相信大家和我一樣，在日常生活中收垃圾郵件也算是一份固定的工作了吧？收到垃圾信件后，如何追蹤垃圾郵件發送者呢？很多朋友會毫不猶豫的說，當然是查出寄信人的IP了。其實，在對付垃圾郵件方面，主要有兩種形式：防御與追蹤。防御主要是強調對垃圾郵件的過濾或者是阻止垃圾郵件的產生，而追蹤則強調主動地追查垃圾郵件來源，并對其進行警告或者采取其它措施。本文將主要介紹對郵件的追蹤方面的技術，通過針對郵件頭進行分析，并查詢到最接近源頭的地址，以揭開垃圾郵件發送者的“廬山真面目”。

郵件頭及傳輸過程

首先，我們通過一次反垃圾郵件的測試來看看什么是郵件頭。因為大多數情況下，服務器都會把寄信人的相關信息附在郵件的文件頭。比如，利用Tom.com的免費郵箱，給spamemail@china.com.cn發一個郵件，然后進入http://mail.china.com.cn/郵箱，收到后打開看看（如圖1所示）：

圖1

點擊信箱上面的“郵件頭信息”，可看到這樣的信息：

Return-Path: 
Delivered-To: spamemail@china.com.cn
Received: from 210.72.21.22 (HELO eqmanager2.china.org.cn)
(envelope-from pwbpub@tom.com)
by mx.china.com.cn (quarkmail-1.2.1) with SMTP id S918541AbULBMFs
for spamemail@china.com.cn; Thu, 2 Dec 2004 20:05:48 +0800
X-scanvirus: By Sophos Scan Engine
X-scanresult: CLEAN
X-Received:unknown,202.108.255.195,20041202195628
Received: from unknown (HELO tom.com) (202.108.255.195)
by localhost with SMTP; 2 Dec 2004 11:56:28 -0000
MIME-Version: 1.0
Message-ID: <41AF02AE.000113.05427@bjapp25>
Date: Thu, 2 Dec 2004 19:55:26 +0800 (CST)
From: "=?gb2312?B?cHdicHVi?=" 
To: spamemail@china.com.cn
Subject: =?gb2312?B?wKy7+NPKvP6y4srU?=
X-Priority: 3
X-Originating-IP: [211.99.190.5]
X-Mailer: 163net
Content-Type: Multipart/Alternative;
boundary="Boundary-=_yvxueODEqwFokhipGevKzuojgYQF"

對方是從不同的郵件服務器上發來的，中間自然有轉信過程，每轉一次都會在文件頭頂部加信息。下表列出了一部分表頭的相關含義，對我們分析垃圾郵件具有事半功倍的效果。

From: 郵件從哪里發送的。很容易被偽造，在分析中，非常不可信任。

From 不同于From:域，這行并不通常是郵件頭的一部分，但是郵件轉發程序經常插入這一行，表明郵件什么時候被接收的。這一行總是郵件頭的第一行，也可以被偽造，但并不一定。

Reply-To: 回復時發送的地址。很容易被偽造，但常常提供線索，比如有些垃圾郵件經常用該域指向一個合法的郵件地址，以便spammer能夠接收到回復的郵件。

Return-Path: 與Reply-To:相同

Sender: 消息發送者。這通常都是偽造的

Message-ID: 郵件系統在創建郵件時的唯一標記。也是最容易被偽造的地方。正常情況下，“Message-ID:”能確定發送者所登錄的系統，而不僅僅是創建郵件的系統。Message-ID 的結構同郵件服務器程序有直接關系，不同的郵件服務器產生的ID 也不一樣，有時，相同郵件服務器的不同處理也會產生不一樣的ID。多數郵件服務器會包含日期、時間、DNS等，有的甚至包含郵件用戶信息。如0040409085748.91B1.SAN@test.com，就是由日期、時間、標識、郵件用戶和DNS構成。

In-Reply-To: 在回復的時候可能存在，通常指向原郵件的Messgae-ID。

Received: 最可信賴的頭。一般會有幾條，形成站點列表，這些信息表明達到目的地過程中郵件所經過的服務器，該域都是郵件服務器自動插入的，spammer可以偽造，但是在被偽造的那個點之后的是無法偽造的。這個列表從下往上表明了服務器路徑，最上面的一條Received:是最終目的的系統或郵件服務器。

通常的郵件傳遞主要步驟由下面過程完成：

Sender→MUA→MTA→(routing) →MTA →MDA →{filtering}→ MUA→receiver

腳本小子：MUA（Mail User Agent）表示郵件客戶端程序，比如Foxmail、Outlook、Mutt等；MTA（Mail Transport Agent or Message Transfer Agent）表示消息傳輸代理，這部分程序負責存儲和轉發、發送E-mail，它從MUA或者其他的MTA 接收到郵件后，就存在于本地，并分析收件人或者轉發到其他的MTA，在處理過程中，它通常會編輯、添加郵件頭內容，比如Sendmail、Exchange等；MDA（Mail Delivery Agent）表示郵件發送代理，這個程序負責將郵件發送給用戶，通常處理某種特定發送操作。

了解了這些環節，我們就可以順藤摸瓜，探測垃圾發送者的老巢了。
垃圾郵件追蹤實例

SMTP協議對我們來說，應該是再熟悉不過的了，但是，這個協議在創建的時候并沒有考慮到未來的郵件會成為垃圾，因此安全性很差，郵件頭可以任意創建、偽造和修改，而郵件服務器一般不檢查發送者的內容，而只關心接收者。這就給了垃圾郵件發送者可乘之機，比如，通過Outlook就可以偽造郵件頭。為了對付ISP監控垃圾郵件，這些垃圾郵件發送者通常用一些郵件程序將郵件轉發到其他的郵件服務器，并且修改和偽造郵件頭，避免被追蹤。所以，我們現在的關鍵任務是識別偽造內容并獲得真實信息，根據真實信息進行查詢。#p#分頁標題#e#

1．郵件頭追蹤

一般來說，郵件內容、Reply-to、最終郵件服務器的Received的內容都有助于我們追蹤垃圾郵件的來源。對于“Received：”域來說，我們可以從時區出錯、時間誤差、IP地址錯誤這幾個方面來追查。試想，一個郵件經過了幾天甚至更長時間來傳遞，正常嗎？下面就是一個修改了郵件地址和IP地址的郵件頭：

Return-Path: 
Delivered-To: pwbpub@test.com
Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) 
by test.com (Postfix) with ESMTP id 590F2160A9 for; 
Thu, 8 Aug 2004 16:48:46 +0800 (CST)
Received: from mail.test.com.cn 
([127.0.0.1])by localhost (mail[127.0.0.1])
(amavisd-new, port 10024) with ESMTP id 30543-01 for; 
Thu, 8 Aug 2004 16:47:14 +0800 (CST)
Received: from risker.debian.org 
(unknown [218.18.xxx.xxx]) bymail.test.com.cn 
(Postfix) with ESMTP id 32E0817DC17 for; 
Thu, 8 Aug 2004 16:47:06 +0800 (CST)
Date: Wed, 5 May 2004 14:36:13 +0800
From: wlj 
To: pwbpub@test.com
Subject:
Message-Id: <20040505143613.25dd214b.spamemail@test.com.cn>
Mime-Version: 1.0
Content-Type: multipart/mixed;
X-Virus-Scanned: by amavisd-new at test.com.cn

上面的郵件頭，明顯經過了篡改，包括在MUA 發送郵件時添加的頭內容和經過MTA過程中添加的內容?，F在，關鍵的任務就是要檢查“Received:”的傳遞過程了。

第一步：找到如下內容：

Received: from risker.debian.org (unknown [218.18.xxx.xxx]) by mail.test.com.cn (Postfix) with ESMTP id 32E0817DC17 for ; Thu, 8 Aug 2004 16:47:06 +0800 (CST)

仔細分析，我們可以看到，這是第一個MTA 從MUA 接收郵件時插入的頭內容。MUA 的機器名是Risker.debian.org（這不是MUA 的DNS，而只是機器名），(unknown[218.18.xxx.xxx])表示該機器的IP地址，但是查詢的DNS是unknown的。該郵件被mai.test.com.cn接收，郵件服務器采用Postfix，而且采用的是ESMTP（擴展的SMTP），分配的ESMTP id是32E0817DC17，傳遞目標是pwbpub@test.com，接收時間為Thu，6 May 2004 16:47:06，時區是+0800 (CST)。

第二步：查找第二個Received:內容。具體如下：

Received: from mail.test.com.cn ([127.0.0.1]) by localhost (mail[127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 30543-01 for ; Thu, 8 Aug 2004 16:47:14 +0800 (CST)

這是郵件服務器內部程序進行的一個處理過程，因此IP 地址為127.0.0.1，并且是Localhost處理，(amavisd-new, port 10024)表明這個處理程序是使用的Amavisd-new，amavisd-new是一個用于郵件服務器的殺毒、過濾等的接口。

第三步：查找第三個Received:內容。具體如下：

Received: from mail.test.com.cn (unknown [211.167.xxx.xxx]) by test.com (Postfix) with ESMTP id 590F2160A9 for ; Thu, 8 Aug 2004 16:48:46 +0800 (CST)

該過程表示郵件從服務器名為Mail.test.com.cn 傳遞出去，IP 地址為211.167.xxx.xxx，接收郵件的服務器是Test.com，采用Postfix服務程序，也通常使用的ESMTP，傳遞的目標是pwbpub@test.com，日期為Thu，8 Aug 2004 16:48:46，時區是+0800(CST)。

從這個例子可以看出，郵件的傳遞過程是：

risker.debian.org（MUA）→mail.test.com.cn（MTA）→localhost（MTA中的amavisd-new）→test.com（MTA）

整個過程經歷了將近兩分鐘，不過，在追蹤垃圾郵件過程中，這個傳遞過程中的Received:存在被篡改的可能，也就是說，發送者可能使用了“障眼法”，因此，要煉就一雙火眼金睛，判斷哪些信息是偽造的，哪些是真實的。對于Received:來說，最后的站點是接收者自己的郵件服務器，因此最后的Received是真實可靠的，除非自己的服務器已經不安全了。

2．垃圾廣告郵件追蹤

現在，垃圾廣告郵件尤其猖獗。對于這類郵件來說，內容中有聯系人、聯系電話、聯系Email、郵編等，追查就很直接。一個典型的此類郵件頭內容如下：

Return-Path: 
Delivered-To: pwbpub@test.com
Received: from spamemail.com (unknown [221.232.11.40])
by test.com (Postfix) with ESMTP id 399521C124
for ; Mon, 24 May 2004 11:07:41 +0800 (CST)
From: "bbcss" 
Subject: =?GB2312?B?0KGxvrS0tPPStcrmtvmxptXQycw=?=
To: pwbpub@test.com
Content-Type: multipart/mixed;
boundary="=_NextPart_2rfkindysadvnqw3nerasdf";charset="GB2312"
MIME-Version: 1.0
Reply-To: reply@yahoo.com.cn
Date: Mon, 24 May 2004 11:07:45 +0800
X-Priority: 3
Message-Id: <20040524030745.399521C124@test.com>

現在來對該郵件進行簡單的分析。首先找到這一段：

Received: from spamemail.com (unknown [221.232.11.40])by test.com (Postfix) with ESMTP id 399521C124 for ; Mon, 24 May 2004 11:07:41 +0800 (CST)

本例中，測試用的郵件服務器Test.com是可信的，因此這一條Received信息也是可靠的，但其中的一些內容可能并不是真實可靠的。郵件來自一個機器名為spamemail.com的，IP 地址為221.232.11.40，郵件接收時間是Mon, 24 May 2004 11:07:41 +0800 (CST)。簡單檢查Spamemail.com，可以得出IP地址為Spamemail.com [203.207.*.*]，很容易可以知道這個spamemail.com只是一個名字而已。該郵件的發送者是From: "bbcss" ，而回復地址是：Reply-To:reply@yahoo.com.cn。實際上，我們就可以推測：fault@spamemail.com就是偽造的了，但是回復地址卻可能是真實的；另外，他們肯定使用了一些垃圾郵件發送工具，能夠偽造發送者地址、機器名，并且可以直接傳遞郵件。#p#分頁標題#e#
3．追捕

經過上述分析測試，我們就可以得到一些有用的數據了。通過對郵件的分析，我們一般能夠找到可能接近源頭的某個郵件地址或者一個IP地址（這個IP地址可能是一個受害者），用這些信息來追查，依然存在很多難度，畢竟有些事情不是某個人可以完成的，但是卻在某些特殊應用方面能夠提供不小的幫助。現在，假如我們看到的信來自163.net服務器（bjmx4.163.net），再追下去是從263.net服務器發來的（smtp.x263.net），再下去是來自IVAN (unknown [218.70.*.*])，是誰呢？毫無疑問應該是寄信人了，他的IP就是218.70.*.*，用一個查地理地址最好用的軟件“追捕”查查看（如圖2所示）：

圖2

那就是來自重慶。通過很多優秀的工具，我們就可以來揭開對手的廬山真面目了。如果對方在聊天室或論壇上，我們怎樣查到他的IP呢？其實也簡單，下載一個孤獨劍客的作品Iphunter，軟件下載地址為http://www4.skycn.com/soft/1122.html，運行它后，就會把連接到你電腦的IP捕獲下來，而讓對方來連接你的電腦，當然要讓他不知不覺的來連接，而最好的方法就是在聊天室或論壇上放一幅圖片，圖片的網址必須是你的IP，如 [img] /pic/8/2005-11-15-1615l.jpg [/img]，只要對方看到這個（要吸引他的眼球），他的電腦就會自動來打開這個圖，當然就會找到你的電腦上來，呵呵，正好中計，Iphunter就可以把他的IP捕獲了！剩下的，就是要考慮一下怎么教訓他了!