電子郵件中的“郵件頭”弄虛作假，以便欺騙垃圾郵件過濾器蒙渾過關(guān)。這個伎倆能讓垃圾郵件看起來更加可信。一般人在收到素不相識的人發(fā)來的電子郵件時都會比較謹(jǐn)慎，而收到熟人發(fā)來的電子郵件時則會放松警惕。

Fidelis安全系統(tǒng)公司威脅研究和服務(wù)主管Will Irace認(rèn)為，筆者朋友的例子很有可能是遭遇到了偽造“電子郵件頭”的情況：“如果他確信自己已經(jīng)更改了郵箱密碼，那么這極有可能是垃圾郵件發(fā)送者偽造了他的地址，而不是真正從他的帳戶將電子郵件發(fā)送出去。”

邁克菲公司云計算和內(nèi)容安全產(chǎn)品解決方案高級營銷主管Melissa Siems補(bǔ)充說：“大多數(shù)電子郵件帳戶受到偽造的可能性大于其受到攻擊的可能性，而且二者緊密相關(guān)。如果用戶頻繁使用的發(fā)件人地址被偽造的話，那么有可能用戶的電腦曾經(jīng)遭到惡意軟件、網(wǎng)絡(luò)釣魚或者Rootkit攻擊?！?/p>

屏蔽IP地址并不可行

被退回來的郵件有時會在“電子郵件頭”里面含有一些詳細(xì)信息，這有助于識別郵件的真正來源。然而，垃圾郵件常常來自于被僵尸網(wǎng)絡(luò)感染或被木馬劫持的電腦，因此，要查出真正垃圾郵件發(fā)送者的可能性微乎其微。

如果我們能夠在“郵件頭”中查看到發(fā)送垃圾郵件電腦的IP地址，那么也許能夠確定郵件來自何處。然后，我們就可以聯(lián)系提供郵件服務(wù)的服務(wù)提供商，請對方屏蔽這個IP地址。從短期來看，這也許能阻止我們正常的發(fā)件人地址被偽造，但從長遠(yuǎn)來看，這根本是白費(fèi)力氣。一方面，郵件服務(wù)提供商也許需要大量證據(jù)舉證才能去屏蔽某一IP地址，或者其根本無法屏蔽；就算郵件服務(wù)提供商可以做這種操作，但是也無法阻止垃圾郵件發(fā)送者用另一臺IP地址完全不同的電腦來偽造發(fā)件人地址發(fā)送垃圾郵件。

因此，如果你手上有很多平時用不到的電子郵件賬戶，最明智的做法就是注銷這些賬戶。當(dāng)然，如果這是企業(yè)電子郵件帳戶以及使用了多年的重要個人電子郵件賬戶的話，注銷這個帳戶顯然是不可行的。

做好預(yù)防工作

還有什么好辦法去應(yīng)對“偽造發(fā)件人”的情況呢？

遺憾的是，對于偽造發(fā)件人地址這種齷齪事，現(xiàn)有的技術(shù)防護(hù)手段基本上無能為力。我們能夠做到的最好方法就是預(yù)防類似事件的產(chǎn)生：盡量避免垃圾郵件發(fā)送者收集到你的電子郵件地址。Irace以調(diào)侃的口吻給出了一些忠告，就是用戶能夠“預(yù)防”電子郵件地址被惡意收集：“在論壇里看到好資源，很多人立即就回帖說‘樓主好人，發(fā)我一份’，然后在網(wǎng)上留下自己的郵件地址，這種做法是不可取的；千萬不要隨便與別人共享自己的電子郵件賬戶。” 即使在某些情況下需要在網(wǎng)站或者論壇上公開自己的電子郵件地址，也應(yīng)該在使用后刪除這些信息。

Siems認(rèn)為，采用一些符合常識的安全做法可以降低電子郵件帳戶“被偽造”的風(fēng)險。比如說，重要的電子郵件帳戶只用來與認(rèn)識和信任的人進(jìn)行交流。盡管這些聯(lián)系人的電腦在中毒或者被攻擊后仍會泄露你的電子郵件地址，但是風(fēng)險相對會低很多。