信息化觀(guān)察網(wǎng)

最近很多人私信小編，為什么郵件記錄發(fā)件人欄位顯示的地址和點(diǎn)開(kāi)記錄顯示的發(fā)件人地址是不一樣的？

例如：郵件記錄當(dāng)下看到的發(fā)件人地址是這樣的

而點(diǎn)開(kāi)記錄看到的發(fā)件人地址卻是這樣的

其實(shí)是貼合客戶(hù)端（如Outlook/Foxmail）顯示

當(dāng)客戶(hù)端收下郵件后，所呈現(xiàn)的發(fā)件人地址為header-from地址

而實(shí)際郵件產(chǎn)生的發(fā)件人地址為envelope-from，是一串隨機(jī)地址，隱藏在郵件標(biāo)頭中

所以網(wǎng)關(guān)會(huì)顯示出2個(gè)地址以示區(qū)分

當(dāng)存在代發(fā)性質(zhì)郵件，這兩個(gè)地址就往往不一致，例如：google的訂閱郵件

header-from顯示地址可以讓用戶(hù)“清晰”地看到發(fā)件人是誰(shuí)

envelope-from顯示地址是隨機(jī)的

正是這種“便利性”給了攻擊者可乘之機(jī)。所以用戶(hù)第一眼看到的也并非是真實(shí)的，在郵件標(biāo)頭中同樣存在著這樣一個(gè)欄位，Reply-To，它由郵件的創(chuàng)建者生成，有時(shí)它和from地址也不相同。

攻擊者會(huì)使用header-from客戶(hù)端顯示地址進(jìn)行迷惑，從而用戶(hù)直接原郵件回復(fù)時(shí)，不注意其實(shí)是回給Reply-To地址。

例如outlook客戶(hù)端選項(xiàng)中的發(fā)送答復(fù)至欄位，就可以讓對(duì)方回復(fù)時(shí)直接回給另一個(gè)地址。

收到涉及轉(zhuǎn)賬信息的郵件時(shí)，守內(nèi)安建議回復(fù)郵件時(shí)一定要多次確認(rèn)收件人地址。

為了加強(qiáng)企業(yè)內(nèi)部安全和企業(yè)現(xiàn)狀的環(huán)境分析，守內(nèi)安SPAM SQR郵件安全網(wǎng)關(guān)新版首頁(yè)顯示，可以讓IT管理者初步了解企業(yè)自身是否存在潛在的風(fēng)險(xiǎn)，哪些用戶(hù)是攻擊者重點(diǎn)攻擊的目標(biāo)。

高級(jí)防御模塊（Advanced Defense Module）提供了相關(guān)數(shù)據(jù)分析顯示，可以讓IT管理者初步了解企業(yè)內(nèi)部哪些人員的信息安全意識(shí)較弱，當(dāng)用戶(hù)通過(guò)攔截隔離通知，預(yù)覽郵件時(shí)點(diǎn)擊威脅郵件中的鏈接，即會(huì)被標(biāo)記統(tǒng)計(jì)顯示。

·關(guān)于守內(nèi)安電子郵件安全網(wǎng)關(guān)SPAM SQR與ADM高級(jí)防御模塊

守內(nèi)安SPAM SQR內(nèi)置多種引擎(惡意文檔分析引擎、威脅感知引擎、智能詐騙引擎)、惡意網(wǎng)址數(shù)據(jù)庫(kù)，并可整合防毒與動(dòng)態(tài)沙箱等機(jī)制，以多層式的運(yùn)行過(guò)濾方式，對(duì)抗惡意威脅郵件的入侵。

SPAM SQR的ADM高級(jí)防御模塊(Advanced Defense Module)，可防御魚(yú)叉式攻擊、APT等新型進(jìn)階攻擊手法郵件。研究團(tuán)隊(duì)經(jīng)長(zhǎng)時(shí)間的追蹤黑客攻擊行為，模擬產(chǎn)出靜態(tài)特征。程序自動(dòng)解封裝文檔進(jìn)行掃描，可發(fā)掘潛在代碼、隱藏的邏輯路徑及反組譯代碼，以利進(jìn)行進(jìn)階惡意程序分析比對(duì)。可提高攔截夾帶零時(shí)差(Zero-day)惡意程序、APT攻擊工具及含有文件漏洞的攻擊附件等攻擊手法郵件的能力。