为什么空的MAIL FROM地址可以发送电子邮件？

我们正在使用Smarter Mail系统。最近，我们发现黑客已经入侵了一些用户帐户并发出了大量垃圾邮件。我们有防火墙来限制发件人的速率，但是对于以下电子邮件，由于发件人地址为空，防火墙无法执行此操作。为什么将空的FROM地址视为可以？实际上，在我们的MTA（surgemail）中，我们可以在电子邮件标题中看到发件人。任何的想法？

11:17:06 [xx.xx.xx.xx][15459629] rsp: 220 mail30.server.com
11:17:06 [xx.xx.xx.xx][15459629] connected at 6/16/2010 11:17:06 AM
11:17:06 [xx.xx.xx.xx][15459629] cmd: EHLO ulix.geo.auth.gr
11:17:06 [xx.xx.xx.xx][15459629] rsp: 250-mail30.server.com Hello [xx.xx.xx.xx] 250-SIZE 31457280 250-AUTH LOGIN CRAM-MD5 250 OK
11:17:06 [xx.xx.xx.xx][15459629] cmd: AUTH LOGIN
11:17:06 [xx.xx.xx.xx][15459629] rsp: 334 VXNlcm5hbWU6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 334 UGFzc3dvcmQ6
11:17:07 [xx.xx.xx.xx][15459629] rsp: 235 Authentication successful
11:17:07 [xx.xx.xx.xx][15459629] Authenticated as hackedaccount@domain1.com
11:17:07 [xx.xx.xx.xx][15459629] cmd: MAIL FROM:
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <> Sender ok
11:17:07 [xx.xx.xx.xx][15459629] cmd: RCPT TO:recipient@domain2.com
11:17:07 [xx.xx.xx.xx][15459629] rsp: 250 OK <recipient@domain2.com> Recipient ok
11:17:08 [xx.xx.xx.xx][15459629] cmd: DATA

空MAIL FROM用于发送状态通知。邮件服务器需要支持它（RFC 1123第5.2.9节）。

它主要用于退回邮件，以防止无限循环。当MAIL FROM与空地址（表示为<>）一起使用时，如果接收到的消息正在发送给不存在的用户，则接收服务器知道不会生成退回消息。

否则，某人可以通过伪造消息给另一个域中不存在的用户，并使用您自己域中不存在的用户的返回地址来对您进行DoS，从而导致永无止境的循环退回邮件。

如果您将邮件阻止为空会MAIL FROM:怎样？

• 您的用户不会收到来自其他域的退回消息：他们不知道在向其他域的用户发送邮件时是否输入了错字。

MAIL FROM:您看到的空消息可能不是来自垃圾邮件发送者。

而是，垃圾邮件发送者伪造了您域中的地址，并将其用作发送给另一个域的邮件的回信地址。假设您是，yourdomain.com而我的域名是mydomain.net。垃圾邮件发送者将邮件发送到johnq@mydomain.net，将返回地址伪装为johnq@yourdomain.com。由于johnq我的域中没有用户，因此我的邮件服务器将退回邮件（MAIL FROM:<>）发送给明显的发件人johnq@yourdomain.com。那可能就是您所看到的。

MAIL FROM我认为，阻止空消息弊大于利。根据我的经验，垃圾邮件发送者很少使用空邮件，MAIL FROM:因为它们很容易伪造真实的地址。当邮件是实际的垃圾邮件时，有更好的方法来检测和阻止它，包括RBL，贝叶斯过滤器和SpamAssassin。

最后，您可以yourdomain.com通过为您的域设置适当的SPF记录来防止至少使用某些伪造品。

更新：仔细查看您的日志后，有人能够AUTH为您的服务器使用有效的用户名和密码。这使它陷入了另一类麻烦。但是，我所说的一切MAIL FROM:仍然成立。99％的时间将是退回邮件的结果。

您可以为邮件服务器搜索选项，以将MAIL FROM限制为经过身份验证的用户电子邮件。许多邮件系统都应用了该限制。

因此，强迫被黑用户更改密码。