郵件冒充發(fā)送處理方式-群英

您現(xiàn)在的位置：群英 > 幫助中心 > 企業(yè)郵箱 > 郵件冒充發(fā)送處理方式

郵件冒充發(fā)送處理方式

作者: admin
來源: 群英幫助中心
2021-10-11 11:33:31

一、冒充郵件的危害

目前互聯(lián)網(wǎng)總體形勢下，發(fā)送惡意、違法、營銷等垃圾郵件越來越嚴(yán)重，其中冒充郵件發(fā)件人發(fā)送郵件占了其中一定大的比例。我們截獲這些冒充的惡意郵件，經(jīng)過分析后，能夠總結(jié)出冒充發(fā)件人經(jīng)常會用如下兩種形式進(jìn)行詐騙：

1.惡意發(fā)送者往往會冒充知名郵件提供商用于郵件通知的發(fā)件人來發(fā)送釣魚郵件。比如冒充某個郵局的發(fā)件人發(fā)送郵箱需要擴(kuò)容的郵件，郵件內(nèi)容中需要收件人提供郵箱的登錄名和密碼，或者郵件中有一個鏈接地址，點擊此鏈接地址轉(zhuǎn)跳到惡意網(wǎng)頁。

2.冒充收件人周邊熟識的同事、朋友、家屬的郵件地址。我們曾經(jīng)捕獲過，一個惡意發(fā)送者大量發(fā)送收件人所在公司老板的郵件地址，冒充的郵件內(nèi)容是冒充老板口吻讓收件人提供公司的通訊錄以及財務(wù)信息等。

所以說，冒充發(fā)件人發(fā)送惡意郵件會讓收件人在沒有防備的情況下很容易遭到利益損害，因此，為了最大程度保護(hù)我們郵局系統(tǒng)的用戶不受冒充郵件的困擾，在收件規(guī)則上我們會較優(yōu)先地考慮這方面的因素。同時，作為郵箱使用者，您也需要有防范意識，盡量對外部不提供郵箱登陸密碼、自己個人私密內(nèi)容或者公司的關(guān)鍵信息。

二、SPF機(jī)制介紹

SPF是防止冒充發(fā)件人的一種機(jī)制，絕大多數(shù)主流郵箱都會支持SPF機(jī)制。SPF機(jī)制需要發(fā)送方和收件方共同支持的一種方式，理解起來也很簡單。以下是SPF總體的交互方式，我們會用最簡單的方式來說明：

我們以Gmail郵局發(fā)送給我們郵局系統(tǒng)為例，上圖中“外部郵箱郵件發(fā)送服務(wù)器”就是指Gmail郵局發(fā)送服務(wù)器。

比如[email protected]用Gmail郵局發(fā)送服務(wù)器發(fā)送到我們系統(tǒng)的郵件接收網(wǎng)關(guān)服務(wù)器上，我們接收系統(tǒng)能夠獲取到Gmail發(fā)送服務(wù)器的ip地址和發(fā)件人地址以及發(fā)送域名（發(fā)件人就是此例的[email protected]，發(fā)件人域名就是gmail.com）。然后去公共DNS服務(wù)器查詢發(fā)件人域名的TXT記錄中有沒有包含剛才我們獲取到的Gmail發(fā)送服務(wù)器ip地址。

此例中，Gmail郵局事先會把所有它們的發(fā)件ip都放在gmail.com這個域名的TXT記錄中，當(dāng)我們郵件接收網(wǎng)關(guān)服務(wù)器獲取到發(fā)送ip地址比如是35.190.247.1,這個ip能在gmail.com（這個發(fā)件人域）的TXT記錄中找到，則[email protected]這份郵件能證明從Gmail郵局發(fā)出。如果ip不在Gmail事先注冊所有發(fā)送ip的TXT記錄中查出，則確定是冒充[email protected]，判定此封冒充郵件從其他非Gmail服務(wù)器發(fā)出，SPF規(guī)則不通過。

三、我們系統(tǒng)對冒充郵件的處理方式

冒充郵件會對我們郵局使用者造成潛在的較大威脅，為了盡力保護(hù)我們郵局用戶，在收件規(guī)則中我們把冒充發(fā)送這種行為會優(yōu)先考慮。默認(rèn)情況下，我們遇到SPF規(guī)則審核不通過會直接拒收郵件。

但有些發(fā)送郵局由于種種原因，他們的某些發(fā)送ip地址沒有在他們發(fā)件人域名的TXT記錄中注冊（ip遺漏注冊問題），則用遺漏注冊的ip地址發(fā)過來的郵件被我們判定為冒充郵件從而導(dǎo)致我們郵局使用者無法接收，這種情況下，可以在郵箱網(wǎng)頁的設(shè)置界面，不勾選直接拒信的選項，如下圖：

不勾選，則SPF規(guī)則不通過，則會將這封郵件放入垃圾箱中，而不是直接拒信。

四、常見問題說明

1.不勾選“有冒充發(fā)送嫌疑的郵件直接拒收”的選項，為什么還要放到垃圾箱，不應(yīng)該放在收件箱嗎？

答：就如本文第一章所述，冒充發(fā)送郵件行為會對郵箱收件用戶可能造成較大利益損害，為了盡量保護(hù)我們的用戶，我們權(quán)衡再三，決定還是放在垃圾郵件中，并在網(wǎng)頁讀取郵件頁面給出可能是冒充郵件的提示文字。我們每天有郵件進(jìn)垃圾箱的提醒郵件，您需要每天關(guān)注，避免因為SPF問題進(jìn)入垃圾箱而遺漏查看。

2.我已經(jīng)設(shè)置了發(fā)件人白名單，也通知我的郵件管理員在后臺管理系統(tǒng)設(shè)置了白名單，怎么還是不行？

在我們系統(tǒng)中，SPF審核規(guī)則的權(quán)重高于白名單，主要是考慮到如果惡意用戶冒充白名單中的郵件地址來進(jìn)行郵件詐騙的情況。在本文第一章中，我們遇到過冒充企業(yè)老板的郵件地址發(fā)送欺詐郵件給員工，而員工很有可能會把老板的郵件地址加入白名單中。

3.發(fā)送服務(wù)器的ip地址在發(fā)件人域名TXT記錄中遺漏有哪些情況導(dǎo)致？

答：主要有兩種情況導(dǎo)致，一是發(fā)送方的ip地址放在發(fā)送方域名TXT記錄中不全，發(fā)送方郵局管理員遺漏導(dǎo)致。二是公共DNS記錄沒有刷新。發(fā)送方域名的TXT記錄變化了，但是DNS服務(wù)器中的TXT記錄沒有馬上跟著變化，從而導(dǎo)致我們郵局接收服務(wù)器網(wǎng)關(guān)也沒有及時獲取到最新最全的發(fā)送方域名的TXT內(nèi)容。