Не все заголовки писем могут быть подделаны. Как только сообщение электронной почты получено доверенным сервером, который предоставляет вашу службу электронной почты, заголовки Received: являются надежными.
Рассмотрим эту строку Received: headers:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
За самым нижним заголовком Received: следует тело сообщения, которое включает заголовки To: и From:, которые могут быть подделаны. Но давайте следуем за заголовками Received:
Первый заголовок указывает, что сервер с IP-адресом 10.0.0.4 с именем superuser.com отправил сообщение на сервер mail1.stackoverflow.com. Зная, что в этом случае следует ожидать обоих этих имен, заголовок Received: указывает на внутреннюю пересылку в суперпользовательском комплексе почтовых серверов.
Следующий заголовок Received: указывает, что mail1.stackoverflow.com по адресу 69.59.196.214 переправил сообщение на mx.google.com. Мы можем подтвердить, что общедоступным IP-адресом mail1.stackoverflow.com является 69.59.196.214, и, поскольку Google является моим поставщиком электронной почты, я ожидаю, что почтовый обменник (mx) на google.com будет получать мое сообщение. Это первый контакт с моим почтовым доменом (гугл), который невозможно подделать. Конечно, под этим заголовком может быть загрузка поддельных заголовков Received:, поэтому найти первый надежный заголовок Received: может быть непросто.
Последние два заголовка Received: показывают чистые 10 адресов, поэтому они пересылаются в домене google. Это тоже не неожиданно.
Злой почтовый сервер может вставить много поддельных заголовков Received: в поток, но всегда есть такой, который приходит из надежного источника, в данном случае mx.google.com. Этот первый доверенный заголовок Received: указывает публичный IP-адрес, который фактически переадресовал электронную почту. Если этот IP-адрес является подозрительным или не соответствует указанному доменному имени, вы должны подозревать все содержимое сообщения.
Вы можете прочитать заголовки Received: в большинстве почтовых клиентов с помощью команды "просмотреть исходный код". Требуется немного умения, чтобы читать снизу вверх и находить первый надежный заголовок Received:, но как только вы найдете его, проверка будет быстрой и полезной.
