spam

垃圾郵件的開始

垃圾郵件的開始

幾天前客戶那里收到了從 寄來的郵件投訴他們甘肅一臺郵件服務器正

在往外發垃圾郵件。 的口號是"依靠技術保護Internet"。目前提

供兩種處理垃圾郵件的服務: 公益性服務和商業性服務。作為其提供的公益性服務, 用戶可

以向報告垃圾郵件事件, 將會幫助用戶找到相關的網絡負責人,

并以用戶名義發出spam投訴信。商業服務包括過濾等高級功能。用戶收到這封郵件后很重

視認為是一個安全事件應該記錄在案的，所以后來事情的解決又落到了我頭上。其實最近幾

乎天天都有人打電話到公司來詢問垃圾郵件的問題，說大量的垃圾郵件造成他們的網絡擁擠

很多正常用戶的郵件收發不正常，想想看也是我光是 SQL@ 這個郵箱每天就要收到

幾十封的垃圾郵件，我想國內每天的垃圾郵件數量應該有近億封了。而且垃圾郵件會造成很

多連帶的問題，簡單的說目前國內很多大的門戶網站對垃圾郵件的發送者查封的措施都是很

嚴厲的，如果發現有主機給自己的服務器發送垃圾郵件會立即屏蔽該服務器到自己訪問路

徑，簡單的說如果有人用你的服務器給SINA發送垃圾郵件，SINA發現后立刻屏蔽了你的

訪問權限那么以后使用該SMTP的合法用戶的信件凡是到SINA的也都發不出去了，還有就

是目前很多非法網站如黃色站點和法輪功等反動站點如果利用了你的SMTP大量的發送垃

圾郵件還很有可能給該主機的管理員帶了不必要的法律糾紛了，要知道國內對這個查的也是

非常嚴的。

明眼人一看就明白了，垃圾郵件的最初制造者是不會傻到自己去買一個服務器放到網

上來給自己做發信服務器用的，因為即使買了不出一個月所有的大型郵件服務商也都會把它

放到黑名單里去，他們所要做的就是在網上去找那些沒有關閉Relay的郵件服務器來做自己

的轉發站，把自己要發的郵件先轉給這些服務器而讓這些服務器去完成最后的發送到最終接

收域的工作。看起來好象網絡攻擊中的跳板一樣可以隱藏自己哦：）

但網絡中真實的狀況是怎么樣的呢，老實說我的確是有點好奇，剛好從[packet storm]

看到一個小工具可以滿足我這個好奇就弄了下來，大家可以和我一起來看看。

這個軟件叫DSNS network scanner功能一般，但惟獨有一個SMTP Relay的掃描功能讓

我很是喜歡，下面就是簡單的利用這個小工具隨便在國內的網絡范圍里找一個地址段來進行

一次小的探測看看。

首先啟動軟件界面，選擇填加一個掃描的端口，這里就是25好了，在Protocol probe

里面選擇SMTP Relay就可以。

- 1 -

垃圾郵件的開始

然后在SELECT上選擇一個ALL

在IP RANGE分欄里填好一個IP地址范圍，這里面可以隨意我這里是對202.106這段地址

做的探測，然后直接按SCAN就好了。

- 2 -

垃圾郵件的開始

掃描開始后，程序會顯示當前的進度和掃描的結構，程序界面設計的非常好，結果也是一目

了然的樣子。

很顯然這個軟件的速度還是很讓我驚訝的（恰恰表現出我的無知），對于一個B類地址不過

幾分鐘就掃描完成了，我們在結果欄

上點右鍵選擇去除所有無效的結果。

- 3 -

垃圾郵件的開始

剩下的就是程序自動發現可以支持郵件轉發的服務器了

當然我們可以把結果很好的保存起來，如果你也打算開始做一個垃圾郵件提供商的話，

這會是你一個不錯的開始（對其他人來說又是一個新的災難）。對于正在管理大型網絡的管

理員來說，這個軟件也許可以幫你們很快而且很方便的找出現在網絡中的那些主機還存在垃

圾郵件的問題。

- 4 -

垃圾郵件的開始

最后簡單的介紹下SMTP的Relay好了，如果對于復雜的網絡管理你還是一個新手的話

可以參考下下面的簡要介紹。

SMTP協議原理

SMTP-簡單郵件傳輸協議（Simple Mail Transfer Protocol），是定義郵件傳輸的協議，

它是基于TCP服務的應用層協議，由RFC0821所定義。SMPT協議規定的命令是以明文方

式進行的。 .

您的站點是否允許 email 的轉發（relay）.

您可以通過如下方法檢查是否您的站點允許轉發無關站點的信件. 從一臺您所不希望

轉發的機器上, 敲如下命令:

telnet host--to-be-tested 25

HELO this-host

mail from: nobody@

rcpt to: nobody@

如果這里出現的提示信息是失敗的話，那么你的站點就是安全的了，但如果是成功的話

就表示存在垃圾郵件的問題了，下圖就是剛才從找到的主機中執行上面命令返回成功的截

圖：

上面這臺主機存在垃圾郵件的潛在危險

這里，HELO是客戶向對方郵件服務器發出的標識自己的身份的命令，這里假設發

送者為this-host；MAIL FROM命令用來表示發送者的郵件地址；RCPT TO：標識接收者的

郵件地址，這里表示希望發送郵件給nobody@，如果郵件接收者不是本地用戶，例

如RCPT TO: nobody@，則說明希望對方郵件服務器為自己轉發(Relay)郵件，若該機

- 5 -

垃圾郵件的開始

器允許轉發這樣的郵件，則表示該郵件服務器是OPEN RELAY的，否則說明該服務器不允

許RELAY；DATA表示下面是郵件的數據部分。

這就是一個簡單的發送郵件的會話過程，其實當使用outlook express等客戶軟件發

送時，后臺進行的交互也是這樣的，當然，SMTP協議為了處理復雜的郵件發送情況如附件

等等，定義了很多的命令及規定，具體可以通過閱讀RFC821來獲得。

什么是mail Relay

郵件服務器一般具有一個或若干個域名(這些域名應該出現在某個配置文件內)，郵

件服務器在運行時將監聽25號端口，等待遠程的發送郵件的請求。網絡上其他的mail服務

器或者請求發送郵件的MUA(Mail Ur Agent,如outlook express、foxmail等等)會連接郵件

服務器的25號端口，請求發送郵件，SMTP會話過程一般是從遠程標識自己的身份開始，

過程如下：

HELO name

250

MAIL FROM：ur@

250 OK

RCPT TO: ur1@

郵件的接收者ur1@中的域名并不一定是郵件接受服務器的所具有

的本地域名，也就是說郵件目的可能不是上面協議交互中的接收方，而是郵件發送者希望接

收郵件服務器幫助其轉發郵件。這時候本地系統可能有兩種回答，接受它：

250 OK

或者拒絕接受它:

553 sorry,.that domain isnot in my domain list of allowed recphosts

第一種情況下，本地郵件服務器是允許relay的，它接收并同意傳遞一個目的地址

不是本地的郵件；而第二種情況則不接收非本地郵件。

為什么不能配置郵件服務器為open relay？

如果系統管理員將自己的郵件服務器設置為open relay，將會導致一些垃圾郵件發

送者將你的郵件服務器作為轉發自圾郵件的中繼站，這將使垃圾郵件的接收者將矛頭對準

你，可能會導致報復性的郵件炸彈；垃圾郵件還能消耗你大量的資源，占用你的帶寬。更為

糟糕的事情可能是你的名字可能會上了黑名單，成為其他郵件接收者共同抵制的目標，你的

郵件將被這些接收者所拒絕。

因此，系統管理員應當注意不要使自己的郵件服務器是open relay的。

- 6 -

垃圾郵件的開始

補充：

寫完這篇比較初級的文章后給同事看的時候，他跟我說了一個疑問就是對Relay的認識

上的誤解。他說我們平時用263或者sohu的郵件服務器給自己發送郵件的時候不也是一個

轉發過程嗎，難道這些服務器就不會有危險？

呵呵，其實這些服務器在發送郵件的時候都是經過了身份認證的過程的，在這里并沒有

用到RELAY這個調用，當然并不是說這樣的話就絕對沒有可能沒辦法用263或者SOHU發

匿名的垃圾郵件了，事實上還是完全可以的就是SMTP服務器之間的通信肯定是沒有任何

認證的，我們可以通過在本地架構一個SMTP來完成這個任務，但正如我前面提到的垃圾

的制造者是不會傻到這么去做的。

好了，下面就是我把上面提到的這些不同的過程下的真實網絡交互過程用IRIS抓包后

的記錄，有不明白的可以參考這個記錄來看。

1 用SOHU發送郵件時候沒有加SMTP認證被拒絕的過程：

220 ESMTP

HELO ekdozbv081g

250

MAIL FROM:

505 Error: Client was not authenticated

QUIT

221 Bye

2 用SOHU發信加了身份認證后，成功發送的過程：

220 ESMTP

EHLO ekdozbv081g

250-PIPELINING

250-SIZE 2097152

250-ETRN

250-AUTH LOGIN

250-AUTH=LOGIN

250 8BITMIME

AUTH LOGIN

334 VXNlcm5hbWU6

bXrgw3Ji

334 UGFzc3dvcmQ6

MTk34twgtfmFiYw==

235 Authentication successful

MAIL FROM:

250 Ok

RCPT TO:

250 Ok

DATA

354 End data with .

Message-ID: <001301c197b6$e9c61740$269d4ed2@ekdozbv081g>

- 7 -

垃圾郵件的開始

From: "SQL"

To:

Subject: sql@

Date: Tue, 8 Jan 2002 04:06:12 +0800

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_000E_64B8A0"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

This is a multi-part message in MIME format.

------=_NextPart_000_000E_64B8A0

Content-Type: text/plain;

chart="gb2312"

Content-Transfer-Encoding: ba64

c3FsQDI2My5uZXQNCg==

------=_NextPart_000_000E_64B8A0

Content-Type: text/html;

chart="gb2312"

Content-Transfer-Encoding: ba64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0a

W9uYWwv

L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY

29udGVu

dD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiI+DQo8TUVUQSBjb250ZW50PSJNU0hUT

UwgNi4w

MC4yNjAwLjAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZTEU+DQo8L0hFQUQ+D

Qo8Qk9E

WSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPjxGT05UIHNpemU9Mj48QSANCmhyZWY9Im1ha

Wx0bzpz

cWxAMjYzLm5ldCI+c3FsQDI2My5uZXQ8L0E+PC9GT05UPjwvRElWPjwvQk9EWT48L0hUT

Uw+DQo=

------=_NextPart_000_000E_64B8A0--

.

.

- 8 -

垃圾郵件的開始

250 Ok: queued as AB8246A932

QUIT

221 Bye

3 利用本地安裝的IIS的SMTP服務器來實現的服務器之間的郵件轉發過程：

220 tebie coremail2.0 system SMTP(Anti Spam+) Server ready

EHLO ekdozbv081g

250-192.168.30.102

250-PIPELINING

250-SIZE 10240000

250-ETRN

250-AUTH LOGIN

250 8BITMIME

MAIL FROM: SIZE=1525

250 Ok

RCPT TO:

250 Ok

DATA

354 End data with .

Received: from ekdozbv081g ([127.0.0.1]) by ekdozbv081g with Microsoft

SMTPSVC(5.0.2195.2966);

Tue, 8 Jan 2002 04:10:12 +0800

Message-ID: <001e01c197b7$5081d5a0$269d4ed2@ekdozbv081g>

From: "SQL"

To:

Subject: sql@

Date: Tue, 8 Jan 2002 04:08:41 +0800

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_0019_01C197FA.284BF7D0"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Return-Path: myzkrb@

X-OriginalArrivalTime: 07 Jan 2002 20:10:12.0858 (UTC)

FILETIME=[5081D5A0:01C197B7]

This is a multi-part message in MIME format.

------=_NextPart_000_0019_01C197FA.284BF7D0

Content-Type: text/plain;

chart="gb2312"

Content-Transfer-Encoding: ba64

- 9 -

垃圾郵件的開始

c3FsQDI2My5uZXQNCg==

------=_NextPart_000_0019_01C197FA.284BF7D0

Content-Type: text/html;

chart="gb2312"

Content-Transfer-Encoding: ba64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0a

W9uYWwv

L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY

29udGVu

dD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiI+DQo8TUVUQSBjb250ZW50PSJNU0hUT

UwgNi4w

MC4yNjAwLjAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZTEU+DQo8L0hFQUQ+D

Qo8Qk9E

WSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPjxGT05UIHNpemU9Mj48QSANCmhyZWY9Im1ha

Wx0bzpz

cWxAMjYzLm5ldCI+c3FsQDI2My5uZXQ8L0E+PC9GT05UPjwvRElWPjwvQk9EWT48L0hUT

Uw+DQo=

------=_NextPart_000_0019_01C197FA.284BF7D0--

.

L0hUTUw+DQo=

------=_NextPart_000_0019_01C197FA.284BF7D0--

.

250 Ok: queued as 5D3BD1D62D7CC

QUIT

221 Bye

4 在網上找到的一個支持RELAY的郵件服務器，來轉發的匿名郵件：

220 ESMTP Sendmail 8.9.3/8.9.3; Tue, 8 Jan 2002

03:57:33 +0800 (CST)

HELO ekdozbv081g

250 Hello [210.78.157.38], plead to meet you

MAIL FROM:

250 ... Sender ok

RCPT TO:

250 ... Recipient ok

DATA

354 Enter mail, end with "." on a line by itlf

- 10 -

垃圾郵件的開始

Message-ID: <002701c197b7$bade8880$269d4ed2@ekdozbv081g>

From: "SQL"

To:

Subject: sql@

Date: Tue, 8 Jan 2002 04:13:10 +0800

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_0024_01C197FA.C8923DD0"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

This is a multi-part message in MIME format.

------=_NextPart_000_0024_01C197FA.C8923DD0

Content-Type: text/plain;

chart="gb2312"

Content-Transfer-Encoding: ba64

c3FsQDI2My5uZXQNCg==

------=_NextPart_000_0024_01C197FA.C8923DD0

Content-Type: text/html;

chart="gb2312"

Content-Transfer-Encoding: ba64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0a

W9uYWwv

L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY

29udGVu

dD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiI+DQo8TUVUQSBjb250ZW50PSJNU0hUT

UwgNi4w

MC4yNjAwLjAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZTEU+DQo8L0hFQUQ+D

Qo8Qk9E

WSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPjxGT05UIHNpemU9Mj48QSANCmhyZWY9Im1ha

Wx0bzpz

cWxAMjYzLm5ldCI+c3FsQDI2My5uZXQ8L0E+PC9GT05UPjwvRElWPjwvQk9EWT48L0hUT

Uw+DQo=

------=_NextPart_000_0024_01C197FA.C8923DD0--

.

250 DAA08909 Message accepted for delivery

- 11 -

垃圾郵件的開始

QUIT

221 closing connection

- 12 -