55

Недавно кто-то спросил меня, является ли полученное е-мейлом письмо спамом. Похоже, он был из известного банка (Belfius.be) в Бельгии. Он заявил, что некоторая информация устарела и нуждается в пересмотре. Конечно, первое, что приходит на ум, - это спам. Зачем?

  • Куча ошибок в языке, плохие предложения ...
  • Ссылка, которая была предоставлена, была злой ссылкой: она выглядела так, как будто она ведет на веб-сайт belfius (что-то вроде belfius.be/revision1285). Но при наведении на него, вы могли видеть, что это действительно относится к совершенно другому сайту. Домен .ca даже.

Теперь я сразу сказал: « Не нажимайте на эту ссылку, но что-то заставило меня задуматься. Электронный адрес отправителя: noreply@belfius.be, а belfius.be - официальный сайт банка. Итак, как это может быть? Как они могут подделать свой адрес электронной почты?

2 ответа2

78

Просто. Отредактировав заголовок From: при отправке письма. Это известно как "Подмена электронной почты". Заголовок From: легко редактируется, если вы отправляете почту через PHP или что-то еще, никаких хитростей не требуется. Что не является редактируемым, тем не менее, это IP-адрес / доменное имя сайта, с которого он был создан. Если вы проверяете текстовое электронное письмо (в Gmail перейдите в меню рядом с кнопкой ответа и "покажите оригинальное сообщение"), заголовки Received: содержат всю информацию о своем пути (чем ниже заголовок Received: далее обратно в цепочку электронной почты это). Обратите внимание, что электронное письмо, проходящее через несколько переходов, может также иметь поддельные заголовки. Вам нужно идти вниз, видя, каким заголовкам (то есть сайтам) вы доверяете. Каждый заголовок будет сказать что - то вроде Полученное: от abc.com (IP - Received: from abc.com (IP address) by something.google.com (IP) (если у вас есть Gmail - в противном случае будет by - разному). Теперь этот заголовок был написан by частям. Начните сверху, первые несколько заголовков Received: не будут иметь from / by . Найдите первый с теми. Его будет by принадлежности к вашей электронной почты поставщика - который вы доверяете. Посмотрите, доверяете ли вы from , и если да, переходите к следующему заголовку Received: (которому вы теперь доверяете) и так далее. Если вы не доверяете заголовку между ними, всем нижеуказанным нельзя доверять - возможно, они были подделаны.

Тем не менее, Gmail обычно обнаруживает спуфинг и помещает в электронную почту что-то вроде «abc@def.com via ghi@jkl.com». Обратите внимание, что существуют совершенно законные способы подмены электронной почты - многие списки рассылки подделывают электронную почту для более удобного использования. Так делают определенные форумы / доски объявлений. Здесь они отправляют письмо, чтобы оно выглядело так, как будто оно пришло с оригинального плаката. В заголовке Reply-To: указан список / webapp / любой другой идентификатор электронной почты, поэтому ответ на него по умолчанию будет идти в список (/ etc). Затем список может работать с ним так, как он считает нужным - он может проверять наличие спама, может быть приостановлен на модерацию и т.д. Когда он захочет отправить его, он подделает ваш адрес и отправит его всем в списке (что это именно то, что вы хотели - чтобы иметь возможность проводить обсуждения на основе электронной почты без использования "Ответить всем" и вести список контактов для копирования-вставки).

Некоторые "законные" спуферы устанавливают для заголовка Sender: свой собственный идентификатор. Это должно означать «Отправлено Sender от имени From ». Обратите внимание, что наличие заголовка Sender: ничего не значит, когда речь идет о "нелегитимной" подделке - этот заголовок также подделывается. Как я уже сказал, единственный способ проверить это через заголовки Received .

11

Тривиально использовать поддельный адрес «от». Путь новичка - просто отредактировать настройки в своем почтовом клиенте и изменить адрес по умолчанию. Многие поставщики услуг отправят электронное письмо с поддельным полем, потому что почтовый сервер не знает, что такое настоящий.

Спаммеры используют специализированное программное обеспечение и всегда используют фальшивые адреса.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .