我贴一个例子:
生成服务器: koperta.ii.uj.edu.pl
[email=jozefowi@ii.uj.edu.pl%0b#<]jozefowi@ii.uj.edu.pl
#<[/email] #5.7.1 X-Postfix; No spam accepted.> #SMTP#
原始邮件标题:
Received: by koperta.ii.uj.edu.pl (Postfix, from userid 65534)
id 2F0B31024E3; Thu, 17 Apr 2008 02:52:36 +0200 (CEST)
Received: from localhost by koperta.ii.uj.edu.pl
with SpamAssassin (version 3.2.3);
Thu, 17 Apr 2008 02:52:35 +0200
From: "fabe byrd" <founder@XXXX.com>
To: <jozefowi@ii.uj.edu.pl>
Subject: ==SPAM== Re:Can u believe that WE will make you h@ppy? G6gao22
Date: Wed, 16 Apr 2008 23:04:55 +0000
Message-ID: <000b01c8a025$07944d63$cd0195bf@agrby>
X-Spam-Flag: YES
X-Spam-Checker-Version: SpamAssassin 3.2.3 (2007-08-08) on koperta.ii.uj.edu.pl
X-Spam-Level: ***********************************
X-Spam-Status: Yes, score=35.2 required=5.0 tests=BAYES_99,DCC_CHECK,
DIGEST_MULTIPLE,DOS_OE_TO_MX_IMAGE,DYN_RDNS_AND_INLINE_IMAGE,EXTRA_MPART_TYPE,
FAKE_REPLY_C,FH_HELO_EQ_D_D_D_D,HELO_DYNAMIC_IPADDR,HTML_IMAGE_ONLY_20,
HTML_MESSAGE,MY_CID_AND_STYLE,PART_CID_STOCK,PART_CID_STOCK_LESS,
RAZOR2_CF_RANGE_51_100,RAZOR2_CF_RANGE_E4_51_100,RAZOR2_CF_RANGE_E8_51_100,
RAZOR2_CHECK,RCVD_IN_BL_SPAMCOP_NET,RCVD_IN_SORBS_WEB,RDNS_DYNAMIC,
SARE_ADULT2,SARE_UN7,T_TVD_FW_GRAPHIC_ID1,URIBL_BLACK,URIBL_JP_SURBL,
URIBL_OB_SURBL,URIBL_SC_SURBL,URIBL_WS_SURBL autolearn=spam version=3.2.3
MIME-Version: 1.0
Content-Type: text/plain
这里我把
founder@xxx.com里的公司域名给隐去了。这个是我公司邮件服务器上的一个真实的组,是公司的创始人。 这个组只是收信,一般不发信的。同时公司有Mcafee 的SIG邮件网关,邮件服务器适用exchange 2003 和2007 而且服务器上都装有mcafee的VSE 8.5 ,病毒库版本最新。所有公司内部的电脑基本上都装有mcafee,而且没有出现外出大量垃圾邮件的情况。所以我排除内部感染的可能性,这就一封退信攻击。而且我没有看到他的源,如果有源的话,那么很容易被反垃圾邮件组织加到black-list里,而且频繁更换SMTP的DNS MX记录成本很高。
而且我们exchange 开了用户认证,这个是因为我真实的测过,我在公司内部搭建了一个sendmail on linux,然后通过foxmail 来发送邮件,foxmail 可以更改邮件头的mail from 信息,同时在linux监控smtp日志。我可以修改mail from 263.net,然后把信发给163.com的一个不存在用户,我可以在263的邮箱里收到163的退信,但是这封信并不是直接退给263的,而是163告诉我这个linux,用户不存在,给我了一封退信,然后我这个linux转发给263,因为我的sendmail开了转发。而且我怎么也隐不了我的源发地址。呵呵。
[
本帖最后由 johnzw 于 2008-4-23 16:22 编辑 ]
