近期頻收很多類似的英文垃圾信

[W]

請問應該如何防治下面情況的垃圾信呢?
會收到的人大概一天四~五封類似的英文信，不同時段的寄進來
使用者有蠻多人收到的

郵件原始檔如虛線內文
--------------------------------------------------
X-MD-FROM: empty
X-MD-TO: user55@example.com
Received: from 117.6.223.246 ([117.6.223.246])
by example.com ([192.168.168.168]);
Thu, 16 May 2013 17:02:23 +0800
Received: from unknown (HELO localhost) (pearlis@maskinfjadrar-hellqvist.se@74.99.85.210)
by 117.6.223.246 with ESMTPA; Thu, 16 May 2013 16:03:07 +0700
X-Originating-IP: 74.99.85.210
From: pearlis@maskinfjadrar-hellqvist.se
To: user55@example.com
Subject: Another strong Volume day - Investors taking Notice!!!
Date: Thu, 16 May 2013 15:53:57 +0700

Strategy announced, you should make $0.06 stock into $1.70! To
do it, you need to buy stocks of the business that would be
taken over, then the buyer party should purchase your portfolio
at a better value. The perfect deal now is GTR L, it would go to
$1.70 in August. Trade GTR L at $0.06 on May, 16th and sell in
August at $1.70!!!

.
--------------------------------------------------
PS1:
這部分
X-MD-FROM: empty
也可能是寫伺服器本身重寄信的帳號，如下
X-MD-FROM: NoReply@example.com

PS2:
螢幕記錄如=線內:
==================================================
[2013/5/16 下午 05:02:19] [8552] SMTP 服務接受從 117.6.223.246 來的連線
[2013/5/16 下午 05:02:21] [8552] 117.6.223.246 要求 SMTP 服務 - 寄信人是
[2013/5/16 下午 05:02:23] [8552] 117.6.223.246 - 郵件內容已收到 (To:user55@example.com) 711 bytes ( 0.7 KB/s)
[2013/5/16 下午 05:02:23] [8552] 儲存郵件到 <user55> 的信箱, 檔名為 _20130516170221-2292505847-8552.eml 905 bytes
[2013/5/16 下午 05:02:23] [SYSTEM] 儲存郵件到 <mailcopy> 的信箱, 檔名為 _20130516170221-2292505847-8552.eml 879 bytes
[2013/5/16 下午 05:02:23] [8552] SMTP 服務中斷從 117.6.223.246 來的連線
==================================================
不論是X-MD-FROM: empty 或 X-MD-FROM: NoReply@example.com
要求 SMTP 服務 - 寄信人是 (這邊都是顯示空白)
類似的英文垃圾信，IP區段也是一直變換。
英文垃圾信件內容會有變換
雷同之處就是都有提到 GTRL 或 G_T_R L 或 GT_RL 或 G_TR_L之類

PS3:
防治廣告信的設定都有開啟
Reverse checking 只勾選 檢查IP與網域的關連正確性(B)
Greylisting 檢查等級B 時間0~180分鐘

PS4:
這類垃圾信 幾乎不像其他信要檢查Greylisting 我查過相同IP 他一寄就收了
93.85.131.71
67.68.205.115
117.6.223.246
122.215.71.178
但我也沒有設定這些IP為安全名單

[小沛]

我跟你一樣，每天也是收到一堆這樣的信件∼
_________________
The house of dream
https://www.dreamhome.com.tw 夢想的家

[Arnor]

就以您的範例中的來源IP來看, spamhaus 可以查到它的黑名單, 你有啟用 SPAMHAUS 嗎?

就它的內容來說, 也只有 RBL 可以檢查的出.
因為它的信件檔頭內容雖簡略, 但無什麼特徵, 也沒缺檔頭 From, Subject, Date 之類的, 所以只有 IP 能利用.

不然只能看看整合 spamassassin 看看它可不可為它打分數來判斷了.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[小沛]

每一封信件的IP都不會一樣，都是亂跳與發信人信箱帳號假冒∼
_________________
The house of dream
https://www.dreamhome.com.tw 夢想的家

[Arnor]

IP 不固定也不會影響 RBL 的結果, 那只是僵屍電腦的行為模式就是這樣而已, 類似 DDOS.
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[小沛]

[W]

PS3:
防治廣告信的設定都有開啟
Reverse checking 只勾選 檢查IP與網域的關連正確性(B)
Greylisting 檢查等級B 時間1~180分鐘
====================================
對方的垃圾信還是很容易寄進來
連灰名單也沒有等待過 該IP連線一次就寄進來了

另想請問對方信件內容偽造伺服器本身的"重寄信的機制信箱"
例如
X-MD-FROM: NoReply@example.com

這部分以目前雷電的版本 有辦法設定檔信嗎?
譬如限制重寄信的IP範圍?!

[Arnor]

就上面的範例我查過就被列在 SPAMHAUS,
所以若你有開 spamhaus 卻沒法查出該IP,
那只有兩個可能
1. 這IP 是你收到它之後, 我查之前, 才被加入的.
2. 你的 maild 的 SPAMHAUS 功能不正常, 查查看記錄看看spamhaus 有記錄過?
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[W]

我把SPAMHAUS的規則，從 存放未驗證信匣 改成 直接斷線，做一次的設定存檔變動。
似乎開始能偵測SPAMHAUS的IP了
經查前幾天的紀錄 SPAMHAUS IP都沒有出現偵測的紀錄
----------------------------------------------------------
壹、設定存檔變動之前後，皆仍有紀錄SPAMHAUS 機制判斷 訊息，如下:
發現 <user55> 的新郵件被 SPAMHAUS 機制判斷為廣告信, 故要將信存於未經驗證信目錄

貳、存檔之前沒有，但設定存檔變動之後，開始有SPAMHAUS IP的偵測訊息，如下:
[2013/5/20 上午 02:34:25] [2488] SMTP 服務拒絕從 198.98.124.207 來的連線, 因為 [SPAMHAUS] Your IP (198.98.124.207) was listed in SPAMHAUS - please visit http://www.spamhaus.org/query/bl?ip=198.98.124.207 for more details.
----------------------------------------------------------

如此，經過這一次的設定存檔變動，SPAMHAUS擋IP功能似乎恢復正常。
目前看起來也沒有再收到英文的垃圾信!!

雖然發生原因不明，但分享給遇到類似狀況的網友

最後也感謝素還尊的指路解答!!

[小沛]

[Arnor]

你都設定了存到未驗證信箱, 那麼, 為什麼不存?

就我看來, 正常得很呀, 你所謂的問題在哪邊呢? @@
_________________
*若是想問問題的話, 請務必不要塗改任何 IP, 網域資料, 您若不願貼上IP或網域, 請改以電子郵件來詢問. 謝謝您的配合.*
*若是回報疑似軟體的運行或邏輯或資料處理有誤的問題, 小弟很樂意去了解您的情況, 但請務必以最新版來做回報, 如果以郵件詢問, 請參考 http://www.raidenmaild.com/tw/feedback.html 的說明, 最好標題加個 RaidenMAILD 字樣, 才不致會遺漏了您的信唷. 謝謝您的配合^^*
*在版上發文請遵守網路禮儀, 並請持著虛心敘述問題請教他人, 凡發現違反的文, 均一律刪除為優先, 不另行通知喔.
*與使用者教學相長腦力激盪是我輩成就感的來源, 誠心希望您能不吝指教.
*雷電MAILD 知識庫文件 http://www.raidenmaild.com/tw/kb/

素還尊
Team John Long.
Email: arnor@raidenmaild.com
公司網站 http://www.raidenmaild.com/company/

[小沛]

恕刪。
_________________
The house of dream
https://www.dreamhome.com.tw 夢想的家

[Arnor]

1.
小沛兄, 您似乎有點離題了,
我之前是問

[小沛]

如何檢查我的網域SPF是否有正確設定好呢？

謝謝
_________________
The house of dream
https://www.dreamhome.com.tw 夢想的家

[W]

類似的垃圾信還是有出現~囧~
但至少SPAMHAUS IP的擋IP紀錄是有出現 應該有些效果是有恢復
只是垃圾信難防全面

持續抗戰研究中!


與小沛部分案例 是蠻類似的!!
Received: from unknown (HELO localhost) (zhanym_goxa@r66.ru@95.38.165.232)
這邊都有雙@的紀錄

信件標題首行也被偽造成伺服器的重寄信信箱