挖坟。
最近也遇到网易邮箱“系统弹跳”,但是自己没有发邮件,也没有打开smtp和imap。我检查了登录记录和发送记录,确认没有被盗账号。后来通过对退回信的内容进行分析,发现是smtp协议的“Return-Path:”攻击造成的。
事件过程分析:
1、早上登录我的邮箱,发现收到了来自Postmaster的“系统退回邮件”。这几天一直很烦,有点担心账号被盗会造成安全问题,所以就去查了一下。
这是收到的退回邮件列表
2、退回邮件是发票广告邮件
3、乍一看被退回的邮件,好像是我的邮箱给别人发了垃圾邮件又被退回了,于是赶紧查看了登录记录,发送记录,smtp状态邮箱老是收到垃圾邮件,修改了密码。检查后发现我的登录是正常的,是我自己登录的。我在发送记录中没有看到任何异常。smtp 和 imap 都关闭了。没关系,为了安全起见,先去改密码,加上二次登录验证(毕竟是主邮箱)
4、我还是觉得不对劲,经常收到这样的邮件很烦人,所以我仔细分析了退回邮件。我发现有两个附件,于是我下载并打开这两个附件看到如下:
根据原始邮件的发送流程,我们可以看到邮件是由ylplmpihuc发给lanancih30**75的,hgi.lzvqpptv.com是发票广告垃圾邮件的发送服务器。
收件人不是我,为什么我会收到退回邮件?因为 Return-Path: 填写了我的邮箱地址,这是由于 smtp 协议的规范造成的。Spam 也使用此规范发送垃圾邮件,使邮政局长成为骚扰用户和宣传他们的广告的帮凶。
邮件发送规范之一是,如果收件人拒绝接收,或者收件人不存在,postmaster 将获取 Return-Path: 的邮件地址,并向该地址发送退回信息。一般来说,Return-Path:这个地址默认是发件人的地址邮箱老是收到垃圾邮件,但是这个地址可以由发件人自定义。
这里一切都很清楚。虽然是因为smtp标准攻击,但其实主要原因还是网易的垃圾邮件处理不好。这种垃圾邮件应该被阻止,而不是通过根据退回规范返回电子邮件来骚扰用户。