上个月的 25 号,我被迫经历了一场邮件轰炸,我的邮箱地址被别人恶意用来订阅了大量邮件列表。那晚发生的一切,至今让我记忆犹新,也是我第一次真切感受到自己徘徊在网络安全风险的边缘。起初只是一条陌生的订阅确认邮件,但很快,类似的邮件就如潮水般涌来,几乎塞满了我的收件箱。那种感觉就像是有人拿着你的钥匙,到处替你报名参加各种你从未想加入的俱乐部,而你只能眼睁睁看着通知一条接一条地弹出,却无力阻止。我开始意识到,这绝不是某个系统的自动失误,而是有人在故意利用我的邮箱地址进行骚扰,甚至可能藏着更深的目的。

大概是晚上快十一点的时候,我收到了第一条来自瑞典某科技大学 GNU 社团的邮件申请确认。这让我非常困惑,因为我并没有用这个邮箱订阅过任何类似的邮件列表。上一次我主动订阅邮件列表,还是在参与 LKML(Linux 内核邮件列表)的时候,那确实是有实际技术需求的。记得那时候一晚上就能收到两千多封邮件,但每一封都是我需要的技术讨论。而眼前这些订阅确认,完全来自我从未接触过的组织。从瑞典科技大学到各种 GNU 相关的列表,这些邮件有一个共同特点:它们都是正规的邮件列表程序自动发出的,说明确实有人用我的地址提交了订阅请求,而邮件系统只是按规则响应。

仔细查看邮件信息后,我发现了一个更令人不安的细节:这些用于订阅的 IP 地址,居然每一个都不一样。有的来自新加坡,有的来自香港特别行政区,分布非常分散。这排除了某个固定服务器出错的可能性,也说明攻击者很可能动用了代理池或者僵尸网络来掩饰真实来源,很明显这很难查。这些列表的管理员显然并不知情,他们只是正常处理了一个又一个看似合法的订阅请求。我当时真的希望,等这场闹剧结束后,对方能够意识到自己给别人带来了多大的麻烦——不仅是我这个收件人,也包括那些无辜被牵扯进来的邮件列表维护者,他们的系统资源同样被滥用了。

为什么这次我如此谨慎呢?因为我发现这些邮件的收件人居然就是我的 Q 邮地址,而不是被转发或 BCC 的。这意味着对方准确地知道我的主用邮箱,而不是随机猜测。于是我立刻用 AI 助手查询了应对方式,它建议我去一些公益网站检查自己的邮箱是否曾在数据泄露事件中出现过。我赶紧跑了一遍,结果却是“啥也没有”——我的邮箱从未出现在任何已知的泄露数据库中。这进一步缩小了可能性:如果我的信息不是从公开的泄露渠道流出的,那对方要么是通过其他方式获取的,要么就是本就认识我的人。

我很快明白了,这次事件要么是熟人作案,要么就是有人通过 Q 邮的数列规律进行的随机轰炸。但考虑到邮箱地址并非简单递增的数字,后者的概率其实很低。如果是熟人作案,我心里很快就浮现出了一个人的名字,只是我实在不敢相信会是他。这位朋友平时给人的印象非常儒雅随和,写出来的技术文章内容也很扎实,看起来像是那种总是走在技术前沿、值得信任的人。怎么可能是他呢?但就目前我所掌握的信息和怀疑范围来说,他是唯一能对得上动机和条件的人。尤其是,我注意到他不久前还特意来看过我的 QQ 空间——这个动作本身没什么,但在邮件轰炸事件发生后回想起来,就显得有些微妙了,像是凶手会回到案发现场。

这场轰炸一直持续到午夜 12 点,我的邮箱客户端还在不停地发出新邮件提醒,滴滴响个不停。我心里很清楚这样下去的后果是什么:最直接的就是我的邮箱会被订阅邮件彻底塞满,导致真正重要的邮件无法正常收到。更让我担心的是,如果这些订阅邮件中包含较大的附件,而我的邮件客户端又设置了自动下载,那我家里的网络流量就会被白白下载刷掉。这勾起了我一段非常不愉快的回忆。曾经我用自己的树莓派在家里部署了一个静态网站的图床,因为内容比较热门,结果被爬虫疯狂抓取图片。你能想象吗?一个普通家庭一个月的流量,几乎被那些爬虫吃掉了 200 多 GB 的上传和下载,差点把家里的宽带套餐都跑超了。

但攻击者似乎忽略了一件很根本的事情,那就是各大邮件服务商早就针对这类骚扰行为设计了防御机制,其中最简单也最有效的就是“黑名单”功能。只要我对着这些烦人的订阅邮件点一下“拒收”或“举报为垃圾邮件”,那么发送这些邮件的列表地址很快就会被服务商拉入黑名单。一旦进了黑名单,后续哪怕对方再用我的地址去订阅,服务商也会在服务器端直接拦截并删除这些邮件,根本不会再出现在我的收件箱里。换句话说,这场轰炸其实是徒劳的,它除了在短时间内恶心我一下之外,并不会造成持续性的实质伤害。我甚至庆幸这不是手机号,因为我可不想再收到 72 块的每月超额账单。

第二天早上起床后,MacBook Air 的邮箱已经彻底安静了,一夜之后没有任何新邮件从这进来。结果也很显然,那些被我用拒收和举报功能处理过的邮件列表地址,大概率已经被我的邮件服务商拿去训练反垃圾模型了。更有意思的是,当以后有新的、真正想订阅那些列表的用户去提交申请时,他们可能根本收不到任何订阅确认邮件。因为整个邮件列表的地址已经被主流服务商标记为了高风险来源。甚至连社团内部的管理员,都不一定能收到新成员的申请通知。到头来,这场恶意轰炸真正伤害到的,反而是那些被误解为“帮凶”的正当邮件列表的运营者。这不得不说是一种很讽刺的结局。