Можно ли узнать создателя или местонахождение создателя электронного письма, прочитав только необработанные данные электронного письма, используя, например, BT YAHOO WEBMAIL? Речь идет о электронных письмах, которые создаются кем-то, кто взломал учетную запись, а не ее владельцем. Расхождения во времени были замечены в необработанных данных по сравнению с отметкой времени в реальных электронных письмах, но для любительских глаз это все, что может быть экстраполировано до сих пор.
1 ответ
Вам нужно прочитать заголовок письма снизу вверх.
Received:
поле (полях) будет показан путь, по которому электронная почта отправлялась в конечный пункт назначения, а также все промежуточные серверы, которые прошли электронную почту. Фактический отправитель электронной почты находится в первом (снизу) поле Received:
Поле From:
не всегда можно доверять, поскольку его можно подделать на некоторых плохо настроенных отправляющих серверах, чтобы выявить, что действительно использовалось в протоколе связи вместо
MAIL FROM:
можно исследовать поле заголовка: Received-SPF:
будет раскрыта электронная почта реального отправителя в подполе: envelope-from=
(Конечно, это поле будет доступно только в том случае, если на сервере обращаются за проверкой SPF, что предотвращает подделку писем).
Это поле Received-SPF:
также указывает состояние проверки SPF, прошла ли она проверку, подтверждают, что электронная почта действительно отправлена с почтового сервера, который владелец домена уполномочил отправлять по электронной почте.
Если сервер отправителя заботится о своих пользователях, также может существовать поле DKIM:
которое представляет собой механизм цифровой подписи и целостности, который гарантирует, что электронная почта действительно была отправлена через авторизованный почтовый сервер, а само сообщение не было подделано. (Он работает примерно так же, как HTTPS, но используется только для защиты целостности оригинальной электронной почты, поэтому, если какой-нибудь посредник попытается что-то изменить в электронной почте, криптография с открытым ключом вызовет ошибку)
Эти поля являются наиболее полезными для идентификации реального отправителя, а также для проверки того, что электронная почта не была подделана.