Complaint——垃圾邮件举报率

　　当邮件接收者点击了“垃圾邮件举报”按钮后，垃圾邮件举报数将+1。邮件发送者的垃圾邮件举报率，是由邮件接收者在邮箱提供商进行了垃圾邮件举报的次数除以邮件发送的总数计算得出。

　　Blacklist——黑名单

　　一系列的IP地址，从这些IP上发送过未经同意的或用户不想受到的邮件。互联网服务供应商和企业使用黑名单来识别和过滤来自这些IP的邮件。

　　Bounce——反弹

　　邮件发送后被退回，包括软性弹回和硬性弹回。软性弹回指，邮件已送达对方邮件服务器；但无法送达至对方邮箱。一般造成的原因可能是，用户邮箱已满。软性弹回的邮箱可能会在下次重新发送。硬退信（hard bounce）是指下列任何情况之一造成的邮件无法送达：一、在一个域名中并不存在这样的用户。二、域名不存在。三、邮件信息被拒绝。由于邮件内容中含有某些被认为不能发送的程序或其他信息，邮件将无法被发送。

　　Domain——域

　　网络是基于TCP/IP协议进行通信和连接的，每一台主机都有一个唯一的标识固定的IP地址，以区别在网络上成千上万个用户和计算机。网络在区分所有与之相连的网络和主机时，均采用一种唯一、通用的地址格式，即每一个与网络相连接的计算机和服务器都被指派了一个独一无二的地址。为了保证网络上每台计算机的IP地址的唯一性，用户必须向特定机构申请注册，分配IP地址。网络中的地址方案分为两套：IP地址系统和域名地址系统。这两套地址系统其实是一一对应的关系。IP地址用二进制数来表示，每个IP地址长32比特，由4个小于256的数字组成，数字之间用点间隔，例如100.10.0.1表示一个IP地址。由于IP地址是数字标识，使用时难以记忆和书写，因此在IP地址的基础上又发展出一种符号化的地址方案，来代替数字型的IP地址。每一个符号化的地址都与特定的IP地址对应，这样网络上的资源访问起来就容易得多了。这个与网络上的数字型IP地址相对应的字符型地址，就被称为域名。

　　通俗的说，域名就相当于一个家庭的门牌号码，别人通过这个号码可以很容易的找到你。

　　DomainKeys Identified mail——域名密钥识别邮件（DKIM）

　　电子邮件验证标准——域名密钥识别邮件标准。DomainKeys Identified Mail的缩写。

　　DKIM由互联网工程任务组（IETF）开发而成；针对的目标是互联网最严重的威胁之一：电子邮件欺诈。

　　一般来说，发送方会在电子邮件的标头插入DKIM-Signature及电子签名资讯。而接收方则透过DNS查询得到公开金钥後进行验证。

　　Domain Name System——域名系统（DNS）

　　DNS是计算机域名系统（Domain Name System 或Domain Name Service）的缩写，它是由解析器以及域名服务器组成的。域名服务器是指保存有该网络中所有主机的域名和对应IP地址，并具有将域名转换为IP地址功能的服务器。

　　Email authentication——电子邮件认证

　　某种技术标准，帮助互联网服务供应商和其他接收方验证电子邮件发件人的身份。在使用中有三种认证标准：由AOL开发的发送方策略框架（SPF），由雅虎开发的域名密钥识别邮件标准——DomainKeys Identified Mail（DKIM），和由微软开发的Sender ID。

　　Feedback Loop

　　邮箱提供商在用户进行垃圾邮件举报后将信息返回，从而使邮件发送者将该用户从列表中删除。

　　Header——信头

　　E-mail中，所发文本（信体）之前需要加上信息头。Email的信息头包括关于发送者、接受者、主题、发送时间戳，所有媒体的接受时间戳以及最终接受者的邮件传送代理等等。在internet上传递的数据包，信息（负载）前需要加上信息头。信息头包括发送人和接收人的IP地址，对负载内容格式的通信协议管理以及其他格式信息。信息头格式被定义为网络协议的一部分。

　　IP address——IP地址

　　IP地址被用来给Internet上的电脑一个编号。大家日常见到的情况是每台联网的PC上都需要有IP地址，才能正常通信。一个IP地址可以是动态的，这意味着每次发送邮件的地址都不一样，也可以是静态的，它不会改变。建议商业电子邮件发件人使用静态的IP地址来进行邮件发送。.

　　MTA（Mail Transfer Agent）

　　用于收发Mail的程序一般统称为邮件用户代理MUA（Mail User Agent）。将来自MUA的信件转发给指定的用户的程序一般被称之为因特网邮件传送代理MTA（Mail Transfer Agent）。在linux/Unix系统上，最著名的MTA有sendmail、qmail等程序。

　　MX记录

　　MX（Mail Exchanger）即邮件交换记录，用于电子邮件系统发邮件时根据收信人的地址后缀来定位邮件服务器。MX记录是和某一域名相关的，确保了这封邮件正确的遵守了简单邮件传输协议，即SMTP。

　　Open Relay——开放转发

　　Open-Relay（开放转发或匿名转发）是指由于邮件服务器不理会邮件发送者或邮件接受者的是否为系统所设定的用户，而对所有的入站邮件一律进行转发（RELAY）的功能。通常，若邮件服务器的此功能开放，则我们一般称此邮件服务器是Open-Relay的。

　　Reverse DNS——反向域名解析

　　反向域名解析与通常的正向域名解析相反，提供IP地址到域名的对应，反向域名格式如：X.X.X.in-addr.arpa。目前很多网络服务提供商要求访问的IP地址具有反向域名解析的结果，否则不提供服务。

　　反向域名解析系统(Reverse DNS)更重要的功能确保适当的邮件交换记录是生效的。这是一个最常见的问题（尤其是国外的邮件系统更是如此）。更多的电子邮件提供商是使用反向域名解析系统查找来确认信息是从哪里来的。由于这种方式的使用变得更广泛，那些没有正确地发布反向域名解析系统信息的域可能更常发生邮件的退回。

　　Sender ID

　　由微软开发的，将电子邮件发送者的、的“发件人”地址和IP地址进行比较，以验证它是否来自该域的授权发送电子邮件的IP地址的电子邮件认证标准。

　　Shared IP Address——共享IP地址

　　多个发信人使用一个IP。在这个IP的信誉为基础上所有发件人使用它的总体性能。

　　SPF（Sender Policy Framework）

　　一种以IP地址认证电子邮件发件人身份的技术，是非常高效的垃圾邮件解决方案。接收邮件方会首先检查域名的SPF记录，来确定发件人的IP地址是否被包含在SPF记录里面，如果在，就认为是一封正确的邮件，否则会认为是一封伪造的邮件进行退回。

　　Simple Mail Transfer Protocol——SMTP：简单邮件传输协议

　　SMTP是一种TCP协议支持的提供可靠且有效电子邮件传输的应用层协议。SMTP是建立在TCP上的一种邮件服务，主要用于传输系统之间的邮件信息并提供来信有关的通知。

　　Spam filter——垃圾邮件过滤器

　　它使用大量的预设规则检查垃圾信，这些规则会检查所有收到邮件的标头，内文，以及送信者。目的是为了邮件被发送到收件箱之前把垃圾邮件识别出来。

　　Spam Trap——垃圾邮件陷阱

　　也被称为“蜜罐”，互联网服务供应商创建的邮件地址，专门吸引垃圾邮件发送者。在许多情况下，网络爬虫会收集到这些邮件地址。若向这个地址发送邮件，邮箱提供商会判定你是垃圾邮件发送者。

　　Suppression List——退信列表

　　这个列表中的邮件地址下次将不会再发送，因为收件人曾经选择取消订阅或者垃圾邮件举报。

　　Unknown User——用户名不存在（User not found）

　　硬退信的一种，指在该域名下找不到此收件人。

　　IP白名单——Whitelist

　　在发送邮件时可信的IP地址和域，发信时可绕过垃圾邮件过滤器，成功送达。

　　WHOIS记录

　　用来查询域名对应的IP以及所有者等信息的传输协议。简单说，whois就是一个用来查询域名是否已经被注册，以及注册域名的详细信息的数据库（如域名所有人、域名注册商）。通过whois来实现对域名信息的查询。早期的whois查询多以命令列接口存在，但是现在出现了一些网页接口简化的线上查询工具，可以一次向不同的数据库查询。网页接口的查询工具仍然依赖whois协议向服务器发送查询请求，命令列接口的工具仍然被系统管理员广泛使用。whois通常使用TCP协议43端口。每个域名/IP的whois信息由对应的管理机构保存。

　　利用DNS服务器进行DDOS攻击

　　正常的DNS服务器递归查询过程可能被利用成DDOS攻击。假设攻击者已知被攻击机器的IP地址，然后攻击者使用该地址作为发送解析命令的源地址。这样当使用DNS服务器递归查询后，DNS服务器响应给最初用户，而这个用户正是被攻击者。那么如果攻击者控制了足够多的肉鸡，反复的进行如上操作，那么被攻击者就会受到来自于DNS服务器的响应信息DDOS攻击。

　　攻击者拥有着足够多的肉鸡群，那么就可以使被攻击者的网络被拖垮至发生中断。利用DNS服务器攻击的重要挑战是，攻击者由于没有直接与被攻击的主机进行通讯，隐匿了自己行踪，让受害者难以追查原始的攻击来。

　　DNS缓存感染

　　攻击者使用DNS请求，将数据放入一个具有漏洞的的DNS服务器的缓存当中。这些缓存信息会在客户进行DNS访问时返回给用户，从而把用户客户对正常域名的访问引导到入侵者所设置挂马、钓鱼等页面上，或者通过伪造的邮件和其他的server服务获取用户口令信息，导致客户遭遇进一步的侵害。

　　DNS信息劫持

　　TCP/IP体系通过序列号等多种方式避免仿冒数据的插入，但入侵者如果通过监听客户端和DNS服务器的对话，就可以猜测服务器响应给客户端的DNS查询ID。每个DNS报文包括一个相关联的16位ID号，DNS服务器根据这个ID号获取请求源位置。攻击者在DNS服务器之前将虚假的响应交给用户，从而欺骗客户端去访问恶意的网站。假设当提交给某个域名服务器的域名解析请求的DNS报文包数据被截获，然后按截获者的意图将一个虚假的IP地址作为应答信息返回给请求者。原始请求者就会把这个虚假的IP地址作为它所请求的域名而进行访问，这样他就被欺骗到了别处而无妨连接想要访问的那个域名。

　　DNS重定向

　　攻击者将DNS名称查询重定向到恶意DNS服务器上,被劫持域名的解析就完全在攻击者的控制之下。

　　ARP欺骗

　　ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARP缓存中的IP-MAC条目，造成网络中断或中间人攻击。ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP病毒，则感染该ARP病毒的系统将会试图通过”ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

　　ARP欺骗通常是在用户局网中，造成用户访问域名的错误指向。如果IDC机房也被ARP病毒入侵后，则也可能出现攻击者采用ARP包压制正常主机、或者压制DNS服务器，以使访问导向错误指向的情况。

　　本机劫持

　　本机的计算机系统被木马或流氓软件感染后，也可能会出现部分域名的访问异常。如访问挂马或者钓鱼站点、无法访问等情况。本机DNS劫持方式包括hosts文件篡改、本机DNS劫持、SPI链注入、BHO插件等方式。

　　近日，Websense的ThreatSeeker网络成功检测出一起大范围的网络攻击，并对其进行了有效拦截。此次攻击活动借助震惊全球的波士顿马拉松爆炸事件，利用人们对该事件的关注，进行电子邮件传播，企图将不知情的收件人引至恶意网站，通过入侵他们的电脑进行犯罪活动，获取巨额利益。

　　Websense安全专家运用高级威胁的7阶段方法对此次攻击活动进行了分析，并详细讲述了犯罪分子是如何欺骗用户并入侵他们的电脑的。同时，Websense安全专家指出，破坏这7个阶段中的任何一个环节，都可以保护潜在的受害者。

　　第一阶段：侦察

　　同其它许多基于热门话题或新闻事件的攻击活动一样，这次攻击的目的是要进行大范围的传播，而非针对特定个人或组织。鉴于此，犯罪分子只需选定一个全球性的新闻事件（例如这次的波士顿马拉松爆炸案），然后将他们设计的诱饵发送给尽可能多的人。

　　第二阶段：诱饵

　　犯罪分子充分利用了人们的好奇心，特别是重大事件发生之后，他们精心设计的诱饵就是要尽可能多地吸引受害者。Websense安全实验室在监测此次电子邮件攻击的过程中发现，犯罪分子发送的电子邮件采用了诸如“最新消息——波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案”、“波士顿马拉松赛爆炸案视频”等主题，向收件人明确表示该邮件中包含与爆炸事件相关的信息或新闻。而且多数情况下，邮件正文中只有一个形如http:///news.html或是http:///boston.html的简单URL，并没有更多的细节或信息。在这种情况下，收件人就会无意识地点击恶意链接。

　　第三阶段：重定向

　　在点击了链接之后，不知情的受害者就被犯罪分子引至一个包含此次爆炸案YouTube视频的页面，与此同时，他们被iframe重定向到一个漏洞页面。

　　第四阶段：利用漏洞工具包

　　通过对此次攻击活动中出现的一系列恶意URL进行的分析，Websense安全专家发现，犯罪分子使用RedKit 漏洞利用工具包，并且利用OracleJava7安全管理器的旁路漏洞，向我们的分析电脑上发送文件。

　　第五阶段：木马文件

　　在此次攻击活动中，犯罪分子并没有采用包含恶意代码并且可以躲过杀毒软件检测的木马文件，而是选用了一个Win32/Waledac家族的下载器，用来下载更多的恶意二进制文件。

　　 在此次攻击中，两个名为Win32/Kelihos和Troj/Zbot的僵尸病毒被下载并安装到被感染电脑上，以便犯罪分子将被感染电脑加入到其僵尸网络中。

　　第六阶段：自动通报/第七阶段：数据窃取

　　一旦被感染的电脑被网络罪犯控制，病毒则进行自动通报，被感染电脑就会发出远程命令，完成数据的发送与接收。对被感染电脑的常见威胁包括数据收集和泄露，如财务和个人信息窃取。其它危害包括发送未经许可的电子邮件或被迫参与分布式拒绝服务攻击（DDoS攻击）。