可以防止电子邮件欺骗吗?


50

我妻子的电子邮件帐户被黑,攻击者得到了她的地址簿。我不知道攻击是在她的本地电子邮件客户端(在Windows 7上运行的Thunderbird)还是在服务器(托管在GoDaddy)上。无论哪种方式,联系人列表数据都在那儿,我无法撤消。我更改了所有密码,更新了安全性等,并且我认为没有任何进一步的入侵。

但是,无论谁这样做,都使用我妻子的名字作为“发件人”来发送大量垃圾邮件。他们安静了一会儿,然后我经常从妻子那里收到几十封电子邮件,当然她并没有真正发送过,而通讯录中的其他所有人也都收到了。而且由于她的通讯录中充满了许多死信,我的妻子收到了数百封“邮件传递失败”的退回邮件,以及数百封被接收域拒绝为垃圾邮件的电子邮件。她的联系人列表中的人正在生气,这已经成为一个真正的问题。

我已经向GoDaddy询问了这一点,他们说任何人A都可以向b@bbb.com声称的人发送电子邮件c@ccc.com,并且没有可用的电子邮件基础结构来验证人A被授权从发送电子邮件ccc.com。因此,对此我绝对无能为力,而且这个垃圾邮件发送者将能够骚扰他人,破坏我妻子的声誉,将她的电子邮件列入黑名单等,并且也无法阻止它

这是真的吗,或者我能做些什么来制止这些垃圾邮件发送者,或者至少减轻损失?


27
是的,这是真的。
运行CMD

14
如果愿意,我可以在信封上写一个信封,上面写着是总统寄来的。哎呀,可以说这是来自上帝的。与电子邮件管理员联系以获取其电子邮件地址所在的域。
David Schwartz

7
您妻子的计算机上装有病毒。它不是“黑客”……对于病毒来说,访问您的Outlook / Thunderbird地址簿并对其中的所有人进行垃圾邮件非常普遍。修复病毒,否则病毒将继续发生。
SnakeDoc

4
被欺骗的人无法阻止它(对您来说很不幸),但是收件人可以使用一些工具来尝试减少收到的欺骗邮件的数量。
Todd Wilcox 2015年

4
当您收到其中一封电子邮件时,请检查电子邮件的完整标题,然后在其中检查“ Received:”标题。它将指示您电子邮件实际上是来自其他人还是来自妻子的计算机(由于该计算机上的病毒)。
jcaron

Answers:


46

实际上,由于协议的设计是简单且高度分布式的,因此以通用方式解决电子邮件欺骗的问题确实非常困难。

在这个例子中,物理字母的比喻很好地支撑了我:我可以把一封信放到信中,并在上面写上它是从你家来的;我不需要闯入您的房子就能做到,只需将其放在公共邮政信箱中即可。而且,如果该帖子被标记为“发回给发件人”,即使您没有写该帖子,也很可能最终被“退还”给您。电子邮件也是如此:任何人都可以使用“收件人”和“发件人”地址将消息传递到系统中。您从中发送邮件的服务器可能与接收邮件的服务器不同,并且当您向系统中发送邮件时,没有集中的服务来验证您的身份。

有两种通用方法可以解决此问题:

数字签名是一种在消息中包括只有真实发送者才知道如何生成(使用他们从未共享的私钥)的签名或印章的方式。然后,接收者可以使用公钥来验证签名,该公钥在数学上证明是谁产生了签名(并且该签名与接收到的文本匹配)。

但是,这对于您的示例不是很有用,因为它不会阻止邮件的传递,并且要求收件人知道公钥或经过验证的位置才能检索它。

已经开发了基于域的发件人验证系统,以尝试防止垃圾邮件。这些将数据存储在地址域(@后面的部分)的DNS(目录查找)中,允许接收系统验证邮件是否合法。一个系统SPF列出了允许哪些系统代表该域发送邮件;另一个DKIM存储公用密钥,该公用密钥的使用类似于上面的数字签名方法,但是用于验证传输系统,而不是实际的发送者。

(为了稍微夸大实际信件的类比,SPF就像公开说“我只使用这个邮箱投递信件”,而DKIM就像公开说“我总是从这个邮局发送邮件,为我打印一个防篡改标签“。)

这些与您的情况更相关-如果您的妻子使用的是自定义域,则适当的SPF或DKIM设置会导致许多系统默默地拒绝她自己未发送的邮件(或将其标记为垃圾邮件,而不会归因于她)。但是,它仅在域级别起作用,而不在单个地址起作用,并且某些收件人系统可能不检查记录。


域级别对我来说就足够了,因为所涉及的电子邮件地址位于自定义域上,并且实际上是唯一的一个。但是,这些措施的可靠性如何?垃圾邮件发送者可以规避这些措施吗?大多数主要的ISP和电子邮件提供商都使用SPF和DKIM查找,还是更像是没有被广泛采用的提案?
约书亚·弗兰克

4
@JoshuaFrank-几乎每个合法的公司都正确配置(SPF,DKIM等)来缓解您所描述的问题。这实际上取决于您是否具备执行此操作的技术技能以及实施这些解决方案的资源。
Ramhound

4
关键问题是收件人服务是否验证SPF / DKIM标头,以及它们如何处理信息。幸运的是,现在有许多人使用诸如Hotmail / Outlook.com和GMail之类的Webmail服务,这些服务在这类事情上通常很出色,但是一些较小的ISP可能没有很好的过滤功能,在这种情况下,您无法采取任何措施来阻止它们收到邮件。不过,值得一试-SPF通常很容易设置。
IMSoP 2015年

6
+1。当系统实际上不愿意聆听它们时,SPF,DKIM和DMARC组合在一起是一种非常强大的武器。
卡兹·沃尔夫

2
@DmitryGrigoryev简短答案:不。详细答案:请参见答案顶部的新段落。
IMSoP 2015年

16

通过电子邮件将她的通讯录中的所有实时联系人发送电子邮件,并告诉他们有关电子邮件垃圾邮件的问题可能会有所帮助。现在是从列表中删除所有死掉联系人的最佳时机。

将来使用PGP / GPG对于私人用户和发件人来说,将是一种近乎完美的解决方案,它可以自己验证电子邮件实际上是由发件人发送的,并且也可以隐藏/加密邮件的内容,因此只有预期的接收者。但是,尽管PGP已有几十年的历史了,但是对于任何人来说,使用它都不是一件容易的事,而且仅网络邮件(例如Gmail等)使得很难将秘密部分真正对您自己保密,而且仍然很容易从任何地方使用...

邮件认证

有一些方法可以对电子邮件接收者进行身份验证(至少有些代表,例如Yahoo和Google等),“ 表示互联网电子邮件用户的比例很高-DMARC FAQ),表明来自您的域的消息确实是来自您的域。他们使用DMARK,“ 允许发送者指出其消息受SPF和/或DKIM保护,并告诉接收者如果两种身份验证方法均未通过,例如垃圾邮件或拒绝消息,该怎么办-DMARC FAQ

更改为其他电子邮件地址也可能在短期内有所帮助,然后您和其他所有人都可以放心地忽略垃圾邮件发送者发出的所有其他邮件/将其标记为“垃圾邮件”。但是,即使这不是您的主要关注点,因为它们“显然是超级垃圾邮件”并且没有人被欺骗,但您可能还是想研究阻止轻易欺骗“ from:”这一行,因为如果有足够的用户总是在“标记”作为垃圾邮件”是您妻子的公司电子邮件,垃圾邮件过滤器可能会开始丢弃该地址中的所有邮件。

电子邮件身份验证应帮助发送和接收邮件服务器验证邮件实际上是从其所说的来源发送的。我已经在Gmail上找到了一些信息,因为它是“三大”电子邮件公司之一,所以可能是一个不错的起点。即使将电子邮件提供商转换为已经设置/通过身份验证的电子邮件提供商,例如Gmail for Business,也 应该有所帮助,并且可能会更容易,但不是必须的,尽管从您对GoDaddy的答复来看,它们可能不是您理想的主机。

Gmail的有关电子邮件身份验证的帮助为发送域提供了一些建议:

如果您是发送域

具有DKIM签名的消息使用密钥对消息进行签名。用短键签名的消息很容易被欺骗(请参阅 http://www.kb.cert.org/vuls/id/268267),因此用短键签名的消息不再表示该消息已正确认证。为了最好地保护我们的用户,Gmail从2013年1月开始将使用少于1024位密钥签名的电子邮件视为未签名电子邮件。我们强烈建议所有使用短密钥的发件人都切换到长度至少为1024位的RSA密钥。强烈建议每个邮件发件人进行身份验证,以确保您的邮件被正确分类。有关其他建议,请参阅我们的批量发件人指南

仅仅进行身份验证不足以保证您的邮件可以传递,因为垃圾邮件发送者还可以对邮件进行身份验证。在对邮件进行分类时,Gmail会将用户报告和其他信号与身份验证信息结合在一起。

同样,未经身份验证的邮件不足以将其归类为垃圾邮件,这是因为某些发件人不对邮件进行身份验证,或者在某些情况下(例如,当邮件发送到邮件列表时)身份验证失败。

详细了解如何创建策略以帮助控制来自您域的未经身份验证的邮件

来自您域的最后一个链接“ 控制未经身份验证的邮件”特别相关:

为了帮助打击垃圾邮件和滥用行为,Gmail使用电子邮件身份验证来验证邮件是否实际上是从发送邮件的地址发送的。作为DMARC计划的一部分,Google允许域所有者帮助定义我们如何处理未经授权的虚假声称来自您域的邮件。

你可以做什么

域所有者可以发布策略,告诉Gmail和其他参与的电子邮件提供商如何处理从您的域发送但未经身份验证的邮件。通过定义策略,您可以帮助打击网络钓鱼,以保护用户和您的声誉。

在DMARC网站上,了解如何发布您的政策,或查看有关Google Apps域的说明

这里有一些事情要记住:

  • 您将收到每个参与的电子邮件提供商的每日报告,以便您查看对电子邮件进行身份验证的频率和识别无效电子邮件的频率。
  • 从这些报告中的数据中学习时,您可能需要调整策略。例如,当您更加确信自己的消息将全部通过身份验证时,可以将可操作的策略从“监视”调整为“隔离”再更改为“拒绝”。
  • 您的政策可以严格也可以放松。例如,eBay和PayPal发布了一项政策,要求对他们的所有邮件进行身份验证才能出现在某人的收件箱中。根据他们的政策,Google拒绝来自eBay或PayPal的所有未经身份验证的消息。

有关DMARC的更多信息

DMARC.org的成立是为了允许电子邮件发件人通过以可发现且灵活的策略发布其首选项来影响未经身份验证的邮件。它还使参与的电子邮件提供商可以提供报告,以便发件人可以改进和监视其身份验证基础结构。

Google与其他电子邮件域(例如AOL,Comcast,Hotmail和Yahoo!)一起加入了DMARC。邮件。此外,美国银行,Facebook,富达,LinkedIn和Paypal等发件人已经发布了政策,供Google和其他收款人遵循。

有关更多信息,请参阅Gmail官方博客中的这篇文章。

其他有用的链接:


6
不幸的是,对于大多数人来说,设置PGP / GPG并持续使用足够使人们可以忽略未签名的消息可能是不可行的-尤其是因为对于这种特定情况,每个接收者都需要建立并了解系统才能避免受现有垃圾邮件的影响。
IMSoP

5
验证电子邮件是否来自您妻子的一种简单方法是,让她的每个联系人都收到她的电子邮件,让他们知道这次攻击,并告诉他们“将来我发来的所有合法邮件This really is Mary的主题行中都带有*”。更老练的用户将设置过滤器以拒绝不具有该功能的邮件,基本用户可以手动删除不具有该功能的邮件。这将是一种非常简单的数字签名形式,连奶奶也可以使用。*在这里用你妻子的名字代替。;)
FreeMan 2015年

1
垃圾邮件非常垃圾,因此毫无疑问,这些电子邮件并非真的来自我的妻子,因此在编写真实的电子邮件时,她应该证明自己的人格。问题是人们正在收到垃圾邮件,并惹恼了我的妻子,即使这不是她的错。要求所有收件人足够复杂以使用PGP或基于密码短语创建邮件过滤器确实是不可能的,并且也不会阻止使他们烦恼的垃圾邮件的冲击。
约书亚·弗兰克

这通常是由病毒引起的,因此,除非您先删除病毒,否则简单地更改电子邮件地址将没有任何作用!
SnakeDoc

@FreeMan,只是任何人都可以在主题中复制“签名”。使用GPG,不会分发用于签名消息的私钥。
内森·奥斯曼

10

可以执行的操作取决于您可以控制多少基础结构,以及您是使用自己的域名还是在别人控制的域下拥有一个地址。

如果您拥有自己的域,则可以轻松切换到相同域下的新电子邮件地址。此外,您可以设置DNS记录,以告知全世界您域中的所有电子邮件都应进行数字签名。(如果这是您要采用的方法,则需要搜索SPF,DKIM和DMARC。)

您不能期望所有人都验证这些签名,因此即使您设置DNS记录以指示必须对来自您域的电子邮件进行签名,仍然会有滥用者发送声称来自您域的未签名电子邮件,并且接收者会接受那些未签名的电子邮件。

如果您不控制域,那么更改电子邮件地址就不那么容易了,并且对于是否使用DNS记录来限制在外发电子邮件中欺骗域的能力几乎没有影响。

使用欺骗性源地址的垃圾邮件消息导致反弹回合法地址的问题至少在原则上很容易解决。

您可以记录Message-ID所有要发送的电子邮件。所有的退回都需要在Message-ID某处包含原始邮件的-否则退回无论如何都是完全无用的,因为这可以告诉您退回了哪条邮件。任何不包含Message-ID您先前发送的退回邮件都可以直接发送到垃圾邮件文件夹,也可以在接收时被拒绝(这样做的好处是使问题更接近源头)。

MAIL From地址外,跳动可以与其他电子邮件区分开。退回MAIL From邮件始终有一个空地址,其他电子邮件从未有一个空MAIL From地址。

因此,如果MAIL From为空-并且其中DATA不包含Message-ID您以前发送的邮件,则可以安全地拒绝该邮件。

这就是原则。将其付诸实践有点困难。首先,外发和外发电子邮件的基础结构可能是分开的,这使得Message-ID外发电子邮件的基础结构始终知道通过外发电子邮件的基础结构中的每一个都是有问题的。

此外,某些提供商还坚持发送不符合常识的退回单。例如,我看到提供商发送退回邮件,其中不包含有关退回原始电子邮件的任何信息。对于此类无用的退回邮件,我的最佳建议是将其视为垃圾邮件,即使它们来自其他合法的邮件系统也是如此。

请记住,获取电子邮件地址列表的任何人都可以将任何地址作为源地址,并将任何地址作为目标地址。因此,除非您有其他信息,否则无法确定泄漏甚至是您自己的系统发生的。可能是您的任何联系人泄漏了包括您在内的地址列表。

您越能弄清楚哪些地址在泄漏列表中,哪些不在,您越能弄清楚从何处泄漏了地址。可能是您已经这样做并得出结论,认为泄漏一定是由于您的联系人列表引起的,因为您的所有联系人都不会知道所有确认为泄漏的地址。

我的处理方法是使用我自己的域以及与之通信的每个联系人在该域下使用单独的电子邮件地址。我在邮件地址中包含了与该联系人的首次联系日期,这样看来就像kasperd@mdgwh.04.dec.2015.kasperd.net今天我要给新联系人写一封电子邮件一样。显然,这种方法并不适合所有人,但对我而言,它确实可以帮助确切地了解谁泄漏了我的一个正在打开的电子邮件地址列表。这也意味着我可以关闭各个地址,这样只有泄漏我地址的人才需要为我更新他们的联系信息。


我的答案中提到的示例地址现在收到了第一条垃圾邮件。该地址将暂时终止。这提供了一个数据点,表明垃圾邮件发送者有多快就能接收到superuser.com上发布的地址。
kasperd 2015年

8

是的,没有。

没有什么能阻止我写一封以您的地址为发件人的电子邮件的。这与常规的纸质邮件没有什么不同,在常规的纸质邮件中,我也可以在信封的正面放一个目标地址,在信封的背面放一个(任何!)回信地址。

但是,您可以添加数字签名以证明您是发件人(请参阅PGP和Xen的回答)。邮件提供商也开始对邮件服务器之间的通信实施安全检查。(请参阅TLS-传输层安全性)。但是邮件建立在旧的协议上,每个人的行为举止都很好。它不是为大的坏世界而设计的。


2
一些最聪明的人说得最好。电子邮件并非旨在发送个人信息。电子邮件旨在替代实际的信件,即一封密封的信件,可以伪造发件人。尽管技术使我们能够通过调查准确地知道该物理信件的发送来源,但最终用户无权访问该信息。换句话说,我可以给某人发送一封实际的信件,将回邮地址设置为我想要的任何内容,而收件人将不知道实际发送给谁。(下
一条

加密电子邮件的内容解决了电子邮件的第一个主要问题,即以纯文本形式发送,并且任何具有拦截电子邮件功能的人都可以读取电子邮件的内容。在实物信件的世界中,这可以通过物理密封信封来解决,所以要知道,是否有人拦截了它(或者为实物个人交付而支付了许多服务费用)。当然,这仍然不会改变发信人的事实,只是这样说就可以声称来自他们想要的任何人。
Ramhound 2015年

1
@Ramhound-电子邮件并不是用来代替实际信件的,而是明信片,每个人都可以阅读所写内容的明信片。
凯文·基恩2015年

@KevinKeane-您在争论语义。
Ramhound,2015年

@Ramhound-我意识到您主要专注于寄信人地址,因此您在这种意义上是正确的。但是,就内容的保护而言,信封非常类似于带有PGP加密内容的电子邮件:您仍然可以看到发件人和收件人,而看不到他们彼此写的内容。但是,是的,当涉及到发件人地址伪造时,您是对的,信封和明信片在这方面是相同的。
凯文·基恩

7

您正在错误地处理此问题。

从在计算机维修行业工作多年以来,我可以告诉您,这里几乎不可能发生任何“黑客入侵”。您妻子的计算机很有可能感染了病毒,并且该病毒已经访问了她的Thunderbird通讯录。

这是相当普遍的。通常,病毒是直接从受感染的计算机发送电子邮件,因此删除病毒将阻止垃圾邮件-它们不是“欺骗”您妻子的电子邮件地址,而是您妻子的电子邮件地址。

按照另一个用户的建议更改电子邮件地址几乎不可能解决任何问题……尤其是如果您在同一台计算机上将其输入到Thunderbird中。

下载并Combofix在您妻子的计算机上运行。

http://www.bleepingcomputer.com/download/combofix/

有关如何运行它的说明,请访问:http : //www.bleepingcomputer.com/combofix/how-to-use-combofix

本质上,下载它,以管理员身份运行(右键单击->以管理员身份运行),单击“确定” /“是” /继续到提示,然后走30分钟到一个小时。它会运行很长时间,并且可能会重新引导计算机(请确保重新登录以使其继续工作)。

当全屏记事本打开并显示一堆文本时,您将知道它已经完成。关闭它,再次重新启动,您可能已经解决了问题……只有时间会证明一切。


“它们是您妻子的电子邮件地址。” -这也许是一个字吗?
Ramhound

@Ramhound不,我试图传达“他们”不是在欺骗电子邮件地址,它们(病毒)实际上是通过计算机上的Thunderbird客户端作为电子邮件地址发送的(即使已关闭)。
SnakeDoc

这样做需要病毒知道虽然实际上可能是罕见的密码,但并不经常这样做
Ramhound

@SnakeDoc:我不确定这可能是正确的,因为即使关闭机器也会发生这种情况。而且与最初启动时的机器不同,它具有更好的安全性,所以我希望我没有相同的病毒。但是为了安全起见,我还是会尝试使用combofix。谢谢你的建议。
约书亚·弗兰克

3
就像检查服务器日志是否通过它发送一样简单。此外,退信将包含收到的邮件的标头(除了丈夫收到的邮件的标头),因此甚至不需要询问第三方。
安赫尔

2

这里有两个问题。您关于验证电子邮件发件人的特定问题,以及以您的名字发送电子邮件时可以做什么。

不幸的是,欺骗From:电子邮件中的地址很简单,仅此而已。尽管有多种方法可以设置电子邮件,以便可以验证发件人(例如其他答案中提到的不正确的签名),但通常不使用它们。如果您妻子的失窃联系人包括很多临时联系,一次性客户,邮件列表等,那么这是没有用的:如果收件人发现伪造的电子邮件很麻烦,则要求他们最后要做的就是安装特殊软件在他们的计算机上。

这带我们去做她能做的。垃圾邮件发送者广泛使用被盗地址作为掩盖,大多数人知道忽略了假装来自熟人的明显垃圾邮件。如果这就是所有的事情,那么解决方案显然是让您的妻子收到一封新电子邮件,最好是一个容易与旧电子邮件区分开的电子邮件;如果可能的话,将其与拼写她的全名相结合,例如添加中间名或职位。然后,通知她的联系人列表中的每个人,并停止使用旧电子邮件,但继续监视它,以防错过备忘录的人收到来信。

如果您认为某人专门针对您的妻子,试图冒充她,破坏她的声誉等,事情就会变得更加困难。在这种情况下,攻击者会迅速采用一封新电子邮件(因为您的妻子不会保留该电子邮件)秘密)。但这是您可以跨越的一座桥梁(我认为这不太可能)。


如果她停止使用该地址,列表中的每个人仍然会收到垃圾邮件,并且她将丢失其主要地址,因此她将停止从那些不知道自己使用其他地址的人那里收到重要电子邮件。我不知道他们以我的妻子为目标,但他们一直在这样做,这开始激怒人们,因为他们认为不停下来是我妻子的错,我们一直在努力解释我们无能为力,但我认为他们不相信我们。
约书亚·弗兰克

2
她不会停止得到任何东西。正如我所说,她应该继续监视传入的消息,但要从新地址发送电子邮件。她应该给所有人发送电子邮件,告诉他们被破坏的地址已过时-然后,如果需要,他们可以将来自该地址的电子邮件直接定向到其垃圾邮件文件夹中。
Alexis

1

就像弗里曼所说的那样……让所有普通的电子邮件通讯员都知道,她以后发来的所有电子邮件都会有他提到的短语或类似的词。

我最常与我联系的一些人知道,如果他们要我打开邮件,他们必须在垃圾邮件发送者中说些什么,例如“是的,丹尼斯,这确实是______,而您的狗的名字是______”,我说些类似的话。这是麻烦吗?也许这只是些小麻烦。

现在,如果每个人都采用SPF,那将是巨大的帮助。


问题不在于收件人被电子邮件欺骗了(其内容是显而易见的垃圾邮件链接),而是他们收到了数十份电子邮件。拥有密码短语将使老练的用户可以创建阻止垃圾邮件的过滤器,但是大多数人不会这样做,因此他们将继续收到并感到烦恼。
约书亚·弗兰克

1
此解决方案也无法解决“邮件传递失败”反吹问题。
安东尼·G-莫妮卡的正义

以防万一您认为SPF是解决方案:大多数(如果不是全部)SPF实现不足以阻止垃圾邮件或阻止虚假发件人。就像它不会阻止垃圾邮件发送者使用SMTP命令mail from: <whatever@spammer-spf-controlled-domain.com>后跟标题一样From: Someone Else <someone-else@example.com>,后者是将在电子邮件客户端中可见的地址。(此外,如果收件人设置了电子邮件转发功能,可能会对某些电子邮件未发送感到惊讶;我的提供商建议不要使用SPF ...)
Arjan 2015年

1

这可能并不理想,但是如果我是您,我将关闭我的帐户并开始一个新帐户。告诉所有人我的新地址,并将旧地址列入黑名单。


是的,突然关闭电子邮件不是理想的选择
双关语
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.