GFW正在监视着你的邮件 (ZT)

yuba

上周和几位反垃圾邮件专家共进午餐时听他们谈到了目前仍然存在和中国墙内的邮件服务器沟通不畅的奇怪问题，其中一位已经做了不少实验和研究证明了的确是在网络上存在不明设备干扰邮件通信。想起来差不多一年多前曾经出现过GFW拦截email造成奇怪的邮件以及发信失败的问题，这些问题已经有一段时间没有听说了，我还以为GFW暂且罢手了。
  拦截邮件通信是件非常可耻的行为，可以说比封锁网站更为卑鄙，为了证实以及分析问题，晚上做了几个小实验，得到的结论是令人发指的 --GFW不但正在监视着所有穿过墙的SMTP(25号端口)的通信，而且比过去发现的行为更为糟糕的是，GFW不再像过去出现的那样总是发送欺骗性SMTP错误码，而是可能直接在通讯过程中发送欺骗的RST报文使通信中断。 这种中断在实际发送email中可能会导致没有任何反馈，也就是你以为你的邮件正常发出，但实际上邮件已经消失了，邮件的收件人永远无法收到。
  更奇怪的行为是，GFW对SMTP的拦截pattern更像一个anti spam的IDS, 并不需要发送任何敏感关键词也可能导致被拦截。据分析这可能是flg老是发送垃圾email导致GFWed的行为，不可否认这种拦截对组织垃圾email的进入和发出是有一定作用的，然而也可能误伤无辜。
  通过从美国、欧洲、日本、新加坡等多点的测试，发现行为并不仅相同，但大多表现为GFW迫不及待地代替SMTP 服务器断开连接。
  测试非常容易，最简单的验证方法是拿一个sohu.com和gmail.com的邮件互发邮件测试，一个其实没有意义当含有敏感词的邮件开始还能互相发送接受，几次后这些邮件就消失了，无论是用gmail发出，或是sohu mail发出，对方都不再能收到，而且没有错误，没有退信。
  更技术化些的测试是拿telnet连接到一个墙对面的smtp服务器，我随便找了个jlonline的实验，下面是通讯过程：
  

   220 ironport1.jsmail.com.cn ESMTP      
ehlo localhost        
250-ironport1.jsmail.com.cn        
250-8BITMIME        
250 SIZE 10485760        
mail from:<webmaster@jlonline.com>        
250 sender <webmaster@jlonline.com> ok        
rcpt to:<webmaster@jlonline.com>        
250 recipient <webmaster@jlonline.com> ok
    Connection to host lost.

  有趣的现象是在两次250 ok后连接神秘地断开了。 当然这个测试的行为是个典型的spamer行为，到一个smtp上给冒充自己给自己发邮件。 但是为什么SMTP server说ok却突然连接断开？
  当然偶抓了包来看看，可以看到最终连接断开是收到了来自server ip地址的RST报文：
  

                               
登录/注册后可看大图

  不过来自server的正常报文的TTL值和RST报文的TTL值不同，说明这个RST报文是由网络上的神秘设备发出的：
  

                               
登录/注册后可看大图

  上面正常的220报文的IP报头， TTL和其他整个通信中一致是 51.
  

                               
登录/注册后可看大图

      上图是神秘的RST报文，只有这个神秘的RST报文TTL是52. 有趣的是RST报文是两个，一个TTL 51, 一个52。没有明白为何。
  上述分析可能是有错误的，如果您发现了我的错误请您指出，我会迅速更正以免误导。
  
  上面只是给出一个例子，实际上我看到了更综合的测试报告，虽然不能发现其行为规则，但是可以肯定存在不明设备中断SMTP的通信，而且不是每次都有错误码给出，可能导致信件的彻底丢失。
  
  结论和建议
  1、不要使用任何在国内的电子邮箱，通过这些邮箱发出的email会经过GFW, 可能会被审查、过滤或者消失。另外国内的电子邮件提供商可能会把你的帐户交给第三方；
  2、使用国外的电子信箱的时候，web方式必须用https, 如果采用客户端那么必须在SMTP和POP3上启用TLS, 否则一样会被GFW拦截；

四香油饼

看不懂，不过我知道监听是肯定的了

boblee

恐怖的说

四香油饼

俺一个从小长大的朋友就在解放军某单位，他们那里就是专门负责监听的，你们别不信，就说电话吧，所有的国际电话全部都是24小时录音和监听的。我这个朋友学计算机的，一直搞开发，说不定这个监视程序是俺朋友做的：）

yuba

标题有问题

连接断开，邮件蒸发才是重点

bullbrother

还是不懂，能否说得通俗点，哪些邮箱是安全的？yahoo、gmail不都是服务器在外的吗？具体应该如何操作呢

yuba

昨天发现GFW正在监视着你的邮件，在用telnet直接连接到SMTP抓包实验的同时，采用了sohu webmail和gmail互发含有敏感词的subject和正文的email实验。
  Sohu mail和gmail的通讯验证了神秘中间设备的存在
  通过两个邮件互发这个实验并不能证实GFW的存在，因为sohu可能有自我审查系统，各个邮件系统可能有反垃圾邮件的体系，因此某些内容发送失败是可能的，但是做这个实验的目的是为了和telnet的抓包实验互相印证。
  结论非常有趣，首先sohu和gmail之间出现了发送障碍，gmail和sohu mail都发出了无法投递和投递困难的通知：
  这是在sohu的邮箱收到一个无法发送通知：
  

发件人：系统管理员<MAILER-DAEMON@sohu.com>保存到地址簿拒收收件人：xxxx@sohu.com,  时 间：2009年1月12日 4:53:51     以下信息来自位于 websmtp.sohu.com 上的邮件系统:     
非常抱歉，您的邮件不能被发送到某些或全部收件人。附件为邮件原文和错误报告。      
请和管理员联系，以获得更多的帮助。      
请将错误报告作为附件一并发给管理员. 您可以删除自己的信件.      
搜狐邮件系统      
<xxxxxx@gmail.com>: host gmail-smtp-in.l.google.com[209.85.xxx.xxx] said: 551      
User not local; please try <forward-path> (in reply to RCPT TO command)

  除上述通知还受到多个无法投递的通知，为报告连接意外断开。
  这是GMail的通知：
  

   This is an automatically generated Delivery Status Notification     
THIS IS A WARNING MESSAGE ONLY.      
YOU DO NOT NEED TO RESEND YOUR MESSAGE.      
Delivery to the following recipient has been delayed:      
mave99a@sohu.com      
Message will be retried for 2 more day(s)      
Technical details of temporary failure:      
Unspecified Error (SENT_MESSAGE): Connection reset by peer      
  ----- Message header follows -----      
Received: by 10.90.100.20 with SMTP id x20mr9216098agb.12.1231778863388;      
       Mon, 12 Jan 2009 08:47:43 -0800 (PST)      
Received: by 10.90.53.17 with HTTP; Mon, 12 Jan 2009 08:47:43 -0800 (PST)      
Message-ID: <b4ba3b590901120847p1d7d78d9l1dc2e45db6e9cd2d@mail.gmail.com>      
Date: Mon, 12 Jan 2009 16:47:43 +0000

  这里的情况和SMTP抓包验证是一致的。 从网络上的反馈来看，GFW的这个行为应该从最早06, 07被发现后就没有停止过，只不过它现在似乎更加倾向于直接发送RST报文来断开连接，而不敢干更多欺骗行为导致被普通用户发现的概率降低了。
  
  GFW的行为不稳定，拦截效果很差，但破坏效果很强
  一个非常有趣的现象是，虽然Gmail没有发送成功email,但是sohu这里却受到来自gmail的信！而且有趣的是不是一封而是几十封，由于sohu webmail上我不知道如何看mail header,只能从时间来判断，应该是由于gmail的MTA在不断retry,有部分通讯在收到GFW的RST之前，发送已经完成了，所以sohu已经收下email, 而gmail受到了RST认为发送失败又再次重发…如此一来本来GFW妄图把这邮件通信掐断的，但反而导致其重复发送了多次 （虽然更多次的retry可能被掐断了）。
  在telnet抓包实验中也可以发现这个现象，也就是GFW不是每次都能表现出类似的行为，以及其掐断连接的时机似乎是不确定的。
  email是一种存储转发的体系，emailserver会在一定时间内按照一定的策略不断投递邮件，因此如果GFW不能100%以及足够快地响应，不但不能达到阴险目的，反而有时可能适得其反（比如上面的例子）。 然而其成事不足，败事是有余的，带来的恶果包括：浪费邮件服务器资源、浪费互联网资源，造成邮件重复、丢失或发送失败。
  
  GFW造成邮件发送的几种有害行为分析
  

                               
登录/注册后可看大图

  1. 发送失败，发送方收到失败通知
   当GFW能及时发送RST到双方的时候，表现为SMTP的协议通讯无法正常完成，这时候发送服务器多次尝试失败后会警告和告知发送者。
   一般邮件内容较大，或发送方网络带宽较弱比较容易出现这个现象。
  2. 发送成功但重复投递
   一种可能性是，A-B的SMTP会话已经完成，但连接尚未断开的时候，双方受到GFW的伪RST报文。 这时候A认为连接异常断开而发送失败。 B可能认为SMTP会话已经完成，忽略RST报文，而成功地保存此邮件。
   一般邮件较小，并且双方服务器网络和处理性能很强的时候可能出现这种情况。这种情况应该是国外往国内发比较容易发生。
   如前所述，这可能导致大量重发并且用户受到重复的邮件。
  3. 发送失败，发送方以为发送成功，但邮件丢失
   这时最有害的一种，但在目前的GFW机制下有可能发生：A-B SMTP会话已经完成，一般这时候双方的连接会正常断开。A或略了伪RST报文因为其认为连接已经正常断开，但B在正常断开前收到了RST报文而认为连接异常而放弃了本来已经接受的email.
     这种情况比较容易发生在双方网络和处理性能不一致，并且很大程度上取决于B的服务器实现方式。 我认为处理能力和通讯带宽不难么强的企业邮件服务器出现这种状况可能较大。

Tux

GFW过滤特定内容是众人皆知的秘密，用wireshark抓包分析也真是有空啊。

gmail就用https，其他的能用SSL都用SSL。

yuba

本文的重点不是监听、过滤，也不是敏感词，而是中间设备造成的误导

"不需要发送任何敏感关键词也可能导致被拦截"

"一个非常有趣的现象是，虽然Gmail没有发送成功email,但是sohu这里却受到来自gmail的信！而且有趣的是不是一封而是几十封"

罗宾

在04年底05年初，全国召开了一系列网络安全动员会，高层的目标是 要想监控电视等媒体一样控制中国互联网！
据说，目前中国在这方面的技术已经是世界一流了！

harry109

yuba

监视不是问题

普通邮件也会监视，但是如果他们看完了就扔了，这封信到不了收件人的手里，这就是问题了。

lwnxx

俺用gmail的pops，无惧。

yuba

原帖由 lwnxx 于 29-1-2009 11:57 发表

                               
登录/注册后可看大图

俺用gmail的pops，无惧。

"拿一个sohu.com和gmail.com的邮件互发邮件测试，一个其实没有意义当含有敏感词的邮件开始还能互相发送接受，几次后这些邮件就消失了，无论是用gmail发出，或是sohu mail发出，对方都不再能收到，而且没有错误，没有退信。"

xblues

天朝的问题是：一些事情无法可依，剩下的事情有法不依。皇帝带头，百姓跟着。整一个无法无天的民族。

chenyi1976

24小时监听是可能的，找几个民工三班倒就可以了，24小时录音。。。除非只针对某些选出来的号码或者随机抽取。。。

全部录音要考虑系统的能力问题。。。理论上保存全国的国内电话录音和短信也是可能的。。。但是每分钟都要产生海量的数据，需要多花多少钱才能搞定。。。

而且这种东西肯定防不住啊。。。现在大家都知道IP电话和skype的存在了。。。当然了，备份中国的网络的所有进出口数据也是可能。。。从理论上，备份一个地球也是可能的，只需要足够大的宇宙空间和物质就可以了。

tofd

恐怖的说 金盾？

lwnxx

国内的邮箱一般俺都不发信，还好朋友和同事都用gmail，要不然就是公司邮箱。

sina，baidu，163，最好少沾这些东西。平时上网Tor都是默认开着～～

原帖由 yuba 于 29-1-2009 13:15 发表

                               
登录/注册后可看大图

"拿一个sohu.com和gmail.com的邮件互发邮件测试，一个其实没有意义当含有敏感词的邮件开始还能互相发送接受，几次后这些邮件就消失了，无论是用gmail发出，或是sohu mail发出，对方都不再能收到，而且没有错误， ...

tkl888

GFW 是什么？

yuba

原帖由 lwnxx 于 29-1-2009 21:18 发表

                               
登录/注册后可看大图

国内的邮箱一般俺都不发信，还好朋友和同事都用gmail，要不然就是公司邮箱。

sina，baidu，163，最好少沾这些东西。平时上网Tor都是默认开着～～

这才是无惧的理由，“用gmail的pops”不是无惧的理由

熊猫阿三

原帖由 bullbrother 于 14-1-2009 18:05 发表

                               
登录/注册后可看大图

还是不懂，能否说得通俗点，哪些邮箱是安全的？yahoo、gmail不都是服务器在外的吗？具体应该如何操作呢

把那个一直使用https勾上。这样就不能查看到里面的内容了。

valpa

原帖由 yuba 于 13-1-2009 22:14 发表

                               
登录/注册后可看大图

上周和几位反垃圾邮件专家共进午餐时听他们谈到了目前仍然存在和中国墙内的邮件服务器沟通不畅的奇怪问题，其中一位已经做了不少实验和研究证明了的确是在网络上存在不明设备干扰邮件通信。想起来差不多一年多前曾经 ...

有用的建议，是LZ原创的吗？