Как вы можете подделать адрес электронной почты?
Недавно кто-то спросил меня, является ли полученное ею письмо спамом. Похоже, он был из известного банка (Belfius.be) в Бельгии. Он заявил, что некоторая информация устарела и нуждается в пересмотре. Конечно, первое, что приходит на ум, - это спам. Зачем?
- Куча ошибок в языке, плохие предложения...
- Ссылка, которая была предоставлена, была злой ссылкой: она выглядела так, как будто она ведет на сайт belfius (что-то вроде belfius.be/revision1285). Но при наведении на него, вы могли видеть, что это действительно относится к совершенно другому сайту. Домен.ca даже.
Теперь я сразу сказал: " Не нажимайте на эту ссылку, но что-то заставило меня задуматься. Электронный адрес отправителя был noreply@belfius.be, а belfius.be - официальный сайт банка. Итак, как это может быть? Как они могут подделать свой адрес электронной почты?
2 ответа
Просто. Редактируя From: заголовок при отправке почты. Это известно как "Подмена электронной почты". Заголовок From: легко редактируется, если вы отправляете почту через PHP или что-то еще, никаких хитростей не требуется. Что не является редактируемым, тем не менее, это IP-адрес / доменное имя сайта, с которого он был создан. Если вы проверите текстовое электронное письмо (в Gmail перейдите в меню рядом с кнопкой ответа и "показать оригинальное сообщение"), Received: Заголовки несут всю информацию о своем пути (чем глубже Received: заголовок есть, тем дальше обратно в цепочку писем это). Обратите внимание, что электронное письмо, проходящее через несколько переходов, может также иметь поддельные заголовки. Вам нужно идти вниз, видя, каким заголовкам (то есть сайтам) вы доверяете. Каждый заголовок скажет что-то вроде Received: from abc.com (IP address) by something.google.com (IP) (при условии, что у вас есть Gmail - в противном случае by будет другим). Теперь этот заголовок был написан by часть. Начните сверху, первые несколько Received: заголовки не будут иметь from/by, Найдите первый с теми. это by будет принадлежать вашему почтовому провайдеру, которому вы доверяете. Посмотрите, доверяете ли вы fromи, если вы это сделаете, переходите к следующему Received: заголовок (которому вы теперь доверяете) и так далее. Если вы не доверяете заголовку между ними, всем нижеуказанным нельзя доверять - возможно, они были подделаны.
Тем не менее, Gmail обычно обнаруживает спуфинг и помещает в электронную почту что-то вроде "abc@def.com via ghi@jkl.com". Обратите внимание, что существуют совершенно законные способы подмены электронной почты - многие списки рассылки подделывают электронную почту для более удобного использования. Так делают определенные форумы / доски объявлений. Здесь они отправляют электронное письмо, чтобы оно выглядело так, как будто оно пришло с оригинального плаката. Reply-To: В заголовке указывается список / веб-приложение / любой другой идентификатор электронной почты, поэтому ответ на него по умолчанию перейдет в список (/ и т. д.). Затем список может работать с ним так, как он считает нужным - он может проверять наличие спама, может быть приостановлен на модерацию и т. Д. Когда он хочет отправить его, он подделает ваш адрес и отправит его всем в списке (что это именно то, что вы хотели - иметь возможность проводить обсуждения по электронной почте, не используя "Ответить всем" и сохраняя список контактов для копирования-вставки).
Что делают некоторые "законные" спуферы, так это то, что они устанавливают Sender: заголовок к своему собственному идентификатору. Это должно означать "Отправлено Sender от имени From". Обратите внимание, что наличие Sender: заголовок ничего не значит, когда речь идет о "незаконной" подделке - этот заголовок также подделывается. Как я уже сказал, единственный способ проверить это через Received заголовки.
Использовать фальшивый адрес "от" тривиально. Путь новичка - просто отредактировать настройки в вашем почтовом клиенте и изменить адрес по умолчанию. Многие поставщики услуг отправят электронное письмо с поддельным полем, потому что почтовый сервер не знает, что такое настоящий.
Спаммеры используют специализированное программное обеспечение и всегда используют фальшивые адреса.