技術討論區 > Network 討論版

病毒信的來源

(1/4) > >>

tonyvan123:
請教附件中的病毒信是怎麼寄給tony.van的
附件中我只把公司的前3個字母塗掉

tonyvan123:
From GarzaLouisa75@biz.rr.com  Thu May 19 04:06:17 2016
Return-Path: <GarzaLouisa75@biz.rr.com>
X-Original-To: tony.van@  vision.com.tw
Delivered-To: tony.van@  vision.com.tw
Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
    for <nuichuan@  vision.com.tw>; Thu, 19 May 2016 04:06:16 +0800 (CST)
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
To: nuichuan@  vision.com.tw
Subject: Re:
From: "Louisa Garza" <GarzaLouisa75@biz.rr.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="------------332a3a5df17acfdfdddc823deae51d0b"
Message-Id: <20160518160615.64DEF15BF6@mail.nuichuan.local>
Date: Wed, 18 May 2016 16:06:15 -0400
Status: R
X-Status: A
   簡單表頭
詳列附件
Hey nuichuan,

I hope you're doing well. I've attached the latest draft of my proposal.
I hope it proves helpful!

Regards,

Louisa Garza

twu2:
廣告信怎麼寄的, 病毒信就怎麼寄.

不過就是透過 smtp 寄信啊 (話話 internet 應該也沒有不是透過 smtp 寄的信).....

塗掉的三個字在 header 上還是有... 那一行就是你們 server 收到信的記錄 (只有這個是可信的)...
當然...你也只能知道上一層的 ip... 再之前, 就不是你管的到的.

tonyvan123:

1. Part 1: 很想知道,怎麼用假帳號 GarzaLouisa75 利用  biz.rr.com 寄出
From GarzaLouisa75@biz.rr.com  Thu May 19 04:06:17 2016
Return-Path: <GarzaLouisa75@biz.rr.com>



2. Part 2: 已證實是同時寄給 tony.van@和nuichuan@,所以收件者無疑問,但是有個前題,未在前面提,現加說明
    公司的 tony.van@ 這個帳號是加入了一個MAIL GROUP: super..... (我用super+....代替)之後才開始收到病毒信
    所以問題來了,他們怎由 super..... 這個GROUP中知道所有收件人的E-MAIL帳號
X-Original-To: tony.van@  vision.com.tw
Delivered-To: tony.van@  vision.com.tw

Received: from rrcs-70-63-251-34.midsouth.biz.rr.com (rrcs-70-63-251-34.midsouth.biz.rr.com [70.63.251.34])
    by ms7.  vision.com.tw (Postfix) with ESMTP id B63452383829
    for <nuichuan@  vision.com.tw>; Thu, 19 May 2016 04:06:16 +0800 (CST)
Received: by mail.nuichuan.local (Postfix, from userid 798)
    id 64DEF15BF6; Wed, 18 May 2016 16:06:15 -0400
To: nuichuan@  vision.com.tw
Subject: Re:
From: "Louisa Garza" <GarzaLouisa75@biz.rr.com>
MIME-Version: 1.0
Content-Type: multipart/mixed;
    boundary="------------332a3a5df17acfdfdddc823deae51d0b"



Part 3: Message-Id: 是怎麼假造出來的,Mail Server(此例為:biz.rr.com)不會檢查Message-Id嗎?
Message-Id: <20160518160615.64DEF15BF6@mail.nuichuan.local>
Date: Wed, 18 May 2016 16:06:15 -0400
Status: R
X-Status: A
   簡單表頭
詳列附件


Hey nuichuan,

I hope you're doing well. I've attached the latest draft of my proposal.
I hope it proves helpful!

Regards,

Louisa Garza
[/quote]

twu2:
信件的 header, 收到什麼就什麼, 要假造什麼資料都可以.
而且... SMTP 沒有 "檢查" 信件內容的功能.... 所以什麼都可以是假的. 要檢查請自己用另外的軟體去中介處理.

唯一可信的是你自已 server 加上的.... 你說的那幾個 postfix 加上的. postfix 本來就會把 group 轉發給每一個.
比較詳細的資訊請自己去看 log.

導覽

[0] 文章列表

[#] 下頁

前往完整版本