當我們看到垃圾郵件時，我們大多數人都知道它，但是在收件箱裡看到一封來自朋友或更糟的是我們自己的奇怪電子郵件是相當令人不安的。如果你看到一封看起來像是朋友發來的郵件，並不意味著他們被駭客攻擊了。垃圾郵件傳送者總是欺騙這些地址，這並不難做到。下麵是他們是怎麼做的，你是怎麼保護自己的。

垃圾郵件傳送者已經欺騙電子郵件地址很長一段時間了。幾年前，他們曾經從感染惡意軟體的電腦上獲取聯絡人名單。如今的資料竊賊仔細選擇目標，並用看起來像是來自朋友、可靠來源，甚至是自己賬戶的訊息對其進行釣魚。

事實證明，欺騙真實的電子郵件地址是出人意料的容易，這也是為什麼網路釣魚是這樣一個問題的一部分。系統工程師、志向遠大的CISSP和tl80讀者Matthew向我們介紹了它的工作原理，但也讓我們大吃一驚的是，他們從其他tl80作者的電子郵件地址給我們中的一些人發了電子郵件。儘管事實上，我們知道這是有可能的，我們都得到了垃圾郵件之前，它是更令人不安的，實際上是被它欺騙。所以，我們跟他談了他是怎麼做到的，以及人們能做些什麼來保護自己。

註：下麵是一個相當技術性的寫作，是為更精通計算機的人設計的。如果你想要一個更基本的關於避免垃圾郵件和詐騙的概述，我們也有一個。

一點歷史：為什麼電子郵件地址如此容易被欺騙

今天，大多數電子郵件提供商已經解決了垃圾郵件問題，至少他們自己滿意。Gmail和Outlook擁有強大、複雜的垃圾郵件捕獲演算法和強大的過濾工具。不過，早在21世紀初，情況並非如此。垃圾郵件仍然是郵件伺服器尚未認真解決的一個巨大問題，更不用說開發先進的管理工具了。

2003年，Meng Weng Wong提出了一種郵件伺服器“驗證”傳送郵件的IP地址（網際網路上標識計算機的唯一號碼）是否被授權代表特定域傳送郵件的方法。它被稱為傳送者許可表單（2004年更名為“傳送者策略框架”），Matthew解釋了它的工作原理：

每次傳送電子郵件時，接收電子郵件的伺服器都會將郵件的源IP與電子郵件地址主機的SPF記錄中列出的IP地址進行比較（“example.com”部分）

如果兩個IP地址匹配，那麼電子郵件就可以傳遞給預期的收件人。如果IP地址不匹配，則該電子郵件將被標記為垃圾郵件或完全拒絕。決定結果的責任完全掌握在接收伺服器的手中。

多年來，SPF記錄不斷發展（最新的RFC釋出於2014年4月），網際網路上的大多數域都有SPF記錄（你可以在這裡搜尋它們）。

然而，這種方法並不完美，這也是它沒有完全流行的部分原因。SPF記錄需要管理人員實際新增新的IP地址並刪除舊的IP地址，每次更改時記錄都需要時間在internet上傳播(更新：我們以前將SPF檢查繫結到使用者IP地址，而mailhosts實際使用該技術來驗證郵件透過的伺服器是否是代表給定域的授權發件人，而不是所使用的裝置是否被授權代表給定地址傳送。很抱歉給你帶來困惑，感謝那些指出這一點的評論人士！）不管怎樣，大多數公司都使用SPF的軟版本。它們不是透過阻止有用的郵件來冒誤報的風險，而是實現“硬”和“軟”失敗。電子郵件主機也放寬了對未透過檢查的郵件的限制。因此，電子郵件對公司來說更容易管理，但網路釣魚很容易，而且是個大問題。

然後，在2012年，一種新的記錄型別被引入，旨在與SPF一起工作。它被稱為DMARC，或基於域的訊息驗證、報告和一致性。一年之後，它被擴充套件以保護大量的消費者郵箱（儘管自稱為60%的人可能是樂觀的）

DMARC歸結為兩個重要的標誌（儘管總共有10個）-“p”標誌，它指示接收伺服器如何處理潛在的虛假電子郵件，或者透過拒絕、隔離或傳遞；以及“rua”標誌，它告訴接收伺服器在哪裡可以傳送失敗訊息的報告（通常是域管理員安全組的電子郵件地址）。DMARC記錄解決了SPF記錄的大部分問題，它把決定如何響應的責任從接收者身上移開。

問題是，還不是每個人都使用DMARC。

這個方便的工具可以讓你查詢任何域名的DMARC記錄——在一些你喜歡的網站（gawker.com，whitehouse.gov，redcross.org，reddit.com）上試試。註意到什麼了嗎？他們的目標已經公佈了DMARC記錄。這意味著，任何試圖遵守DMARC規則的電子郵件主機都不會有任何關於如何處理SPF失敗的電子郵件的指示，可能會讓它們透過。這就是谷歌利用Gmail（和谷歌應用程式）所做的，這就是為什麼虛假電子郵件可以進入你的收件箱。

為了證明谷歌確實註意到了DMARC記錄，看看facebook.com上的DMARC記錄——“p”標誌表明收件人應該拒絕電子郵件，並向facebook的郵局主管傳送一份報告。現在試著偽造一封來自facebook.com的電子郵件，並將其傳送到一個它不會透過的Gmail地址。現在看看fb.com的DMARC記錄——它表明不應該拒絕任何電子郵件，但無論如何都應該做出報告。如果你測試一下，來自@fb.com的郵件就會透過。

馬修還指出，“郵政局長報告”不是玩笑。當他試圖用DMARC記錄欺騙一個域時，他的SMTP伺服器在不到24小時內就被封鎖了。在我們的測試中，我們註意到了同樣的情況。如果一個域設定正確，他們將很快結束這些欺騙訊息，或者至少直到欺騙者使用不同的IP地址。然而，一個沒有DMARC記錄的域是公平的。你可以欺騙他們幾個月，沒有人在傳送端會註意到這將由接收郵件提供商來保護他們的使用者（要麼根據內容將郵件標記為垃圾郵件，要麼根據郵件的失敗SPF檢查）

垃圾郵件傳送者如何偽造電子郵件地址

偽造電子郵件地址所需的工具非常容易獲得。您只需要一個工作的SMTP伺服器（又名，一個可以傳送電子郵件的伺服器）和正確的郵件軟體。

任何好的網路主機都會為您提供一個SMTP伺服器(您也可以在自己的系統上安裝SMTP，埠25用於傳送電子郵件的埠通常被ISP阻止。這是為了避免我們在21世紀初看到的那種大規模電子郵件惡意軟體。）對於他對我們的惡作劇，Matthew使用了PHP Mailer。它易於理解，易於安裝，甚至有一個web介面。開啟PHP Mailer，編寫訊息，輸入“發件人”和“收件人”地址，然後單擊send。在收件人端，他們會在收件箱中收到一封電子郵件，看起來像是來自您鍵入的地址。馬修解釋道：

這封郵件應該是沒有問題的，而且似乎是從任何人你說它是從。在你檢視電子郵件的原始碼之前，幾乎沒有跡象表明這不是來自他們的收件箱（Gmail中的“檢視原始”選項）[註：見上圖]

你會註意到電子郵件“soft”沒有透過SPF檢查，但它還是進入了收件箱。還需要註意的是，原始碼中包含了電子郵件的原始IP地址，因此，如果收件人願意，可以跟蹤電子郵件。

在這一點上需要註意的是，對於電子郵件主機如何處理SPF故障，還沒有一個標準。Gmail是我大部分測試的主機，它允許電子郵件進入。然而，Outlook.com並沒有傳送一封偽造的電子郵件，不管是軟郵件還是硬郵件。我的公司交換伺服器讓他們進來沒有問題，我的家庭伺服器（OSX）接受了他們，但標記為垃圾郵件。

就這些。我們略過了一些細節，但不多。這裡最大的警告是，如果您在欺騙訊息上單擊“回覆”，則返回的任何內容都將返回給地址的真正所有者，而不是欺騙者。不過，這對小偷來說並不重要，因為垃圾郵件傳送者和釣魚者只是希望你點選連結或開啟附件。

權衡很明顯：由於SPF從來沒有真正按照預期的方式流行起來，所以您不需要將裝置的IP地址新增到列表中，每次旅行都要等待24小時，或者希望從新智慧**傳送電子郵件。然而，這也意味著網路釣魚仍然是一個主要問題。最糟糕的是，這太容易了，任何人都能做到。

你能做些什麼來保護自己

這一切可能看起來很神祕，或者看起來像是對一些微不足道的垃圾郵件大驚小怪。畢竟，我們大多數人都知道垃圾郵件，當我們看到它，如果我們曾經看到它。但事實是，對於每一個標記了這些郵件的賬戶，都有另一個沒有標記的賬戶，釣魚郵件會進入使用者收件箱。

馬修向我們解釋說，他過去經常欺騙朋友的地址，只是為了惡作劇，讓他們有點害怕，比如老闆生他們的氣，或者接待員發郵件說他們的車被拖走了，但他意識到，即使是在公司網路之外，這輛車也執行得有點太好了。這些偽造的郵件是透過公司郵件伺服器傳送的，裡面有個人資料圖片、公司IM狀態、自動填充的聯絡資訊等等，這些都是郵件伺服器新增的有用資訊，所有這些都讓偽造的郵件看起來合法。當我測試這個過程的時候，我看到我自己的臉在我的收件箱裡看著我，或者惠特森的，甚至亞當·達奇斯，他甚至都沒有tl80的電子郵件地址了。

更糟糕的是，判斷郵件不是來自它看起來像的人的唯一方法是深入檢視郵件頭並知道你在找什麼（就像我們上面描述的那樣）。這對我們中那些在繁忙的工作日有時間處理這些事情的精通技術的人來說是一個相當高的要求？即使是對這封偽造郵件的快速回覆也只會引起混亂。這是一個完美的方式，造成一點混亂或目標個人，讓他們妥協自己的電腦或放棄登入資訊。但如果你看到一些甚至有點可疑的東西，你至少還有一個工具在你的武器庫。

因此，如果您希望保護您的收件箱不受此類訊息的影響，可以採取以下措施：

• 開啟你的垃圾郵件過濾器，使用像優先收件箱這樣的工具。根據郵件提供商的不同，將垃圾郵件過濾器設定得更強大一點可能會使垃圾郵件中未透過SPF檢查的郵件與收件箱中的郵件有所不同。類似地，如果你可以使用Gmail的優先收件箱或蘋果的VIP等服務，你基本上可以讓郵件伺服器為你找出重要的人。如果一個重要的人被欺騙了，你還是會得到的。
• 學習閱讀郵件頭，跟蹤IP地址。我們在這篇關於追蹤垃圾郵件來源的文章中解釋瞭如何做到這一點，這是一項很好的技能。當一封可疑的電子郵件進來時，你可以開啟郵件頭，檢視發件人的IP地址，看它是否與同一個人以前的電子郵件相匹配。你甚至可以在傳送者的IP地址上做一個反向查詢，看看它在哪裡，這可能會提供資訊，也可能不會提供資訊，但是如果你從你的朋友那裡收到一封來自俄羅斯的郵件（他們沒有旅行），你就知道出了什麼事。
• 不要點選不熟悉的連結或下載不熟悉的附件。這看起來似乎是不需要動腦筋的，但只要一個公司的員工看到老闆或公司其他人的資訊，就可以開啟一個附件，或者點選一個有趣的googledocs連結，公開整個公司網路。我們中的許多人都認為自己不會被這樣的欺騙，但這種情況經常發生。註意你收到的資訊，不要點選電子郵件中的連結（直接去你的銀行、有線電視公司或其他網站，登入找到他們想讓你看到的內容），不要下載你沒有明確期望的電子郵件附件。保持計算機的反惡意軟體處於最新狀態。
• 如果您管理自己的電子郵件，請對其進行審核，以檢視它如何響應SPF和DMARC記錄。您可以向您的web主機詢問這一點，但是使用我們上面描述的相同的欺騙方法自己檢查並不困難。或者，檢查你的垃圾郵件資料夾，你可能會看到來自你自己或你認識的人的郵件。詢問您的網路主機是否可以更改您的SMTP伺服器的配置方式，或者考慮將郵件服務切換到類似您的域的Google應用程式。
• 如果您擁有自己的域，請為其歸檔DMARC記錄。Matthew解釋說，你可以控制自己的攻擊性，但要仔細閱讀如何歸檔DMARC記錄，並向域名註冊商更新你的記錄。如果你不確定怎麼做，他們應該能幫忙。如果你在公司帳戶上收到欺騙資訊，讓你的公司知道。他們可能有理由不提交DMARC記錄（Matthew解釋說他們不能，因為他們有外部服務，需要使用公司域傳送一些容易修複的東西，但這種想法是問題的一部分），但至少你要讓他們知道。

一如既往，安全性中最薄弱的環節是終端使用者。這意味著，每次收到一封意想不到的電子郵件時，你都需要把基站感測器一直調高。教育你自己。讓你的反惡意軟體保持最新。最後，請關註這些問題，因為隨著我們繼續打擊垃圾郵件和網路釣魚，這些問題將繼續發展。

格溫妮絲·安妮·布朗溫·瓊斯攝。