Как узнать из заголовка письма, является ли адрес отправителя легитимным

5382
Rahul Sinha

Я получил электронное письмо от Desk-017c@larsentoubro.com, в котором говорится, что я получил интервью для менеджера по оказанию помощи (точные слова были - Результат вашего заявления на должность помощника менеджера. Я хотел бы пригласить вас на собеседование. ), и он пришел с приложенным файлом PDF.

Я знаю, что это была подделка, потому что меня попросили представить деньги до собеседования.

Заголовок электронного письма показан ниже. Как узнать из этого заголовка, откуда на самом деле пришло письмо и является ли оно спамом?

Delivered-To: sinharahul58@gmail.com Received: by 10.107.155.193 with SMTP id d184csp3229700ioe; Wed, 24 Jun 2015 05:55:56 -0700 (PDT) X-Received: by 10.70.90.133 with SMTP id bw5mr80267365pdb.85.1435150556549; Wed, 24 Jun 2015 05:55:56 -0700 (PDT) Return-Path: <info@lntinfotech.biz> Received: from sg2plwbeout19-1.prod.sin2.secureserver.net (sg2plwbeout19-1.prod.sin2.secureserver.net. [182.50.144.34]) by mx.google.com with ESMTPS id da5si39769286pbc.20.2015.06.24.05.55.55 for <sinharahul58@gmail.com> (version=TLSv1.2 cipher=RC4-SHA bits=128/128); Wed, 24 Jun 2015 05:55:56 -0700 (PDT) Received-SPF: neutral (google.com: 182.50.144.34 is neither permitted nor denied by best guess record for domain of info@lntinfotech.biz) client-ip=182.50.144.34; Authentication-Results: mx.google.com; spf=neutral (google.com: 182.50.144.34 is neither permitted nor denied by best guess record for domain of info@lntinfotech.biz) smtp.mail=info@lntinfotech.biz Received: from localhost ([182.50.144.112]) by sg2plwbeout19-1.prod.sin2.secureserver.net with bizsmtp id kCvv1q0092Rj2se01Cvv9l; Wed, 24 Jun 2015 05:55:55 -0700 X-SID: kCvv1q0092Rj2se01 Received: (qmail 41764 invoked by uid 99); 24 Jun 2015 12:55:55 -0000 Content-Type: multipart/mixed; boundary="=_b169b0435b8622296c62a715d3e6f635" X-Originating-IP: 106.219.63.197 User-Agent: Workspace Webmail 5.14.3 Message-Id: <20150624055553.5ceda2619095e240c253dad68c059c9c.541a6e07e4.wbe@email19.asia.secureserver.net> From: "Larsen & Toubro Ltd \(India\)" <Desk-017c@larsentoubro.com> X-Sender: info@lntinfotech.biz Reply-To: "Larsen & Toubro Ltd \(India\)" <info@lntinfotech.biz> To: Subject: Result Date: Wed, 24 Jun 2015 05:55:53 -0700 Mime-Version: 1.0 --=_b169b0435b8622296c62a715d3e6f635 Content-Transfer-Encoding: quoted-printable Content-Type: text/html; charset="utf-8"

Я знаю, что это спам, но я хочу понять, какая часть заголовка означает, что это спам.

3
См. X-Sender: info@lntinfotech.biz & От: "Ларсен и Тубро Лтд \ (Индия \)" Ganesh R. 8 лет назад 1
Также избегайте открывать вложения от таких писем Ganesh R. 8 лет назад 0
@GaneshR. - Поставьте это в качестве ответа, чтобы получить репутацию, и постер может пометить его как ответ. kazoni 8 лет назад 0
Привет Рахул Синха. Я удалил ссылку на вложение в формате PDF, потому что мы не знаем, является ли она вредоносной, и наличие ссылки потенциально подвергает риску ничего не подозревающих пользователей нашего сайта. Хотя хорошо, что вы включили всю необходимую информацию, я не вижу необходимости включать приложение для ответа на ваш вопрос. a CVn 8 лет назад 1
Я также понял, что это не имеет отношения к вопросу. Благодарю. Rahul Sinha 8 лет назад 0
@GaneshR. спасибо, я понимаю вашу точку зрения Rahul Sinha 8 лет назад 0

1 ответ на вопрос

4
DavidPostill

How can I tell from an email's headers if the sender address is legitimate?

Many of these email headers can be (and usually are) forged by spammers when they send their spam.

  • "From:" address
  • Some "Received:" headers can also be forged.

SMTP message spoofing shows just how easily this can be done using an open (unsecured) relay mail server.

How can I analyze the email headers?

There are many tools to analyze email headers, some of which can show if any of the ip addresses in the chain are on spam blacklists.

These tools can also tell if any of the "Received:" headers in the chain are forged.

MxToolbox Email Header Analyzer

One such tool is MxToolbox Email Header Analyzer

Feeding your email headers into this tool produces the following output:

enter image description here

Click on the blacklist button shows the ip address 182.50.144.34 (which is where google received the email from is on 3 email blacklists.

enter image description here

Further reading

Есть ли способ, который показывает вину, непосредственно глядя на заголовок письма. Rahul Sinha 8 лет назад 0
Отлично, я понимаю, что реальный IP-адрес отправителя - это адрес, полученный gmail (mx.google.com), а не тот, который отображается как IP-адрес От. Rahul Sinha 8 лет назад 0
Не без большого опыта. Вот почему люди написали автоматизированные инструменты для анализа. DavidPostill 8 лет назад 2
Заголовок «От» чаще всего подделывается спамерами. Вот хороший маленький ** вводный ** учебник [Учебник - Анализ заголовка почты для защиты от подделки] (http://www.shortinfosec.net/2008/07/mail-header-security-analysis.html) DavidPostill 8 лет назад 1

Похожие вопросы