bootyshinehf 最近的时间轴更新
bootyshinehf

bootyshinehf

V2EX 第 503567 号会员,加入于 2020-08-13 10:22:00 +08:00
bootyshinehf 最近回复了
测试 v1.7.4 没有反应。。。
@wan4da

感谢,我又仔细看了一遍,没有 sender 字段,可以看上面的「邮件源码」。
@winterx

感谢,已查了策略,网关上配置了 @cpibj.com.cn 域为白名单,命中就投递。

那么问题又来了:为啥黑产投递的钓鱼邮件会命中「白名单规则」,而我使用 telnet 或 Python 尝试复现时却没命中这条白名单规则。。。

提示「 556 remote ip check error.(SPF online: 发信 ip 与 Mail From 地址不一致)」。
@retanoj @follow

不对啊。。。

我用在线工具 Dig https://toolbox.googleapps.com/apps/dig/?lang=zh-CN

还有在线 nslookup http://www.jsons.cn/nslookup/

查询的结果也是不一致的。。。
@retanoj

没有做变更,我这边刚刚用 nslookup 查了一遍,显示的是 -all

换用 dig 工具,就是 ~all

这是什么操作。。。
@serafin

根据邮件头信息「 Received: from 180.103.12.117 by 10.**.**.131 with SMTP; Thu, 25 Apr 2024 10:14:31 +0800 」来看,发件地址是 180.103.12.117 ,应该是很明确的。

10.**.**.131 ,这个是我们的邮件安全网关。
@lemonda

我查了邮件网关的「拦截再投递日志」,发现没有记录,意味着这封钓鱼邮件是没有被邮件网关拦截、直接被放行了的。
@chuckzhou

我查了这封邮件的流量交互情况,是不涉及 auth 认证环节的,详见 13
@winterx

# 1 、关于伪造相同邮件头的问题:
我这边回溯我们的全流量产品,有抓到的原始流量信息,源 IP ( 180.103.12.117 )直接连的我们这边的邮件网关( 10.**.**.131:25 )。

TCP 日志还原后的部分交互内容,如下:

```
220 smtp ready
HELO cpibj.com.cn
250 spic.com.cn HELO, pleased to meet cpibj.com.cn
MAIL FROM: <[email protected]>
250 OK
RCPT TO: <chenhuan01@****.com.cn>
250 OK
DATA
354 go ahead
Date: T
```

我按照以上格式,通过 telnet 命令还有 python 脚本去发件,都是提示「 556 remote ip check error.(SPF online:发信 ip 与 Mail From 地址不一致)」,所以接下来不知道怎么办了。

# 2 、关于邮件网关中的拦截问题

目前这封邮件是没有被拦截的,是「投递成功」状态,也没有被标记为垃圾邮件。
@1423 是公司本地部署自建的邮件系统,用的是亿邮的产品,不是那种 SaaS 化的企业邮箱。
关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5891 人在线   最高记录 6679   ·     Select Language
创意工作者们的社区
World is powered by solitude
VERSION: 3.9.8.5 · 23ms · UTC 02:50 · PVG 10:50 · LAX 18:50 · JFK 21:50
Developed with CodeLauncher
♥ Do have faith in what you're doing.