自訂搜尋

Thursday, December 24, 2009

來自127.0.0.1的垃圾信,可能是透過open proxy寄出的

有人在網路論壇提問,指出他的郵件伺服器一經啓動,就開始寄送垃圾郵件。看過他提供的垃圾郵件headers,最上面的Received header(也就是最後由提問者的伺服器加上的Received header)引起我的注意;那行header大概是這樣:
Received: from localhost ([127.0.0.1]
        helo=btinternet.com) by ***.*****.net
        with smtp (Exim 4.69)
        (envelope-from <***@***.net>)
        id 1NMtRj-0004ET-Mb
        for ***@****.com; Mon, 21 Dec 2009
        19:21:55 -0600
看到localhost,以及連線IP是127.0.0.1(loopback address,必須在同一台主機上,才能透過此IP連線),我馬上想到該伺服器是否已經被入侵,然後入侵者再連到loopback address的SMTP port來寄送垃圾信?我請該發問者檢查系統是否有異常的登入狀況;若有,那就證實了我的推論。

但是事實卻並非如我所料想的。提問者説,該伺服器曾經開放過HTTP代理服務(open proxy),但後來事情一忙,忘了關閉此服務,於是遭人濫用;所以這封垃圾郵件的寄送過程大致如下:
abuser -> open http proxy -> smtp server -> spam

以前看到Received header有127.0.0.1的IP,我都認爲大概是寄送者僞造的,以藉此誤導分析垃圾郵件的人;但經過這次的經驗,我知道由127.0.0.1送來的信,可能是透過同一主機上的open proxy所寄出的。
Share/Bookmark

No comments: