垃圾邮件分析

Question

为了在电子邮件中识别垃圾邮件/诈骗/钓鱼尝试，你会遵循哪些步骤？我问这个问题的原因是，有时精心制作的垃圾邮件能够绕过自动化的AntiSpam工具，因此需要进一步的调查。

通常，我使用MXToolbox黑名单检查查看发送方的IP信誉。我还使用VirusTotal扫描附件/URL中的恶意软件。我想知道是否还有其他的步骤或在线工具来帮助这个领域。

Answer 1

根据经验，如果它看起来像垃圾邮件，那么它就是垃圾邮件。自动化工具是可以击败的，但人脑(在这种情况下是我的)更难。反垃圾邮件软件有助于自动清除大部分垃圾邮件，将问题减少到可以容忍人工过滤的程度。事实上，识别危险的垃圾邮件相对容易，因为要想变得危险，垃圾邮件必须有一些钩子:一个可点击的链接到一个看起来古怪的域，一个附加的可执行文件(或包含一个可执行文件的Zip存档).模棱两可的垃圾邮件因此是垃圾邮件(或非垃圾邮件)，它们大多是无害的。

例如，我曾经收到一个垃圾邮件，其完整的正文是纯文本(没有HTML版本，没有附加文件，只有ASCII文本)，由一个单词组成："Theravada“。这是佛教的一个分支的名字，所以垃圾邮件的唯一潜在影响可能是帮助我获得启示，我不把它归类为危险。

这里的问题是，人类对电子邮件的过滤要求大脑清楚地知道，从技术上讲，某封电子邮件会给机器带来伤害，因此这只适用于我或任何其他InfoSec专家，而不是普通用户。(而且，喝醉的时候不要看你的电子邮件。)这也强调了反垃圾邮件过滤器从来都不是绝对的，特别是因为它们依赖于发送者不断适应的启发式方法；最好的情况下，好的规则将有助于将垃圾邮件的数量减少到人类可管理的总数。

在通用站点中，一个可行的折衷方案可以是：

• 使用像SpamAssassin这样的“普通”工具来阻止90%的“明显垃圾邮件”。
• 使用白名单自动发送电子邮件，从已知的良好来源。这就提出了一个问题，即是否可以模拟“已知的好源”；DKIM可以提供帮助(即，如果通过DKIM保证电子邮件来自给定的服务器，并且该服务器已被白化，那么就让电子邮件通过)。
• 通过那些“显然”无害的电子邮件。这与用户的培训程度有关；一封纯ASCII的电子邮件仍然可以要求用户将密码发送到sysadmin@evilhackerz.com，如果你的用户会爱上它，那么没有一封电子邮件可以被视为“明显无害”。
• 所有剩下的电子邮件都可以堆积在隔离区，由知识渊博的人类来检查。

对电子邮件的人工检查可能会对通信隐私的期望产生法律影响；即使是在商业环境下，你也必须确保所有相关政策和合同条款都“在法律上是干净的”。

有很多公司在销售和/或运营反垃圾邮件系统时赚了不少钱，所以我们可以推断，彻底击败垃圾邮件可能不是一件容易的事情。

Answer 2

在我看来，MXToolbox和Virustotal是非常好的工具。请记住，一个妥协的电子邮件帐户发送的“低和缓慢”可能会避免一段时间的黑名单。Virustotal仍然可以错过零日恶意软件，但我同意没有比这更好的了。

然而，人类检测不想要的或恶意的电子邮件很容易(假设你有一个聪明的人！)记住，使用工具是为了帮助人类对电子邮件进行评估--如果一个人认为电子邮件是垃圾邮件，而应用程序认为它是合法的，那么人类的评估就应该占上风。

• 垃圾邮件通常是显而易见的，因为它出售的东西，是不想要的电子邮件，没有附件或超链接的所有类别。此外，垃圾邮件很大程度上是在旁观者的眼中--许多用户会选择--进入合法在线商店的时事通讯，但将邮件视为“垃圾邮件”。
• 钓鱼很容易定义:发送者假装是别人，并在电子邮件中提供一个“登录这里做某事”链接。如果不确定，请通过另一种方法与(声称的)发送方联系并检查！如果发件人正在使用营销服务，你可能会得到假阳性，尽管大多数合法的供应商会在每封电子邮件中都有信息性的标题+选择退出。

欺诈倾向于遵循既定的模式，实际上只有几个标记需要记住：

• 你被要求寄钱(彩票诈骗/我在海外被抢劫了/帮我办理这笔转帐，并收取费用/等等)。这是目前为止最常见的一种骗局。
• 您被要求透露个人信息，如姓名、地址、用户名和密码(方便鱼叉钓鱼或身份盗窃)。

Answer 3

现有的最佳信息大多不在电子邮件本身之外：

• 电子邮件是从不是电子邮件发件人合法服务器的服务器发送的，或者是从似乎位于动态网络上的机器(如wifi热点或拨号)发送的。
• 电子邮件是从服务器发送的，在过去一直是垃圾邮件的来源。
• 该电子邮件是由一台服务器发送的，该服务器与相关的SMTP RFCs不完全兼容。Graylisting通过返回临时故障并期望真正的邮件服务器排队和重发来利用这一点。另一种技术是在初始握手中插入延迟，以检测发送SMTP命令脚本而没有实际与服务器交互的源。
• 电子邮件被发送到收件人的错误服务器。次要MX记录通常指向那些简单地排队发送电子邮件，并且缺少分类垃圾邮件或错误收件人所需的信息的机器。垃圾邮件发送者利用这一点，避免(配置良好)主MX记录，即使它是可用的。
• 这封邮件是发给许多收件人的。像Google这样的大型电子邮件服务在垃圾邮件检测方面有一个优势，因为它们可以看到当一条消息被发送给许多不愿意接收到相同消息的人时。
• 该电子邮件有网址，其中引用网站的恶意软件或网络钓鱼诈骗。