近期接到了一个小生意，帮助一个人生教练搭建她的个人网站。她已经在 Bluehost 上有了付费订阅和域名，需要我帮忙 setup 一些页面和文章。

在 WordPress 的“站点管理员邮箱”这一栏，我随便填入了一个在自己的邮箱地址（实际上是不存在的），并在设置 smtp 发件服务器信息的栏目暂时留空。

两个星期之后，我惊神奇般的收到了发自“我自己的”一封邮件。收到邮件的时候我是感觉到非常疑惑的，因为我从没有提供过 SMTP 等登录信息，所以这个 wp-mail-smtp 插件是如何伪装成一个自己并没有发信信息的邮件地址来发表信息的呢？

我最开始使用了默认的 Apple Mail 来试图找出一些线索，然而这个app并没有提供查看邮件头文件，查看发件信息或签名信息功能，所以我安装了 ThunderBird 用于查看详细信息。

由 DKIM 签名可见，这封邮件的签名信息并不是来自于 chrisli.me 及其子域，而是来自另外一个域名。我尝试在 WordPress 中再次触发了这封邮件，并将其发送至 mail-tester 查看其元信息

然后，我将分析信息复制给 ChatGPT 让其为我分析邮件元信息：

到此，我已经几乎理解了这封“伪造邮件”的来龙去脉和他能被成功发出的原因。接下来，我尝试着手解决这一问题，chatgpt给了我以下解决方案

同时，我将 ThunderBird 设置成为了我的默认邮件应用，并安装了 dkim 检查插件，这样一来每次遇到签名不匹配的邮件我都可以对其保持警惕，并人工审核此类消息的可信程度。

这对于许多使用企业邮箱的站长而言是非常重要的警醒，因为国内的几个邮件服务商（阿里云、企业微信等）都会在自己的配置文档中写出 spf -all 这类对于发件人及证书验证要求极低的域名 txt 解析，这很容易导致邮件地址冒用。

除此之外，邮件地址冒用的邮件还有一个较大的特征，即回信地址与发件人不符合，甚至是来自两个完全不同的域。这是由于邮件发送是 dns 正向解析的过程，相比于伪造发件人，想要截获或伪装“收件人”是两个完全不同的技术难度（几乎不太可能）。同时，如果伪造者使用了被盗的邮箱，为了防止邮箱的真实使用者发现邮箱被盗用和采取措施（如更改密码），通过在邮件头中写入自己的 reply to 地址会大大提高接受到受害者邮件回信的概率。

地址伪造相比于普通的钓鱼诈骗，具有极高的迷惑性。通常大部分人见到发件人来自自己所信任的组织（域）都会降低戒备心理，这使得传统的防骗措施（验证发件人域）等失去作用。

推荐大家尝试使用 ThunderBird 或其他提供类似专业邮件分析功能的邮件客户端进行收信，并加强组织信箱的 dns 记录安全性，使用更严格的发件服务器和邮件签名地址验证规则来规避自己的域名被盗用发信。