Rspamd中基于发件人与收件人相同特征的钓鱼邮件检测增强方案

背景分析

在电子邮件安全领域，钓鱼攻击是最常见的威胁之一。近期Rspamd社区提出了一项针对特定钓鱼手法的检测增强方案：当检测到邮件发件人(From)和收件人(To)地址完全相同时，应当触发特殊的评分机制。这种手法在钓鱼攻击中较为典型，攻击者通过伪造发件地址使其与收件人相同，试图降低受害者的警惕性。

技术原理

Rspamd作为高性能的垃圾邮件过滤系统，其核心机制是基于多维度规则对邮件进行评分。系统内置的TO_EQ_FROM符号正是用于检测发件人和收件人地址相同的场景。该符号的工作原理是：

1. 解析邮件头中的From和To字段
2. 对地址进行规范化处理（去除显示名、统一大小写等）
3. 执行精确字符串匹配
4. 当匹配成功时触发TO_EQ_FROM符号

实施方案

在Rspamd的配置中，管理员可以通过以下方式增强对此类钓鱼邮件的检测：

1. 修改local.d/groups.conf文件，确保to_from组处于激活状态
2. 在local.d/metrics.conf中添加或调整相关评分：

   symbol {
     name = "TO_EQ_FROM"
     score = 3.0 # 建议评分值，可根据实际环境调整
     description = "发件人与收件人地址相同"
     group = "to_from"
   }
   

实际应用建议

1. 评分策略：建议设置中等强度的正分数(如3-5分)，既不会过度影响正常邮件，又能有效识别可疑邮件
2. 白名单处理：某些合法场景（如邮件列表、自动回复）可能产生类似特征，建议通过whitelist模块进行例外处理
3. 组合检测：结合其他反钓鱼特征（如可疑链接、域名仿冒等）进行综合判断
4. 日志监控：定期检查触发该规则的邮件样本，优化评分策略

技术优势

1. 低误报率：正常邮件中发收件人相同的情况较为罕见
2. 高性能：地址比对属于轻量级字符串操作，几乎不影响系统性能
3. 早期检测：该特征在邮件解析初期即可获取，有利于实现快速判断
4. 兼容性强：可与其他反钓鱼模块协同工作，形成多层防御

扩展思考

对于更复杂的攻击变种，如：

• 使用相近域名(padding@example.com → padding@exarnple.com)
• 子域名欺骗(padding@sub.example.com → padding@example.com)

建议进一步结合Rspamd的模糊哈希技术和域名相似度检测功能，构建更完善的防御体系。同时，对于企业环境，可以考虑定制化规则，将内部域名间的此类通信纳入例外管理。