bootyshinehf

@wan4da

感谢，我又仔细看了一遍，没有 sender 字段，可以看上面的「邮件源码」。

@winterx

感谢，已查了策略，网关上配置了 @cpibj.com.cn 域为白名单，命中就投递。

那么问题又来了：为啥黑产投递的钓鱼邮件会命中「白名单规则」，而我使用 telnet 或 Python 尝试复现时却没命中这条白名单规则。。。

提示「 556 remote ip check error.(SPF online: 发信 ip 与 Mail From 地址不一致)」。

@retanoj @follow

不对啊。。。

我用在线工具 Dig https://toolbox.googleapps.com/apps/dig/?lang=zh-CN

还有在线 nslookup http://www.jsons.cn/nslookup/

查询的结果也是不一致的。。。

@retanoj

没有做变更，我这边刚刚用 nslookup 查了一遍，显示的是 -all

换用 dig 工具，就是 ~all

这是什么操作。。。

@serafin

根据邮件头信息「 Received: from 180.103.12.117 by 10.**.**.131 with SMTP; Thu, 25 Apr 2024 10:14:31 +0800 」来看，发件地址是 180.103.12.117 ，应该是很明确的。

10.**.**.131 ，这个是我们的邮件安全网关。

@lemonda

我查了邮件网关的「拦截再投递日志」，发现没有记录，意味着这封钓鱼邮件是没有被邮件网关拦截、直接被放行了的。

@chuckzhou

我查了这封邮件的流量交互情况，是不涉及 auth 认证环节的，详见 13

@winterx

# 1 、关于伪造相同邮件头的问题：
我这边回溯我们的全流量产品，有抓到的原始流量信息，源 IP （ 180.103.12.117 ）直接连的我们这边的邮件网关（ 10.**.**.131:25 ）。

TCP 日志还原后的部分交互内容，如下：

```
220 smtp ready
HELO cpibj.com.cn
250 spic.com.cn HELO, pleased to meet cpibj.com.cn
MAIL FROM: <[email protected]>
250 OK
RCPT TO: <chenhuan01@****.com.cn>
250 OK
DATA
354 go ahead
Date: T
```

我按照以上格式，通过 telnet 命令还有 python 脚本去发件，都是提示「 556 remote ip check error.(SPF online:发信 ip 与 Mail From 地址不一致)」，所以接下来不知道怎么办了。

# 2 、关于邮件网关中的拦截问题

目前这封邮件是没有被拦截的，是「投递成功」状态，也没有被标记为垃圾邮件。

@1423 是公司本地部署自建的邮件系统，用的是亿邮的产品，不是那种 SaaS 化的企业邮箱。