Как вы можете подделать адрес электронной почты?

56

Недавно кто-то спросил меня, является ли полученное ею письмо спамом. Похоже, он был из известного банка (Belfius.be) в Бельгии. Он заявил, что некоторая информация устарела и нуждается в пересмотре. Конечно, первое, что приходит на ум, - это спам. Почему?

  • Куча ошибок в языке, плохие предложения ...
  • Ссылка, которая была предоставлена, была злой ссылкой: она выглядела так, как будто она ведет на сайт belfius (что-то вроде belfius.be/revision1285 ). Но при наведении на него, вы могли видеть, что это действительно относится к совершенно другому сайту. Домен .ca даже.

Теперь я сразу сказал: « Не нажимайте на эту ссылку, но что-то заставило меня задуматься. Электронный адрес отправителя был noreply@belfius.be, а belfius.be - официальный сайт банка. Итак, как это может быть? Как они могут подделать свой адрес электронной почты?

Брэм Ванрой
источник
2
Этот вид почты обычно называют фишингом, который можно считать спамом, хотя я считаю, что спам более безвреден и пытается продавать вам вещи, а не получать доступ к вашим аккаунтам.
RD
37
Я могу бросить вам письмо по почте, в котором говорится, что это от Деда Мороза. Единственная распродажа будет Калифорнийским штемпелем. То же самое с электронной почтой, более или менее.
Дэвид Шварц
1
Команда SMTP MAIL FROM и поле заголовка почты IMF могут содержать поддельные адреса.
james.garriss
1
Попробуйте сами: deadfake.com/Send.aspx
Марк Э.

Ответы:

79

Просто. Отредактировав From:заголовок при отправке почты. Это известно как «Подмена электронной почты» . Заголовок From: легко редактируется, если вы отправляете почту через PHP или что-то еще, никаких хитростей не требуется. Что не является редактируемым, тем не менее, это IP-адрес / доменное имя сайта, с которого он был создан. Если вы проверяете текстовое электронное письмо (в Gmail перейдите в меню рядом с кнопкой ответа и «покажите оригинальное сообщение»), Received:заголовки содержат всю информацию о своем пути (чем глубже Received:заголовок, тем дальше назад в цепочка электронной почты это). Обратите внимание, что электронное письмо, проходящее через несколько переходов, может также иметь поддельные заголовки. Вам нужно идти вниз, видя, каким заголовкам (то есть сайтам) вы доверяете.Received: from abc.com (IP address) by something.google.com (IP)(при условии, что у вас есть Gmail - иначе byбудет другой). Теперь этот заголовок был написан со byстороны. Начните сверху, первые несколько Received:заголовков не будут иметь from/ by. Найдите первый с теми. Его byбудет принадлежность к вашей электронной почты поставщика - который вы доверяете. Посмотрите, доверяете ли вы from, и если да, переходите к следующему Received:заголовку (которому вы теперь доверяете) и так далее. Если вы не доверяете заголовку между ними, всем нижеуказанным нельзя доверять - возможно, они были подделаны.

Тем не менее, Gmail обычно обнаруживает спуфинг и помещает в электронную почту что-то вроде «abc@def.com via ghi@jkl.com». Обратите внимание, что существуют совершенно законные способы подмены электронной почты - многие списки рассылки подделывают электронную почту для более удобного использования. Так делают определенные форумы / доски объявлений. Здесь они отправляют электронное письмо, чтобы оно выглядело так, как будто оно пришло с оригинального плаката. В Reply-To:заголовке указывается список / веб-приложение / любой другой идентификатор электронной почты, поэтому ответ на него по умолчанию пойдет в список (/ etc). Затем список может работать с ним так, как он считает нужным - он может проверять наличие спама, может быть приостановлен на модерацию и т. Д. Когда он захочет отправить его, он подделает ваш адрес и отправит его всем в списке (что это именно то, что вы хотели - чтобы иметь возможность вести обсуждения по электронной почте без использования «Ответить всем»

То, что делают некоторые «законные» спуферы, заключается в том, что они устанавливают Sender:заголовок для своего собственного идентификатора. Это должно означать «Отправлено от Senderимени From». Обратите внимание, что наличие Sender:заголовка ничего не значит, когда речь идет о «незаконной» спуфинге - этот заголовок также может быть подделан. Как я уже сказал, единственный способ проверить это через Receivedзаголовки.

Manishearth
источник
5
Спасибо! А также спасибо за это последнее законное использование. Очень информативно!
Брэм Ванрой
Как спуфинг должен улучшить опыт. Единственное влияние, с которым я столкнулся, - отрицательное. Outlook фактически не позволяет мне вносить в белый список сообщения (для автоматической загрузки изображений), потому что каждое из них приходит с другого адреса mailist@randomnumber.maillistcompany.com.
Дэн Нили
1
@DanNeely: Ну, без подмены, все электронные письма будут приходить от list@domain.com. Это сбивает с толку, когда вы хотите, чтобы кто-то PM, и трудно отслеживать, с кем вы говорите. Подделка создает впечатление, что вы просто разговариваете с группой людей, за исключением того, что список рассылки является промежуточным объектом (необходим для архивации и модерации). Что вы имеете в виду, что каждый приходит из разных адди списков рассылки? Это, вероятно, просто конкретный список.
Manishearth
@Manishearth Я думал о "Wailing List" на despair.com (технически это маркетинговое письмо, но я подписываюсь на него за ценность юмора). Я на работе, поэтому я не могу скопировать то, что я получаю в перспективе дома; но gmail показывает, что как ex, The Wailing List wailinglist@despair.com via mail17.us2.mcsv.net так и поддомены mail # и us варьируются от одного сообщения к другому. У меня есть несколько других подписок с похожими проблемами от их сторонних почтовых сервисов.
Дэн Нили
@DanNeely, как правило, вы бы использовали спуфинг, какAlice <alice@example.com> via list@example2.com
Стоп Harm Monica
11

Использовать фальшивый адрес «от» тривиально. Путь новичка - просто отредактировать настройки в вашем почтовом клиенте и изменить адрес по умолчанию. Многие поставщики услуг отправят электронное письмо с поддельным полем, потому что почтовый сервер не знает, что такое настоящий.

Спаммеры используют специализированное программное обеспечение и всегда используют фальшивые адреса.

Питер Дженкинс
источник