当我们看到垃圾邮件时，我们大多数人都知道它，但是在收件箱里看到一封来自朋友或更糟的是我们自己的奇怪电子邮件是相当令人不安的。如果你看到一封看起来像是朋友发来的邮件，并不意味着他们被黑客攻击了。垃圾邮件发送者总是欺骗这些地址，这并不难做到。下面是他们是怎么做的，你是怎么保护自己的。

垃圾邮件发送者已经欺骗电子邮件地址很长一段时间了。几年前，他们曾经从感染恶意软件的电脑上获取联系人名单。如今的数据窃贼仔细选择目标，并用看起来像是来自朋友、可靠来源，甚至是自己账户的消息对其进行钓鱼。

事实证明，欺骗真实的电子邮件地址是出人意料的容易，这也是为什么网络钓鱼是这样一个问题的一部分。系统工程师、志向远大的CISSP和tl80读者Matthew向我们介绍了它的工作原理，但也让我们大吃一惊的是，他们从其他tl80作者的电子邮件地址给我们中的一些人发了电子邮件。尽管事实上，我们知道这是有可能的，我们都得到了垃圾邮件之前，它是更令人不安的，实际上是被它欺骗。所以，我们跟他谈了他是怎么做到的，以及人们能做些什么来保护自己。

注：下面是一个相当技术性的写作，是为更精通计算机的人设计的。如果你想要一个更基本的关于避免垃圾邮件和诈骗的概述，我们也有一个。

一点历史：为什么电子邮件地址如此容易被欺骗

今天，大多数电子邮件提供商已经解决了垃圾邮件问题，至少他们自己满意。Gmail和Outlook拥有强大、复杂的垃圾邮件捕获算法和强大的过滤工具。不过，早在21世纪初，情况并非如此。垃圾邮件仍然是邮件服务器尚未认真解决的一个巨大问题，更不用说开发先进的管理工具了。

2003年，Meng Weng Wong提出了一种邮件服务器“验证”发送邮件的IP地址（互联网上标识计算机的唯一号码）是否被授权代表特定域发送邮件的方法。它被称为发送者许可表单（2004年更名为“发送者策略框架”），Matthew解释了它的工作原理：

每次发送电子邮件时，接收电子邮件的服务器都会将邮件的源IP与电子邮件地址主机的SPF记录中列出的IP地址进行比较（“example.com”部分）

如果两个IP地址匹配，那么电子邮件就可以传递给预期的收件人。如果IP地址不匹配，则该电子邮件将被标记为垃圾邮件或完全拒绝。决定结果的责任完全掌握在接收服务器的手中。

多年来，SPF记录不断发展（最新的RFC发布于2014年4月），互联网上的大多数域都有SPF记录（你可以在这里搜索它们）。

然而，这种方法并不完美，这也是它没有完全流行的部分原因。SPF记录需要管理人员实际添加新的IP地址并删除旧的IP地址，每次更改时记录都需要时间在internet上传播(更新：我们以前将SPF检查绑定到用户IP地址，而mailhosts实际使用该技术来验证邮件通过的服务器是否是代表给定域的授权发件人，而不是所使用的设备是否被授权代表给定地址发送。很抱歉给你带来困惑，感谢那些指出这一点的评论人士！）不管怎样，大多数公司都使用SPF的软版本。它们不是通过阻止有用的邮件来冒误报的风险，而是实现“硬”和“软”失败。电子邮件主机也放宽了对未通过检查的邮件的限制。因此，电子邮件对公司来说更容易管理，但网络钓鱼很容易，而且是个大问题。

然后，在2012年，一种新的记录类型被引入，旨在与SPF一起工作。它被称为DMARC，或基于域的消息验证、报告和一致性。一年之后，它被扩展以保护大量的消费者邮箱（尽管自称为60%的人可能是乐观的）

DMARC归结为两个重要的标志（尽管总共有10个）-“p”标志，它指示接收服务器如何处理潜在的虚假电子邮件，或者通过拒绝、隔离或传递；以及“rua”标志，它告诉接收服务器在哪里可以发送失败消息的报告（通常是域管理员安全组的电子邮件地址）。DMARC记录解决了SPF记录的大部分问题，它把决定如何响应的责任从接收者身上移开。

问题是，还不是每个人都使用DMARC。

这个方便的工具可以让你查询任何域名的DMARC记录——在一些你喜欢的网站（gawker.com，whitehouse.gov，redcross.org，reddit.com）上试试。注意到什么了吗？他们的目标已经公布了DMARC记录。这意味着，任何试图遵守DMARC规则的电子邮件主机都不会有任何关于如何处理SPF失败的电子邮件的指示，可能会让它们通过。这就是谷歌利用Gmail（和谷歌应用程序）所做的，这就是为什么虚假电子邮件可以进入你的收件箱。

为了证明谷歌确实注意到了DMARC记录，看看facebook.com上的DMARC记录——“p”标志表明收件人应该拒绝电子邮件，并向facebook的邮局主管发送一份报告。现在试着伪造一封来自facebook.com的电子邮件，并将其发送到一个它不会通过的Gmail地址。现在看看fb.com的DMARC记录——它表明不应该拒绝任何电子邮件，但无论如何都应该做出报告。如果你测试一下，来自@fb.com的邮件就会通过。

马修还指出，“邮政局长报告”不是玩笑。当他试图用DMARC记录欺骗一个域时，他的SMTP服务器在不到24小时内就被封锁了。在我们的测试中，我们注意到了同样的情况。如果一个域设置正确，他们将很快结束这些欺骗消息，或者至少直到欺骗者使用不同的IP地址。然而，一个没有DMARC记录的域是公平的。你可以欺骗他们几个月，没有人在发送端会注意到这将由接收邮件提供商来保护他们的用户（要么根据内容将邮件标记为垃圾邮件，要么根据邮件的失败SPF检查）

垃圾邮件发送者如何伪造电子邮件地址

伪造电子邮件地址所需的工具非常容易获得。您只需要一个工作的SMTP服务器（又名，一个可以发送电子邮件的服务器）和正确的邮件软件。

任何好的网络主机都会为您提供一个SMTP服务器(您也可以在自己的系统上安装SMTP，端口25用于发送电子邮件的端口通常被ISP阻止。这是为了避免我们在21世纪初看到的那种大规模电子邮件恶意软件。）对于他对我们的恶作剧，Matthew使用了PHP Mailer。它易于理解，易于安装，甚至有一个web界面。打开PHP Mailer，编写消息，输入“发件人”和“收件人”地址，然后单击send。在收件人端，他们会在收件箱中收到一封电子邮件，看起来像是来自您键入的地址。马修解释道：

这封邮件应该是没有问题的，而且似乎是从任何人你说它是从。在你查看电子邮件的源代码之前，几乎没有迹象表明这不是来自他们的收件箱（Gmail中的“查看原始”选项）[注：见上图]

你会注意到电子邮件“soft”没有通过SPF检查，但它还是进入了收件箱。还需要注意的是，源代码中包含了电子邮件的原始IP地址，因此，如果收件人愿意，可以跟踪电子邮件。

在这一点上需要注意的是，对于电子邮件主机如何处理SPF故障，还没有一个标准。Gmail是我大部分测试的主机，它允许电子邮件进入。然而，Outlook.com并没有发送一封伪造的电子邮件，不管是软邮件还是硬邮件。我的公司交换服务器让他们进来没有问题，我的家庭服务器（OSX）接受了他们，但标记为垃圾邮件。

就这些。我们略过了一些细节，但不多。这里最大的警告是，如果您在欺骗消息上单击“回复”，则返回的任何内容都将返回给地址的真正所有者，而不是欺骗者。不过，这对小偷来说并不重要，因为垃圾邮件发送者和钓鱼者只是希望你点击链接或打开附件。

权衡很明显：由于SPF从来没有真正按照预期的方式流行起来，所以您不需要将设备的IP地址添加到列表中，每次旅行都要等待24小时，或者希望从新智能**发送电子邮件。然而，这也意味着网络钓鱼仍然是一个主要问题。最糟糕的是，这太容易了，任何人都能做到。

你能做些什么来保护自己

这一切可能看起来很神秘，或者看起来像是对一些微不足道的垃圾邮件大惊小怪。毕竟，我们大多数人都知道垃圾邮件，当我们看到它，如果我们曾经看到它。但事实是，对于每一个标记了这些邮件的账户，都有另一个没有标记的账户，钓鱼邮件会进入用户收件箱。

马修向我们解释说，他过去经常欺骗朋友的地址，只是为了恶作剧，让他们有点害怕，比如老板生他们的气，或者接待员发邮件说他们的车被拖走了，但他意识到，即使是在公司网络之外，这辆车也运行得有点太好了。这些伪造的邮件是通过公司邮件服务器发送的，里面有个人资料图片、公司IM状态、自动填充的联系信息等等，这些都是邮件服务器添加的有用信息，所有这些都让伪造的邮件看起来合法。当我测试这个过程的时候，我看到我自己的脸在我的收件箱里看着我，或者惠特森的，甚至亚当·达奇斯，他甚至都没有tl80的电子邮件地址了。

更糟糕的是，判断邮件不是来自它看起来像的人的唯一方法是深入查看邮件头并知道你在找什么（就像我们上面描述的那样）。这对我们中那些在繁忙的工作日有时间处理这些事情的精通技术的人来说是一个相当高的要求？即使是对这封伪造邮件的快速回复也只会引起混乱。这是一个完美的方式，造成一点混乱或目标个人，让他们妥协自己的电脑或放弃登录信息。但如果你看到一些甚至有点可疑的东西，你至少还有一个工具在你的武器库。

因此，如果您希望保护您的收件箱不受此类消息的影响，可以采取以下措施：

• 打开你的垃圾邮件过滤器，使用像优先收件箱这样的工具。根据邮件提供商的不同，将垃圾邮件过滤器设置得更强大一点可能会使垃圾邮件中未通过SPF检查的邮件与收件箱中的邮件有所不同。类似地，如果你可以使用Gmail的优先收件箱或苹果的VIP等服务，你基本上可以让邮件服务器为你找出重要的人。如果一个重要的人被欺骗了，你还是会得到的。
• 学习阅读邮件头，跟踪IP地址。我们在这篇关于追踪垃圾邮件来源的文章中解释了如何做到这一点，这是一项很好的技能。当一封可疑的电子邮件进来时，你可以打开邮件头，查看发件人的IP地址，看它是否与同一个人以前的电子邮件相匹配。你甚至可以在发送者的IP地址上做一个反向查找，看看它在哪里，这可能会提供信息，也可能不会提供信息，但是如果你从你的朋友那里收到一封来自俄罗斯的邮件（他们没有旅行），你就知道出了什么事。
• 不要点击不熟悉的链接或下载不熟悉的附件。这看起来似乎是不需要动脑筋的，但只要一个公司的员工看到老板或公司其他人的信息，就可以打开一个附件，或者点击一个有趣的googledocs链接，公开整个公司网络。我们中的许多人都认为自己不会被这样的欺骗，但这种情况经常发生。注意你收到的信息，不要点击电子邮件中的链接（直接去你的银行、有线电视公司或其他网站，登录找到他们想让你看到的内容），不要下载你没有明确期望的电子邮件附件。保持计算机的反恶意软件处于最新状态。
• 如果您管理自己的电子邮件，请对其进行审核，以查看它如何响应SPF和DMARC记录。您可以向您的web主机询问这一点，但是使用我们上面描述的相同的欺骗方法自己检查并不困难。或者，检查你的垃圾邮件文件夹，你可能会看到来自你自己或你认识的人的邮件。询问您的网络主机是否可以更改您的SMTP服务器的配置方式，或者考虑将邮件服务切换到类似您的域的Google应用程序。
• 如果您拥有自己的域，请为其归档DMARC记录。Matthew解释说，你可以控制自己的攻击性，但要仔细阅读如何归档DMARC记录，并向域名注册商更新你的记录。如果你不确定怎么做，他们应该能帮忙。如果你在公司帐户上收到欺骗信息，让你的公司知道。他们可能有理由不提交DMARC记录（Matthew解释说他们不能，因为他们有外部服务，需要使用公司域发送一些容易修复的东西，但这种想法是问题的一部分），但至少你要让他们知道。

一如既往，安全性中最薄弱的环节是最终用户。这意味着，每次收到一封意想不到的电子邮件时，你都需要把基站传感器一直调高。教育你自己。让你的反恶意软件保持最新。最后，请关注这些问题，因为随着我们继续打击垃圾邮件和网络钓鱼，这些问题将继续发展。

格温妮丝·安妮·布朗温·琼斯摄。