相信大家和我一樣，在日常生活中收垃圾郵件也算是一份固定的工作了吧？收到垃圾信件后，如何追蹤垃圾郵件發(fā)送者呢？很多朋友會毫不猶豫的說，當然是查出寄信人的IP了。其實，在對付垃圾郵件方面，主要有兩種形式：防御與追蹤。防御主要是強調對垃圾郵件的過濾或者是阻止垃圾郵件的產生，而追蹤則強調主動地追查垃圾郵件來源，并對其進行警告或者采取其它措施。本文將主要介紹對郵件的追蹤方面的技術，通過針對郵件頭進行分析，并查詢到最接近源頭的地址，以揭開垃圾郵件發(fā)送者的“廬山真面目”。

郵件頭及傳輸過程

首先，我們通過一次反垃圾郵件的測試來看看什么是郵件頭。因為大多數(shù)情況下，服務器都會把寄信人的相關信息附在郵件的文件頭。比如，利用Tom.com的免費郵箱，給spamemail@china.com.cn發(fā)一個郵件，然后進入http://mail.china.com.cn/郵箱，收到后打開看看（如圖1所示）：

圖1

點擊信箱上面的“郵件頭信息”，可看到這樣的信息：

Return-Path: 
Delivered-To: spamemail@china.com.cn
Received: from 210.72.21.22 (HELO eqmanager2.china.org.cn)
(envelope-from pwbpub@tom.com)
by mx.china.com.cn (quarkmail-1.2.1) with SMTP id S918541AbULBMFs
for spamemail@china.com.cn; Thu, 2 Dec 2004 20:05:48 +0800
X-scanvirus: By Sophos Scan Engine
X-scanresult: CLEAN
X-Received:unknown,202.108.255.195,20041202195628
Received: from unknown (HELO tom.com) (202.108.255.195)
by localhost with SMTP; 2 Dec 2004 11:56:28 -0000
MIME-Version: 1.0
Message-ID: <41AF02AE.000113.05427@bjapp25>
Date: Thu, 2 Dec 2004 19:55:26 +0800 (CST)
From: "=?gb2312?B?cHdicHVi?=" 
To: spamemail@china.com.cn
Subject: =?gb2312?B?wKy7+NPKvP6y4srU?=
X-Priority: 3
X-Originating-IP: [211.99.190.5]
X-Mailer: 163net
Content-Type: Multipart/Alternative;
boundary="Boundary-=_yvxueODEqwFokhipGevKzuojgYQF"

對方是從不同的郵件服務器上發(fā)來的，中間自然有轉信過程，每轉一次都會在文件頭頂部加信息。下表列出了一部分表頭的相關含義，對我們分析垃圾郵件具有事半功倍的效果。

From: 郵件從哪里發(fā)送的。很容易被偽造，在分析中，非常不可信任。

From 不同于From:域，這行并不通常是郵件頭的一部分，但是郵件轉發(fā)程序經常插入這一行，表明郵件什么時候被接收的。這一行總是郵件頭的第一行，也可以被偽造，但并不一定。

Reply-To: 回復時發(fā)送的地址。很容易被偽造，但常常提供線索，比如有些垃圾郵件經常用該域指向一個合法的郵件地址，以便spammer能夠接收到回復的郵件。

Return-Path: 與Reply-To:相同

Sender: 消息發(fā)送者。這通常都是偽造的

Message-ID: 郵件系統(tǒng)在創(chuàng)建郵件時的唯一標記。也是最容易被偽造的地方。正常情況下，“Message-ID:”能確定發(fā)送者所登錄的系統(tǒng)，而不僅僅是創(chuàng)建郵件的系統(tǒng)。Message-ID 的結構同郵件服務器程序有直接關系，不同的郵件服務器產生的ID 也不一樣，有時，相同郵件服務器的不同處理也會產生不一樣的ID。多數(shù)郵件服務器會包含日期、時間、DNS等，有的甚至包含郵件用戶信息。如0040409085748.91B1.SAN@test.com，就是由日期、時間、標識、郵件用戶和DNS構成。

In-Reply-To: 在回復的時候可能存在，通常指向原郵件的Messgae-ID。

Received: 最可信賴的頭。一般會有幾條，形成站點列表，這些信息表明達到目的地過程中郵件所經過的服務器，該域都是郵件服務器自動插入的，spammer可以偽造，但是在被偽造的那個點之后的是無法偽造的。這個列表從下往上表明了服務器路徑，最上面的一條Received:是最終目的的系統(tǒng)或郵件服務器。

通常的郵件傳遞主要步驟由下面過程完成：

Sender→MUA→MTA→(routing) →MTA →MDA →{filtering}→ MUA→receiver

腳本小子：MUA（Mail User Agent）表示郵件客戶端程序，比如Foxmail、Outlook、Mutt等；MTA（Mail Transport Agent or Message Transfer Agent）表示消息傳輸代理，這部分程序負責存儲和轉發(fā)、發(fā)送E-mail，它從MUA或者其他的MTA 接收到郵件后，就存在于本地，并分析收件人或者轉發(fā)到其他的MTA，在處理過程中，它通常會編輯、添加郵件頭內容，比如Sendmail、Exchange等；MDA（Mail Delivery Agent）表示郵件發(fā)送代理，這個程序負責將郵件發(fā)送給用戶，通常處理某種特定發(fā)送操作。

了解了這些環(huán)節(jié)，我們就可以順藤摸瓜，探測垃圾發(fā)送者的老巢了。
垃圾郵件追蹤實例

SMTP協(xié)議對我們來說，應該是再熟悉不過的了，但是，這個協(xié)議在創(chuàng)建的時候并沒有考慮到未來的郵件會成為垃圾，因此安全性很差，郵件頭可以任意創(chuàng)建、偽造和修改，而郵件服務器一般不檢查發(fā)送者的內容，而只關心接收者。這就給了垃圾郵件發(fā)送者可乘之機，比如，通過Outlook就可以偽造郵件頭。為了對付ISP監(jiān)控垃圾郵件，這些垃圾郵件發(fā)送者通常用一些郵件程序將郵件轉發(fā)到其他的郵件服務器，并且修改和偽造郵件頭，避免被追蹤。所以，我們現(xiàn)在的關鍵任務是識別偽造內容并獲得真實信息，根據(jù)真實信息進行查詢。

1．郵件頭追蹤

一般來說，郵件內容、Reply-to、最終郵件服務器的Received的內容都有助于我們追蹤垃圾郵件的來源。對于“Received：”域來說，我們可以從時區(qū)出錯、時間誤差、IP地址錯誤這幾個方面來追查。試想，一個郵件經過了幾天甚至更長時間來傳遞，正常嗎？下面就是一個修改了郵件地址和IP地址的郵件頭：

Return-Path: 
Delivered-To: pwbpub@test.com
Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) 
by test.com (Postfix) with ESMTP id 590F2160A9 for; 
Thu, 8 Aug 2004 16:48:46 +0800 (CST)
Received: from mail.test.com.cn 
([127.0.0.1])by localhost (mail[127.0.0.1])
(amavisd-new, port 10024) with ESMTP id 30543-01 for; 
Thu, 8 Aug 2004 16:47:14 +0800 (CST)
Received: from risker.debian.org 
(unknown [218.18.xxx.xxx]) bymail.test.com.cn 
(Postfix) with ESMTP id 32E0817DC17 for; 
Thu, 8 Aug 2004 16:47:06 +0800 (CST)
Date: Wed, 5 May 2004 14:36:13 +0800
From: wlj 
To: pwbpub@test.com
Subject:
Message-Id: <20040505143613.25dd214b.spamemail@test.com.cn>
Mime-Version: 1.0
Content-Type: multipart/mixed;
X-Virus-Scanned: by amavisd-new at test.com.cn

上面的郵件頭，明顯經過了篡改，包括在MUA 發(fā)送郵件時添加的頭內容和經過MTA過程中添加的內容。現(xiàn)在，關鍵的任務就是要檢查“Received:”的傳遞過程了。

第一步：找到如下內容：

Received: from risker.debian.org (unknown [218.18.xxx.xxx]) by mail.test.com.cn (Postfix) with ESMTP id 32E0817DC17 for ; Thu, 8 Aug 2004 16:47:06 +0800 (CST)

仔細分析，我們可以看到，這是第一個MTA 從MUA 接收郵件時插入的頭內容。MUA 的機器名是Risker.debian.org（這不是MUA 的DNS，而只是機器名），(unknown[218.18.xxx.xxx])表示該機器的IP地址，但是查詢的DNS是unknown的。該郵件被mai.test.com.cn接收，郵件服務器采用Postfix，而且采用的是ESMTP（擴展的SMTP），分配的ESMTP id是32E0817DC17，傳遞目標是pwbpub@test.com，接收時間為Thu，6 May 2004 16:47:06，時區(qū)是+0800 (CST)。

第二步：查找第二個Received:內容。具體如下：

Received: from mail.test.com.cn ([127.0.0.1]) by localhost (mail[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 30543-01 for ; Thu, 8 Aug 2004 16:47:14 +0800 (CST)

這是郵件服務器內部程序進行的一個處理過程，因此IP 地址為127.0.0.1，并且是Localhost處理，(amavisd-new, port 10024)表明這個處理程序是使用的Amavisd-new，amavisd-new是一個用于郵件服務器的殺毒、過濾等的接口。

第三步：查找第三個Received:內容。具體如下：

Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) by test.com (Postfix) with ESMTP id 590F2160A9 for ; Thu, 8 Aug 2004 16:48:46 +0800 (CST)

該過程表示郵件從服務器名為Mail.test.com.cn 傳遞出去，IP 地址為211.167.xxx.xxx，接收郵件的服務器是Test.com，采用Postfix服務程序，也通常使用的ESMTP，傳遞的目標是pwbpub@test.com，日期為Thu，8 Aug 2004 16:48:46，時區(qū)是+0800(CST)。

從這個例子可以看出，郵件的傳遞過程是：

risker.debian.org（MUA）→mail.test.com.cn（MTA）→localhost（MTA中的amavisd-new）→test.com（MTA）

整個過程經歷了將近兩分鐘，不過，在追蹤垃圾郵件過程中，這個傳遞過程中的Received:存在被篡改的可能，也就是說，發(fā)送者可能使用了“障眼法”，因此，要煉就一雙火眼金睛，判斷哪些信息是偽造的，哪些是真實的。對于Received:來說，最后的站點是接收者自己的郵件服務器，因此最后的Received是真實可靠的，除非自己的服務器已經不安全了。

2．垃圾廣告郵件追蹤

現(xiàn)在，垃圾廣告郵件尤其猖獗。對于這類郵件來說，內容中有聯(lián)系人、聯(lián)系電話、聯(lián)系Email、郵編等，追查就很直接。一個典型的此類郵件頭內容如下：

Return-Path: 
Delivered-To: pwbpub@test.com
Received: from spamemail.com (unknown [221.232.11.40])
by test.com (Postfix) with ESMTP id 399521C124
for ; Mon, 24 May 2004 11:07:41 +0800 (CST)
From: "bbcss" 
Subject: =?GB2312?B?0KGxvrS0tPPStcrmtvmxptXQycw=?=
To: pwbpub@test.com
Content-Type: multipart/mixed;
boundary="=_NextPart_2rfkindysadvnqw3nerasdf";charset="GB2312"
MIME-Version: 1.0
Reply-To: reply@yahoo.com.cn
Date: Mon, 24 May 2004 11:07:45 +0800
X-Priority: 3
Message-Id: <20040524030745.399521C124@test.com>

現(xiàn)在來對該郵件進行簡單的分析。首先找到這一段：

Received: from spamemail.com (unknown [221.232.11.40])by test.com (Postfix) with ESMTP id 399521C124 for ; Mon, 24 May 2004 11:07:41 +0800 (CST)

本例中，測試用的郵件服務器Test.com是可信的，因此這一條Received信息也是可靠的，但其中的一些內容可能并不是真實可靠的。郵件來自一個機器名為spamemail.com的，IP 地址為221.232.11.40，郵件接收時間是Mon, 24 May 2004 11:07:41 +0800 (CST)。簡單檢查Spamemail.com，可以得出IP地址為Spamemail.com [203.207.*.*]，很容易可以知道這個spamemail.com只是一個名字而已。該郵件的發(fā)送者是From: "bbcss" ，而回復地址是：Reply-To:reply@yahoo.com.cn。實際上，我們就可以推測：fault@spamemail.com就是偽造的了，但是回復地址卻可能是真實的；另外，他們肯定使用了一些垃圾郵件發(fā)送工具，能夠偽造發(fā)送者地址、機器名，并且可以直接傳遞郵件。
3．追捕

經過上述分析測試，我們就可以得到一些有用的數(shù)據(jù)了。通過對郵件的分析，我們一般能夠找到可能接近源頭的某個郵件地址或者一個IP地址（這個IP地址可能是一個受害者），用這些信息來追查，依然存在很多難度，畢竟有些事情不是某個人可以完成的，但是卻在某些特殊應用方面能夠提供不小的幫助。現(xiàn)在，假如我們看到的信來自163.net服務器（bjmx4.163.net），再追下去是從263.net服務器發(fā)來的（smtp.x263.net），再下去是來自IVAN (unknown [218.70.*.*])，是誰呢？毫無疑問應該是寄信人了，他的IP就是218.70.*.*，用一個查地理地址最好用的軟件“追捕”查查看（如圖2所示）：

圖2

那就是來自重慶。通過很多優(yōu)秀的工具，我們就可以來揭開對手的廬山真面目了。如果對方在聊天室或論壇上，我們怎樣查到他的IP呢？其實也簡單，下載一個孤獨劍客的作品Iphunter，軟件下載地址為http://www4.skycn.com/soft/1122.html，運行它后，就會把連接到你電腦的IP捕獲下來，而讓對方來連接你的電腦，當然要讓他不知不覺的來連接，而最好的方法就是在聊天室或論壇上放一幅圖片，圖片的網址必須是你的IP，如 [img] /pic/8/2005-11-15-1615l.jpg [/img]，只要對方看到這個（要吸引他的眼球），他的電腦就會自動來打開這個圖，當然就會找到你的電腦上來，呵呵，正好中計，Iphunter就可以把他的IP捕獲了！剩下的，就是要考慮一下怎么教訓他了!