Как вы можете подделать адрес электронной почты?

77253
Bram Vanroy

Недавно кто-то спросил меня, является ли полученное е-мейлом письмо спамом. Похоже, он был из известного банка (Belfius.be) в Бельгии. Он заявил, что некоторая информация устарела и нуждается в пересмотре. Конечно, первое, что приходит на ум, - это спам. Зачем?

  • Куча ошибок в языке, плохие предложения ...
  • Ссылка, которая была предоставлена, была злой ссылкой: она выглядела так, как будто она ведет на веб-сайт belfius (что-то вроде belfius.be/revision1285 ). Но при наведении на него, вы могли видеть, что это действительно относится к совершенно другому сайту. Домен .ca даже.

Теперь я сразу сказал: « Не нажимайте на эту ссылку, но что-то заставило меня задуматься. Электронный адрес отправителя: noreply@belfius.be, а belfius.be - официальный сайт банка. Итак, как это может быть? Как они могут подделать свой адрес электронной почты?

55
Этот вид почты обычно называют фишингом, который можно считать спамом, хотя я считаю, что спам более безвреден и пытается продавать вам вещи, а не получать доступ к вашим аккаунтам. R-D 11 лет назад 2
Я могу бросить вам письмо по почте, в котором говорится, что это от Деда Мороза. Единственная распродажа будет Калифорнийским штемпелем. То же самое с электронной почтой, более или менее. David Schwartz 11 лет назад 37
Как команда SMTP MAIL FROM, так и поле заголовка почты IMF могут содержать поддельные адреса. james.garriss 11 лет назад 1
Попробуйте сами: http://deadfake.com/Send.aspx Mark E. Haase 9 лет назад 1

2 ответа на вопрос

77
Manishearth

Просто. Отредактировав From:заголовок при отправке почты. Это известно как «Подмена электронной почты» . Заголовок From: легко редактируется, если вы отправляете почту через PHP или что-то еще, никаких хитростей не требуется. Что не является редактируемым, тем не менее, это IP-адрес / доменное имя сайта, с которого он был создан. Если вы проверяете текстовое электронное письмо (в Gmail перейдите в меню рядом с кнопкой ответа и «покажите оригинальное сообщение»), Received:заголовки несут всю информацию о своем пути (чем ниже Received:заголовок, тем дальше назад в цепочка электронной почты это). Обратите внимание, что электронное письмо, проходящее через несколько переходов, может также иметь поддельные заголовки. Вам нужно идти вниз, видя, каким заголовкам (то есть сайтам) вы доверяете.Received: from abc.com (IP address) by something.google.com (IP)(при условии, что у вас есть Gmail - иначе byбудет другой). Теперь этот заголовок был написан со byстороны. Начните сверху, первые несколько Received:заголовков не будут иметь from/ by. Найдите первый с теми. Его byбудет принадлежность к вашей электронной почты поставщика - который вы доверяете. Посмотрите, доверяете ли вы from, и если да, переходите к следующему Received:заголовку (которому вы теперь доверяете) и так далее. Если вы не доверяете заголовку между ними, всем нижеуказанным нельзя доверять - возможно, они были подделаны.

Тем не менее, Gmail обычно обнаруживает спуфинг и помещает в электронную почту что-то вроде «abc@def.com via ghi@jkl.com». Обратите внимание, что существуют совершенно законные способы подмены электронной почты - многие списки рассылки подделывают электронную почту для более удобного использования. Так делают определенные форумы / доски объявлений. Здесь они отправляют электронное письмо, чтобы оно выглядело так, как будто оно пришло с оригинального плаката. В Reply-To:заголовке указывается список / веб-приложение / любой другой идентификатор электронной почты, поэтому ответ на него по умолчанию пойдет в список (/ etc). Затем список может работать с ним так, как он считает нужным - он может проверять наличие спама, может быть приостановлен на модерацию и т. Д. Когда он захочет отправить его, он подделает ваш адрес и отправит его всем в списке (что это именно то, что вы хотели - чтобы иметь возможность проводить обсуждения по электронной почте без использования «Ответить всем»

Что делают некоторые «законные» спуферы, так это то, что они устанавливают Sender:заголовок для своего собственного идентификатора. Это должно означать «Отправлено от Senderимени From». Обратите внимание, что наличие Sender:заголовка ничего не значит, когда речь идет о «нелегитимной» подделке - этот заголовок также подделывается. Как я уже сказал, единственный способ проверить это через Receivedзаголовки.

Спасибо! А также спасибо за это последнее законное использование. Очень информативно! Bram Vanroy 11 лет назад 5
Как спуфинг должен улучшить опыт. Единственное влияние, с которым я столкнулся, - отрицательное. Outlook фактически не позволяет мне вносить в белый список сообщения (для автоматической загрузки изображений), потому что каждое из них приходит с другого адреса mailist@randomnumber.maillistcompany.com. Dan Neely 11 лет назад 0
@DanNeely: Ну, без подмены, все электронные письма будут приходить от list@domain.com. Это сбивает с толку, когда вы хотите, чтобы кто-то PM, и трудно отслеживать, с кем вы говорите. Подделка создает впечатление, что вы просто разговариваете с группой людей, за исключением того, что список рассылки является промежуточным объектом (необходим для архивации и модерации). Что вы имеете в виду, что каждый приходит из разных адди списков рассылки? Это, вероятно, просто конкретный список. Manishearth 11 лет назад 1
@Manishearth Я думал о "Wailing List" на despair.com (технически это маркетинговое письмо, но я подписываюсь на него за ценность юмора). Я на работе, поэтому я не могу скопировать то, что я получаю в перспективе дома; но gmail показывает его как ex `Список Wailinglist@despair.com через mail17.us2.mcsv.net`, и поддомены mail # и us # меняются от одного сообщения к следующему. У меня есть несколько других подписок с похожими проблемами от их сторонних почтовых сервисов. Dan Neely 11 лет назад 0
@DanNeely, как правило, вы бы использовали спуфинг, как `Алиса через список @ example2.com` OrangeDog 11 лет назад 0
За исключением того, который добавлен конечным сервером, полученные заголовки так же легко подделываются, как и адрес отправителя. Zoredache 11 лет назад 0
@zore смотрите последние несколько строк, абзац 1. Я упомянул об этом - вы идете сверху вниз, просматривая полученные заголовки, которым доверяете и доверяете последующим, основываясь на части from. Manishearth 11 лет назад 0
Существует также другое «From:», а именно конверт из используемого в SMTP-диалоге. Вы можете подделать это отдельно от того, что находится в заголовках электронной почты. В SMTP-диалоге вы можете отправить `mail from: a-user @ b-domain`, а затем в команде` data`, которая выдает само сообщение, сгенерировать другой заголовок `From: c-user @ d-domain`. Kaz 11 лет назад 0
Не могли бы вы добавить что-нибудь о роли заголовка `Sender:`? gerrit 11 лет назад 0
@gerrit: Добавлено немного (хотя и не слишком знакомо с ним - не стесняйтесь его улучшать), а также еще немного о том, как проверить, заслуживает ли электронная почта доверия через заголовок `Received:`. Спасибо :) Manishearth 11 лет назад 0
«Что не редактируется, хотя это IP-адрес» - IP-адрес также редактируемый. Но это еще одна тема, называемая [подмена IP-адреса] (http://en.wikipedia.org/wiki/IP_address_spoofing) Jet 9 лет назад 0
@ Джет Я предполагаю, что интернет-провайдеры не участвуют в подделке. Подмена IP-адреса будет влиять только на трассировку электронной почты, если провайдеры будут подделывать себя, в локальной подсети провайдера это вряд ли имеет значение. Manishearth 9 лет назад 0
11
Peter Jenkins

Тривиально использовать поддельный адрес «от». Путь новичка - просто отредактировать настройки в своем почтовом клиенте и изменить адрес по умолчанию. Многие поставщики услуг отправят электронное письмо с поддельным полем, потому что почтовый сервер не знает, что такое настоящий.

Спаммеры используют специализированное программное обеспечение и всегда используют фальшивые адреса.

Похожие вопросы