近期靠谱邮件“大白”监测系统及时阻断了一些我们的纯中继外发客户(但没有使用云网关服务)的部分邮箱账号对外发送大量主题带有“未阅读”或“已读”的邮件垃圾。见下图:
此类垃圾邮件是如何产生的呢?和邮箱账号被破解而大量发送的垃圾邮件有什么不同?
1、 首先是黑客冒充QQ/163等邮箱发送大量垃圾邮件给企业邮箱用户,并且发送时每封垃圾邮件都要求了已读回执。
2、 待企业邮箱用户客户端收到这些垃圾邮件时,无非两种操作:阅读垃圾邮件或直接删除垃圾邮件。
3、 用户阅读或批量删除/清理这些垃圾邮件时,而此时用户客户端会提示是否发送回执给发件人,如果选择“是”或客户端设置默认总是自动发送回执,将会给垃圾邮件的发件人发送已读或未阅读删除回执(据了解,有些邮件客户端,比如Outlook 2007,不管用户是否主动发送回执,在进行批量删除/清理或存档邮件时都会自动给发件人发送未阅读回执。)
4、 回执的邮件都不会包含原始垃圾邮件内容,但是主题中会包含原始邮件的主题,而黑客把所有的垃圾邮件信息全部写在了主题中。黑客则是利用这一点实现了给那些QQ/163等发件人批量发送垃圾邮件的目的。
5、 当然,这些垃圾邮件能进到这些企业的邮箱用户里,说明企业的邮件网关性能不足,不能及时阻挡这些垃圾邮件,如果能阻挡,也就不会有上面的问题了。
6、使用了靠谱邮件中继外发的企业,在利用回执方式发送垃圾邮件,到达我司网关时,被“大白”捕获并阻挡,但因为没有使用我们靠谱反垃圾邮件网关,所以,我们也只能提醒IT加强此类垃圾邮件的防范。
解决建议:
1、增强服务器反垃圾策略,采用靠谱的反垃圾邮件网关;
2、提高服务器的外发安全策略,阻挡此类垃圾邮件的外发;
3、关闭服务器对外的明文端口,加强服务器安全。