V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
aaa0009
V2EX  ›  问与答

遇到伪照的发送域名及钓鱼页面如何处理

  •  
  •   aaa0009 · 2016-08-16 09:41:38 +08:00 · 2119 次点击
    这是一个创建于 3023 天前的主题,其中的信息可能已经有所发展或是发生改变。
    我们公司一般系统发送的邮件都是从 [email protected] 发送, 今天有客户收到 [email protected] 的邮件,里面有登陆页面,是伪造的,输入用户名、密码应该就被盗了,那么现在,如何处理

    1. 他们是如何从 [email protected] 发送邮件的
    2. 这个钓鱼页面如何处理,钓鱼页面任何链接都指向我们的网站。
    第 1 条附言  ·  2016-08-16 11:49:05 +08:00
    关于钓鱼页面处理,实现方法如下,大家可以参考下:

    获取 refer ,如果是 refer 是钓鱼网站,显示警告信息。
    21 条回复    2016-08-16 17:48:20 +08:00
    SourceMan
        1
    SourceMan  
       2016-08-16 09:43:08 +08:00 via iPhone
    是可以代发的,指定任意のemail 发件方
    但是目标邮箱系统应该会有明确的标识这是一份代发邮件,注意辨别
    SourceMan
        2
    SourceMan  
       2016-08-16 09:44:22 +08:00
    skydiver
        3
    skydiver  
       2016-08-16 09:51:37 +08:00 via iPad
    本来就可以以任何人名义发邮件。

    不过邮件服务商会做检查。
    dgkae
        4
    dgkae  
       2016-08-16 09:54:28 +08:00
    长知识
    yylzcom
        5
    yylzcom  
       2016-08-16 10:06:59 +08:00
    建议去看看 spf 和 dkim ,一直就想不明白国内邮箱为什么都不显示 spf 和 dkim 信息,非要自己去信头查看
    aaa0009
        6
    aaa0009  
    OP
       2016-08-16 11:12:51 +08:00   ❤️ 1
    @SourceMan
    @skydiver
    @yylzcom 这封邮件没有看到代发,是什么情况?
    jucelin
        7
    jucelin  
       2016-08-16 11:19:07 +08:00
    我一年前就提过这个问题 https://www.v2ex.com/t/211347
    而且没有解决
    Hanxv
        8
    Hanxv  
       2016-08-16 11:21:29 +08:00 via Android
    @aaa0009 你使用 php 语法,给自己发邮件,使用没有绑定域名的服务器…看看是不是显示发件人为 losthost
    然后,在 php 把域名改成 Google.com ,给自己发邮件…是不是成功收到了?
    进垃圾箱…那难以避免。
    Hanxv
        9
    Hanxv  
       2016-08-16 11:28:21 +08:00 via Android
    解决办法,设置好 spf,dkim
    虽然对于国内来说,效果有限。但还是有必要的
    aaa0009
        10
    aaa0009  
    OP
       2016-08-16 11:46:28 +08:00
    @Hanxv
    @jucelin 我们自己的发件地址 [email protected] 同时用了 mandrillapp , 和 http://submail.cn/, 都验证了 spf , dkim 。 我们发邮件是没有问题。 比较纳闷的是,别人如何做到用 [email protected] 发送,却不显示代发,是有的客户端补显示代发信息吗?
    cevincheung
        11
    cevincheung  
       2016-08-16 11:54:00 +08:00   ❤️ 1
    @aaa0009 国内只有 QQ 邮箱显示代发。印象记得 Google 都不显示的。不显示的还有网易全家的邮箱(或者是一个很不起眼的图标表示,不标注都不知道啥意思)
    yylzcom
        12
    yylzcom  
       2016-08-16 12:01:22 +08:00
    @cevincheung gmail 的显示的 [email protected] via [email protected] ,还显示 signed by 和 mailed by
    yylzcom
        13
    yylzcom  
       2016-08-16 12:03:22 +08:00
    @aaa0009 别人发的肯定不会带你们域名的 spf 和 dkim 信息吧。伪造发件人是不显示代发的…… 是直接伪造发件人
    Hanxv
        14
    Hanxv  
       2016-08-16 14:57:55 +08:00 via Android
    @aaa0009 伪造发送这个是不能避免的。
    验证 spf,dkim 是收件人的邮箱服务商去验证的。
    如果收件方的服务商不验证 spf,dkim 等……你做了记录也没用。

    解决方法就是告诉你的客户,不要使用自建邮箱。还有…你们没有保护好客户的邮箱…
    Hanxv
        15
    Hanxv  
       2016-08-16 15:01:14 +08:00 via Android
    @aaa0009 国内的邮箱, QQ,网易应该都可以。
    不过 zoho 的验证是最严格的。
    可以让你的客户使用这些邮箱。

    这些邮箱会验证 spf 等记录,如果发现和记录不符,垃圾箱是必进的。有的邮箱服务商还会拒收…
    aaa0009
        16
    aaa0009  
    OP
       2016-08-16 15:44:58 +08:00
    @Hanxv 还有…你们没有保护好客户的邮箱… 嗯,这个是有点,不过最近加了限制,一个 IP 每天只能查看 10 几个了。
    aaa0009
        17
    aaa0009  
    OP
       2016-08-16 16:21:05 +08:00
    @Hanxv 客户的邮箱域名是 greatwall.com.cn ,差了 mx 记录是 interscan.greatwall.com.cn , 估计是自己配的,没有做 spf , dkim 验证等。
    TimePPT
        18
    TimePPT  
       2016-08-16 16:26:33 +08:00
    没看明白,获取 refer 怎么防钓鱼站
    aaa0009
        19
    aaa0009  
    OP
       2016-08-16 16:42:45 +08:00
    @TimePPT 我们遇到的那个钓鱼页面,上面所有的链接都指向正常的页面(包括登陆 button ),所以就在正常的页面上做了判断,如果来自钓鱼域名的,就提示警告信息。
    TimePPT
        20
    TimePPT  
       2016-08-16 17:42:03 +08:00
    @aaa0009 哦哦,这个意思,了解了
    Hanxv
        21
    Hanxv  
       2016-08-16 17:48:20 +08:00 via Android
    @aaa0009 公司招聘一个安全工程师,这些问题就都可以得到解决。
    不合格的…当我没说,不把公司弄出大乱子就不错了
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1290 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 331ms · UTC 17:59 · PVG 01:59 · LAX 09:59 · JFK 12:59
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.