在上一篇文章中,我详细讲述了自己遭遇了一场突如其来的邮件轰炸。大量邮件订阅确认如潮水般涌入我的邮箱,发送时间极为密集,几乎让正常通信完全瘫痪。尽管目前尚未最终确定发动这场攻击的幕后凶手,但我起初的直觉十分明确地指向了那位平时表现得儒雅随和、说话轻声细语的朋友。原因很简单:他确实掌握我的 QQ 邮箱地址,而且我们之间近期有过一些不大不小的分歧。然而,随着我逐步回忆和梳理信息,这种看似牢固的怀疑开始出现裂痕。

但是现在,我发现一个更大的问题——我竟然把那个 QQ 邮箱地址光明正大地写进了自己网站的关于页面里。这意味着,攻击者很可能根本不是我的熟人,而是一个与我毫无交集的陌生人。更严重的是,我的博客在所属领域里算是一个热门站点,每天都有大量来自搜索引擎的爬虫光顾。这些爬虫不仅抓取文章内容,也会系统地提取页面上的任何电子邮箱地址,然后汇入垃圾邮件发送者的数据库。换句话说,那个看似指向熟人的证据链,其实从一开始就可能是误导。

于是在 26 号那天,我果断动手修改了关于页面的全部设置,彻底删除了任何与 QQ 邮箱有关的显示信息。所有原本会暴露该邮箱的地方,无论是联系方式栏还是历史记录中的引用,都被统一替换成了全新的、专用于公开联络的域名邮箱地址,看起来更加安全且正式。我想好了,从今往后,除了在某些不得不使用 QQ 邮箱进行注册或验证的网站之外,日常生活中收发邮件、联系朋友、订阅服务,我基本上都不会再动用那个已经暴露的 Q 邮了。

如果你看到了这篇文章,最好也立刻检查一下自己网站上的邮箱地址是不是处于公开暴露的状态。很多独立博客的作者都喜欢在页脚、关于页面或者文章末尾留下自己的联系方式,方便读者找到自己。但大多数人并不知道,这些看似贴心的做法其实暗藏风险——真正安全的做法是把邮箱隐藏在卡片交互或者联系表单后面,让爬虫无法直接抓取明文地址,而像我现在这样直接写出来的方式,是最容易被攻击者利用的。

其实我早应该遭受这次攻击的了,只是之前 Cloudflare 提供的邮箱保护功能一直在替我默默挡箭。它通过 JavaScript 对邮箱地址进行动态渲染,让普通爬虫看到的只是一串无法识别的代码。然而百密一疏,我因为觉得这个功能麻烦关闭了这项保护,最终导致防线失守。所以我在此郑重提醒各位:有一伙人正在大规模地从搜索引擎的结果中扫描和收集公开邮箱,然后发动垃圾轰炸,你绝不可以掉以轻心。

很显然,攻击者依然有可能混在我的熟人当中。那个原本让我深信不疑的“儒雅随和的朋友”,他的嫌疑虽然因为邮箱公开这个新发现而被大大减弱,但并没有完全洗清。毕竟他掌握我 Q 邮这一事实依然存在,只是不再是唯一的解释路径了。现在情况总算被理清了一部分,线索指向了两个截然不同的方向:一边是社交圈内可能存在的敌意,另一边是无差别的自动化攻击。接下来,我能做的就是交给系统的黑名单机制去处理。至于真相如何,就交给下一个明天吧。