title: 一封来自苹果AppleID官方的垃圾邮件 date: 2016-07-10 22:49:00 tags:

  • appleid
  • spam
  • email

  若干天之前,我收到了一封来着苹果的奇怪邮件。强大的 Gmail 垃圾邮件过滤功能并没有成功拦截下这封在正常人眼中一看就是垃圾邮件的信件。这让我倍感诧异,苹果的 AppleID 怎么会给我发送一封了一封携带色情广告的垃圾邮件呢?尤其是在确认了这的确是一封由 AppleID 发送的邮件后,更是让我感到不安——难道说我的 AppleID 被盗了?还是说苹果的官方服务器已经被黑客攻破了?

来自苹果 AppleID 官方的垃圾邮件

​ 根据我上学时学到的信息安全知识和网络攻防实战,定向的渗透某一个网络目标的技术难度和成本远大于撒大网的方式进行网络攻击。我相信能够攻破苹果公司服务器的黑客,绝对不会只是发个色情、诈骗广告这么低端,他们会有更加功利的目标和变现渠道。

0x1 确认邮件发送者

​ 电子邮局是个很古老的系统,存在这非常多的漏洞,发件方可以轻而易举的伪造发件人等信息。而邮件的收件方通常不会在邮件客户端上看见发件方的详细信息。但是,这并不是说我们就无法判定邮件的真实来源了。每一封电子邮件的原始数据当中都隐藏着详尽的邮件收发过程中的详细信息。

编码后的邮件正文

​ 通过 Gmail 的 “Show original” 按钮,我们能够打开观看原始数据形式的电子邮件。这种状态下,邮件的正文是一堆一堆的编码,对人类来说是不可读的。当然,我们现在也不需要读邮件正文。对于判断邮件来源的有用信息在邮件头部。

被隐藏的邮件头部信息

​ 在邮件当中,From 这一头部信息是可以被伪造的,可信度不高。而 Received-SPF 信息是由邮件接收方根据发件方在域名中设置的 SPF 记录验证邮件的发送来源的结果;这里我们看见结果是 pass, 也就是说邮件确实是发送自 AppleID 的官方服务器。