识破"mail from"伪造_动网_社区论坛·开发者网络源动力

应用邮件系统自动回复的漏洞，伪造大量的发件人给某个邮箱发信，从而使用自动回复反弹发送大量的垃圾邮件。

这种伪造就是mail from伪造，目前在整个行业里，受SMTP协议本身实现的限制，技术上还无法根本杜绝“mail from”伪造。因而263网络通信的“反垃圾”攻防实验室就这一问题展开了全面的研究与分析，并制定解决方法。

当你碰巧收到朋友发过来的垃圾邮件时，而你的朋友也确实没有发过这样的垃圾邮件，这就是垃圾邮件发送者对“mail from”进行了伪造。垃圾邮件发送者可以用任意的一个“mail from”来发送垃圾邮件，之所以伪造是为了让垃圾邮件更加隐蔽，但是他所发送的垃圾邮件内容是不变的，也正是这个原因暴露了垃圾邮件的特征之一：即mail from与from地址的不一致。

263网络通信的反垃圾专家TONY，推了推眼镜，点头道：“垃圾邮件发送者太狡猾了，这mail from好比传统邮件信封上的寄件人地址，而from好比传统邮件信纸上的写信人地址。正常的邮件发送是两个地址都一样的，如果这两个不一样，就有垃圾邮件的嫌疑。”

在技术专家们的配合下，一套SMTP检查系统很快上线，凡是应用263服务器发送的邮件，都必须核准mail与mail from的地址，垃圾邮件发送者在进行邮件地址伪造的时候就会被263邮件服务器跟踪。一旦发送邮件超过一定数量现两个地址有不一致的情况，就可以判定属于垃圾邮件。

那么，是不是所有的垃圾邮件都是伪造mail from造成和from地址不一致呢？显然不是的，反垃圾专家TONY再次陷入了深思：邮件系统中负责传送邮件的服务器有两个角色，一种是接收用户发送的邮件，另一种是负责接收别的邮件服务器投递给本服务器用户的邮件。在发送端可以发现垃圾邮件的蛛丝马迹，在接收端是不是也可以呢？敬请关注下期内容：《同域认证，识别伪造同域垃圾邮件》

“反垃圾”攻防实验室友情提示：mail地址与mail from地址的不一致是垃圾邮件的重要特征之一，反垃圾工作者通过对邮件的mail与mail from进行比较来识破伪造的垃圾邮件，从而实现“反垃圾”。