遇到伪照的发送域名及钓鱼页面如何处理

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

已注册用户请登录

这是一个创建于 3401 天前的主题，其中的信息可能已经有所发展或是发生改变。

我们公司一般系统发送的邮件都是从 [email protected] 发送，今天有客户收到 [email protected] 的邮件，里面有登陆页面，是伪造的，输入用户名、密码应该就被盗了，那么现在，如何处理

1. 他们是如何从 [email protected] 发送邮件的
2. 这个钓鱼页面如何处理，钓鱼页面任何链接都指向我们的网站。

第 1 条附言 2016-08-16 11:49:05 +08:00

关于钓鱼页面处理，实现方法如下，大家可以参考下：

获取 refer ，如果是 refer 是钓鱼网站，显示警告信息。

[email protected]

发送

钓鱼

页面

21 条回复 2016-08-16 17:48:20 +08:00

SourceMan

2016-08-16 09:43:08 +08:00 via iPhone

是可以代发的，指定任意のemail 发件方
但是目标邮箱系统应该会有明确的标识这是一份代发邮件，注意辨别

SourceMan

2016-08-16 09:44:22 +08:00

skydiver

2016-08-16 09:51:37 +08:00 via iPad

本来就可以以任何人名义发邮件。

不过邮件服务商会做检查。

dgkae

2016-08-16 09:54:28 +08:00

长知识

yylzcom

2016-08-16 10:06:59 +08:00

建议去看看 spf 和 dkim ，一直就想不明白国内邮箱为什么都不显示 spf 和 dkim 信息，非要自己去信头查看

aaa0009 &bsp;

2016-08-16 11:12:51 +08:00

@SourceMan
@skydiver
@yylzcom 这封邮件没有看到代发，是什么情况？

jucelin

2016-08-16 11:19:07 +08:00

我一年前就提过这个问题 t/211347
而且没有解决

Hanxv

2016-08-16 11:21:29 +08:00 via Android

@aaa0009 你使用 php 语法，给自己发邮件，使用没有绑定域名的服务器…看看是不是显示发件人为 losthost
然后，在 php 把域名改成 Google.com ，给自己发邮件…是不是成功收到了？
进垃圾箱…那难以避免。

Hanxv

2016-08-16 11:28:21 +08:00 via Android

解决办法，设置好 spf,dkim
虽然对于国内来说，效果有限。但还是有必要的

aaa0009

2016-08-16 11:46:28 +08:00

@Hanxv
@jucelin 我们自己的发件地址 [email protected] 同时用了 mandrillapp ，和 http://submail.cn/，都验证了 spf ， dkim 。我们发邮件是没有问题。比较纳闷的是，别人如何做到用 [email protected] 发送，却不显示代发，是有的客户端补显示代发信息吗？

cevincheung

2016-08-16 11:54:00 +08:00

@aaa0009 国内只有 QQ 邮箱显示代发。印象记得 Google 都不显示的。不显示的还有网易全家的邮箱（或者是一个很不起眼的图标表示，不标注都不知道啥意思）

yylzcom

2016-08-16 12:01:22 +08:00

@cevincheung gmail 的显示的 [email protected] via [emal protected] ，还显示 signed by 和 mailed by

yylzcom

2016-08-16 12:03:22 +08:00

@aaa0009 别人发的肯定不会带你们域名的 spf 和 dkim 信息吧。伪造发件人是不显示代发的…… 是直接伪造发件人

Hanxv

2016-08-16 14:57:55 +08:00 via Android

@aaa0009 伪造发送这个是不能避免的。
验证 spf,dkim 是收件人的邮箱服务商去验证的。
如果收件方的服务商不验证 spf,dkim 等……你做了记录也没用。

解决方法就是告诉你的客户，不要使用自建邮箱。还有…你们没有保护好客户的邮箱…

Hanxv

2016-08-16 15:01:14 +08:00 via Android

@aaa0009 国内的邮箱， QQ,网易应该都可以。
不过 zoho 的验证是最严格的。
可以让你的客户使用这些邮箱。

这些邮箱会验证 spf 等记录，如果发现和记录不符，垃圾箱是必进的。有的邮箱服务商还会拒收…

aaa0009

2016-08-16 15:44:58 +08:00

@Hanxv 还有…你们没有保护好客户的邮箱… 嗯，这个是有点，不过最近加了限制，一个 IP 每天只能查看 10 几个了。

aaa0009

2016-08-16 16:21:05 +08:00

@Hanxv 客户的邮箱域名是 greatwall.com.cn ，差了 mx 记录是 interscan.greatwall.com.cn ，估计是自己配的，没有做 spf ， dkim 验证等。

TimePPT

PRO

2016-08-16 16:26:33 +08:00

没看明白，获取 refer 怎么防钓鱼站

aaa0009

2016-08-16 16:42:45 +08:00

@TimePPT 我们遇到的那个钓鱼页面，上面所有的链接都指向正常的页面（包括登陆 button ），所以就在正常的页面上做了判断，如果来自钓鱼域名的，就提示警告信息。

TimePPT

PRO

2016-08-16 17:42:03 +08:00

@aaa0009 哦哦，这个意思，了解了

Hanxv

2016-08-16 17:48:20 +08:00 via Android

@aaa0009 公司招聘一个安全工程师，这些问题就都可以得到解决。
不合格的…当我没说，不把公司弄出大乱子就不错了