spam

垃圾邮件的开始

垃圾邮件的开始

几天前客户那里收到了从 寄来的邮件投诉他们甘肃一台邮件服务器正

在往外发垃圾邮件。 的口号是"依靠技术保护Internet"。目前提

供两种处理垃圾邮件的服务: 公益性服务和商业性服务。作为其提供的公益性服务, 用户可

以向报告垃圾邮件事件, 将会帮助用户找到相关的网络负责人,

并以用户名义发出spam投诉信。商业服务包括过滤等高级功能。用户收到这封邮件后很重

视认为是一个安全事件应该记录在案的，所以后来事情的解决又落到了我头上。其实最近几

乎天天都有人打电话到公司来询问垃圾邮件的问题，说大量的垃圾邮件造成他们的网络拥挤

很多正常用户的邮件收发不正常，想想看也是我光是 SQL@ 这个邮箱每天就要收到

几十封的垃圾邮件，我想国内每天的垃圾邮件数量应该有近亿封了。而且垃圾邮件会造成很

多连带的问题，简单的说目前国内很多大的门户网站对垃圾邮件的发送者查封的措施都是很

严厉的，如果发现有主机给自己的服务器发送垃圾邮件会立即屏蔽该服务器到自己访问路

径，简单的说如果有人用你的服务器给SINA发送垃圾邮件，SINA发现后立刻屏蔽了你的

访问权限那么以后使用该SMTP的合法用户的信件凡是到SINA的也都发不出去了，还有就

是目前很多非法网站如黄色站点和法轮功等反动站点如果利用了你的SMTP大量的发送垃

圾邮件还很有可能给该主机的管理员带了不必要的法律纠纷了，要知道国内对这个查的也是

非常严的。

明眼人一看就明白了，垃圾邮件的最初制造者是不会傻到自己去买一个服务器放到网

上来给自己做发信服务器用的，因为即使买了不出一个月所有的大型邮件服务商也都会把它

放到黑名单里去，他们所要做的就是在网上去找那些没有关闭Relay的邮件服务器来做自己

的转发站，把自己要发的邮件先转给这些服务器而让这些服务器去完成最后的发送到最终接

收域的工作。看起来好象网络攻击中的跳板一样可以隐藏自己哦：）

但网络中真实的状况是怎么样的呢，老实说我的确是有点好奇，刚好从[packet storm]

看到一个小工具可以满足我这个好奇就弄了下来，大家可以和我一起来看看。

这个软件叫DSNS network scanner功能一般，但惟独有一个SMTP Relay的扫描功能让

我很是喜欢，下面就是简单的利用这个小工具随便在国内的网络范围里找一个地址段来进行

一次小的探测看看。

首先启动软件界面，选择填加一个扫描的端口，这里就是25好了，在Protocol probe

里面选择SMTP Relay就可以。

- 1 -

垃圾邮件的开始

然后在SELECT上选择一个ALL

在IP RANGE分栏里填好一个IP地址范围，这里面可以随意我这里是对202.106这段地址

做的探测，然后直接按SCAN就好了。

- 2 -

垃圾邮件的开始

扫描开始后，程序会显示当前的进度和扫描的结构，程序界面设计的非常好，结果也是一目

了然的样子。

很显然这个软件的速度还是很让我惊讶的（恰恰表现出我的无知），对于一个B类地址不过

几分钟就扫描完成了，我们在结果栏

上点右键选择去除所有无效的结果。

- 3 -

垃圾邮件的开始

剩下的就是程序自动发现可以支持邮件转发的服务器了

当然我们可以把结果很好的保存起来，如果你也打算开始做一个垃圾邮件提供商的话，

这会是你一个不错的开始（对其他人来说又是一个新的灾难）。对于正在管理大型网络的管

理员来说，这个软件也许可以帮你们很快而且很方便的找出现在网络中的那些主机还存在垃

圾邮件的问题。

- 4 -

垃圾邮件的开始

最后简单的介绍下SMTP的Relay好了，如果对于复杂的网络管理你还是一个新手的话

可以参考下下面的简要介绍。

SMTP协议原理

SMTP-简单邮件传输协议（Simple Mail Transfer Protocol），是定义邮件传输的协议，

它是基于TCP服务的应用层协议，由RFC0821所定义。SMPT协议规定的命令是以明文方

式进行的。 .

您的站点是否允许 email 的转发（relay）.

您可以通过如下方法检查是否您的站点允许转发无关站点的信件. 从一台您所不希望

转发的机器上, 敲如下命令:

telnet host--to-be-tested 25

HELO this-host

mail from: nobody@

rcpt to: nobody@

如果这里出现的提示信息是失败的话，那么你的站点就是安全的了，但如果是成功的话

就表示存在垃圾邮件的问题了，下图就是刚才从找到的主机中执行上面命令返回成功的截

图：

上面这台主机存在垃圾邮件的潜在危险

这里，HELO是客户向对方邮件服务器发出的标识自己的身份的命令，这里假设发

送者为this-host；MAIL FROM命令用来表示发送者的邮件地址；RCPT TO：标识接收者的

邮件地址，这里表示希望发送邮件给nobody@，如果邮件接收者不是本地用户，例

如RCPT TO: nobody@，则说明希望对方邮件服务器为自己转发(Relay)邮件，若该机

- 5 -

垃圾邮件的开始

器允许转发这样的邮件，则表示该邮件服务器是OPEN RELAY的，否则说明该服务器不允

许RELAY；DATA表示下面是邮件的数据部分。

这就是一个简单的发送邮件的会话过程，其实当使用outlook express等客户软件发

送时，后台进行的交互也是这样的，当然，SMTP协议为了处理复杂的邮件发送情况如附件

等等，定义了很多的命令及规定，具体可以通过阅读RFC821来获得。

什么是mail Relay

邮件服务器一般具有一个或若干个域名(这些域名应该出现在某个配置文件内)，邮

件服务器在运行时将监听25号端口，等待远程的发送邮件的请求。网络上其他的mail服务

器或者请求发送邮件的MUA(Mail Ur Agent,如outlook express、foxmail等等)会连接邮件

服务器的25号端口，请求发送邮件，SMTP会话过程一般是从远程标识自己的身份开始，

过程如下：

HELO name

250

MAIL FROM：ur@

250 OK

RCPT TO: ur1@

邮件的接收者ur1@中的域名并不一定是邮件接受服务器的所具有

的本地域名，也就是说邮件目的可能不是上面协议交互中的接收方，而是邮件发送者希望接

收邮件服务器帮助其转发邮件。这时候本地系统可能有两种回答，接受它：

250 OK

或者拒绝接受它:

553 sorry,.that domain isnot in my domain list of allowed recphosts

第一种情况下，本地邮件服务器是允许relay的，它接收并同意传递一个目的地址

不是本地的邮件；而第二种情况则不接收非本地邮件。

为什么不能配置邮件服务器为open relay？

如果系统管理员将自己的邮件服务器设置为open relay，将会导致一些垃圾邮件发

送者将你的邮件服务器作为转发自圾邮件的中继站，这将使垃圾邮件的接收者将矛头对准

你，可能会导致报复性的邮件炸弹；垃圾邮件还能消耗你大量的资源，占用你的带宽。更为

糟糕的事情可能是你的名字可能会上了黑名单，成为其他邮件接收者共同抵制的目标，你的

邮件将被这些接收者所拒绝。

因此，系统管理员应当注意不要使自己的邮件服务器是open relay的。

- 6 -

垃圾邮件的开始

补充：

写完这篇比较初级的文章后给同事看的时候，他跟我说了一个疑问就是对Relay的认识

上的误解。他说我们平时用263或者sohu的邮件服务器给自己发送邮件的时候不也是一个

转发过程吗，难道这些服务器就不会有危险？

呵呵，其实这些服务器在发送邮件的时候都是经过了身份认证的过程的，在这里并没有

用到RELAY这个调用，当然并不是说这样的话就绝对没有可能没办法用263或者SOHU发

匿名的垃圾邮件了，事实上还是完全可以的就是SMTP服务器之间的通信肯定是没有任何

认证的，我们可以通过在本地架构一个SMTP来完成这个任务，但正如我前面提到的垃圾

的制造者是不会傻到这么去做的。

好了，下面就是我把上面提到的这些不同的过程下的真实网络交互过程用IRIS抓包后

的记录，有不明白的可以参考这个记录来看。

1 用SOHU发送邮件时候没有加SMTP认证被拒绝的过程：

220 ESMTP

HELO ekdozbv081g

250

MAIL FROM:

505 Error: Client was not authenticated

QUIT

221 Bye

2 用SOHU发信加了身份认证后，成功发送的过程：

220 ESMTP

EHLO ekdozbv081g

250-PIPELINING

250-SIZE 2097152

250-ETRN

250-AUTH LOGIN

250-AUTH=LOGIN

250 8BITMIME

AUTH LOGIN

334 VXNlcm5hbWU6

bXrgw3Ji

334 UGFzc3dvcmQ6

MTk34twgtfmFiYw==

235 Authentication successful

MAIL FROM:

250 Ok

RCPT TO:

250 Ok

DATA

354 End data with .

Message-ID: <001301c197b6$e9c61740$269d4ed2@ekdozbv081g>

- 7 -

垃圾邮件的开始

From: "SQL"

To:

Subject: sql@

Date: Tue, 8 Jan 2002 04:06:12 +0800

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_000E_64B8A0"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

This is a multi-part message in MIME format.

------=_NextPart_000_000E_64B8A0

Content-Type: text/plain;

chart="gb2312"

Content-Transfer-Encoding: ba64

c3FsQDI2My5uZXQNCg==

------=_NextPart_000_000E_64B8A0

Content-Type: text/html;

chart="gb2312"

Content-Transfer-Encoding: ba64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0a

W9uYWwv

L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY

29udGVu

dD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiI+DQo8TUVUQSBjb250ZW50PSJNU0hUT

UwgNi4w

MC4yNjAwLjAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZTEU+DQo8L0hFQUQ+D

Qo8Qk9E

WSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPjxGT05UIHNpemU9Mj48QSANCmhyZWY9Im1ha

Wx0bzpz

cWxAMjYzLm5ldCI+c3FsQDI2My5uZXQ8L0E+PC9GT05UPjwvRElWPjwvQk9EWT48L0hUT

Uw+DQo=

------=_NextPart_000_000E_64B8A0--

.

.

- 8 -

垃圾邮件的开始

250 Ok: queued as AB8246A932

QUIT

221 Bye

3 利用本地安装的IIS的SMTP服务器来实现的服务器之间的邮件转发过程：

220 tebie coremail2.0 system SMTP(Anti Spam+) Server ready

EHLO ekdozbv081g

250-192.168.30.102

250-PIPELINING

250-SIZE 10240000

250-ETRN

250-AUTH LOGIN

250 8BITMIME

MAIL FROM: SIZE=1525

250 Ok

RCPT TO:

250 Ok

DATA

354 End data with .

Received: from ekdozbv081g ([127.0.0.1]) by ekdozbv081g with Microsoft

SMTPSVC(5.0.2195.2966);

Tue, 8 Jan 2002 04:10:12 +0800

Message-ID: <001e01c197b7$5081d5a0$269d4ed2@ekdozbv081g>

From: "SQL"

To:

Subject: sql@

Date: Tue, 8 Jan 2002 04:08:41 +0800

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_0019_01C197FA.284BF7D0"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

Return-Path: myzkrb@

X-OriginalArrivalTime: 07 Jan 2002 20:10:12.0858 (UTC)

FILETIME=[5081D5A0:01C197B7]

This is a multi-part message in MIME format.

------=_NextPart_000_0019_01C197FA.284BF7D0

Content-Type: text/plain;

chart="gb2312"

Content-Transfer-Encoding: ba64

- 9 -

垃圾邮件的开始

c3FsQDI2My5uZXQNCg==

------=_NextPart_000_0019_01C197FA.284BF7D0

Content-Type: text/html;

chart="gb2312"

Content-Transfer-Encoding: ba64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0a

W9uYWwv

L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY

29udGVu

dD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiI+DQo8TUVUQSBjb250ZW50PSJNU0hUT

UwgNi4w

MC4yNjAwLjAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZTEU+DQo8L0hFQUQ+D

Qo8Qk9E

WSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPjxGT05UIHNpemU9Mj48QSANCmhyZWY9Im1ha

Wx0bzpz

cWxAMjYzLm5ldCI+c3FsQDI2My5uZXQ8L0E+PC9GT05UPjwvRElWPjwvQk9EWT48L0hUT

Uw+DQo=

------=_NextPart_000_0019_01C197FA.284BF7D0--

.

L0hUTUw+DQo=

------=_NextPart_000_0019_01C197FA.284BF7D0--

.

250 Ok: queued as 5D3BD1D62D7CC

QUIT

221 Bye

4 在网上找到的一个支持RELAY的邮件服务器，来转发的匿名邮件：

220 ESMTP Sendmail 8.9.3/8.9.3; Tue, 8 Jan 2002

03:57:33 +0800 (CST)

HELO ekdozbv081g

250 Hello [210.78.157.38], plead to meet you

MAIL FROM:

250 ... Sender ok

RCPT TO:

250 ... Recipient ok

DATA

354 Enter mail, end with "." on a line by itlf

- 10 -

垃圾邮件的开始

Message-ID: <002701c197b7$bade8880$269d4ed2@ekdozbv081g>

From: "SQL"

To:

Subject: sql@

Date: Tue, 8 Jan 2002 04:13:10 +0800

MIME-Version: 1.0

Content-Type: multipart/alternative;

boundary="----=_NextPart_000_0024_01C197FA.C8923DD0"

X-Priority: 3

X-MSMail-Priority: Normal

X-Mailer: Microsoft Outlook Express 6.00.2600.0000

X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

This is a multi-part message in MIME format.

------=_NextPart_000_0024_01C197FA.C8923DD0

Content-Type: text/plain;

chart="gb2312"

Content-Transfer-Encoding: ba64

c3FsQDI2My5uZXQNCg==

------=_NextPart_000_0024_01C197FA.C8923DD0

Content-Type: text/html;

chart="gb2312"

Content-Transfer-Encoding: ba64

PCFET0NUWVBFIEhUTUwgUFVCTElDICItLy9XM0MvL0RURCBIVE1MIDQuMCBUcmFuc2l0a

W9uYWwv

L0VOIj4NCjxIVE1MPjxIRUFEPg0KPE1FVEEgaHR0cC1lcXVpdj1Db250ZW50LVR5cGUgY

29udGVu

dD0idGV4dC9odG1sOyBjaGFyc2V0PWdiMjMxMiI+DQo8TUVUQSBjb250ZW50PSJNU0hUT

UwgNi4w

MC4yNjAwLjAiIG5hbWU9R0VORVJBVE9SPg0KPFNUWUxFPjwvU1RZTEU+DQo8L0hFQUQ+D

Qo8Qk9E

WSBiZ0NvbG9yPSNmZmZmZmY+DQo8RElWPjxGT05UIHNpemU9Mj48QSANCmhyZWY9Im1ha

Wx0bzpz

cWxAMjYzLm5ldCI+c3FsQDI2My5uZXQ8L0E+PC9GT05UPjwvRElWPjwvQk9EWT48L0hUT

Uw+DQo=

------=_NextPart_000_0024_01C197FA.C8923DD0--

.

250 DAA08909 Message accepted for delivery

- 11 -

垃圾邮件的开始

QUIT

221 closing connection

- 12 -