追踪电子邮件攻击的来源

Question

在过去的一周里，我们公司的IDS一直在阻止每天100到200次会议邀请来自特定客户端的电子邮件，这些客户端装载了针对Exchange 2003的缓冲区溢出。有效载荷对我们无害，但至少可以说，大量的日志是令人讨厌的。我一直在与客户公司的IT经理取得联系，并已得到保证，没有这些电子邮件的记录来自他们的邮件服务器，然而，攻击只是加快速度和来自他们的域名上的更多地址每天。在我们看来很清楚，有一种感染正在通过他们的领域传播，但他们坚持认为他们的系统是干净的。我们相当肯定它不是来自我们的任何机器，因为电子邮件甚至在进入我们的网络之前就被屏蔽了。如果攻击真的不是源于它们，我们如何才能找到它们的来源呢？或者我们可以收集什么样的证据来证明它真的来自客户？

Answer 1

电子邮件头应该足够了(关于如何读取它们的示例，请参见"电子邮件头ip地址“)。也许把它们也贴在这里。

我想强调的是，虽然只有最近的标题行是绝对可靠的，标题信息实际上是唯一的电子邮件来源的信息，你可以获得。

你可以给“发件人”发一封邮件，这样他们就应该有足够的信息来确认或否认--但这取决于他们是否有意愿、专业知识和勤奋去做些什么。俗话说：“可以牵马上水，但不能让马参与花样游泳。”

如果您怀疑标头不可靠，那么唯一的方法是通过每个中间MTA缓慢地向后工作，每次确认标头行与它们的日志匹配。这将使您能够绝对肯定地证明发送MTA是谁，但是：

• 这是一项巨大的工作。至少几个小时。
• 您必须快速，因为由于所需的存储量，许多大型邮件系统无法长时间地存储日志数据
• 你应该很幸运，希望每一个中间的MTA都能和你合作

即使你成功了，发件人仍然可以选择忽略你(毕竟这是他们的邮件服务器)，在这种情况下，你唯一剩下的办法就是把垃圾邮件报告给黑名单提供者。