Как вы можете подделать адрес электронной почты?

Недавно кто-то спросил меня, является ли полученное ею письмо спамом. Похоже, он был из известного банка (Belfius.be) в Бельгии. Он заявил, что некоторая информация устарела и нуждается в пересмотре. Конечно, первое, что приходит на ум, - это спам. Почему?

• Куча ошибок в языке, плохие предложения ...
• Ссылка, которая была предоставлена, была злой ссылкой: она выглядела так, как будто она ведет на сайт belfius (что-то вроде belfius.be/revision1285 ). Но при наведении на него, вы могли видеть, что это действительно относится к совершенно другому сайту. Домен .ca даже.

Теперь я сразу сказал: « Не нажимайте на эту ссылку, но что-то заставило меня задуматься. Электронный адрес отправителя был noreply@belfius.be, а belfius.be - официальный сайт банка. Итак, как это может быть? Как они могут подделать свой адрес электронной почты?

Просто. Отредактировав From:заголовок при отправке почты. Это известно как «Подмена электронной почты» . Заголовок From: легко редактируется, если вы отправляете почту через PHP или что-то еще, никаких хитростей не требуется. Что не является редактируемым, тем не менее, это IP-адрес / доменное имя сайта, с которого он был создан. Если вы проверяете текстовое электронное письмо (в Gmail перейдите в меню рядом с кнопкой ответа и «покажите оригинальное сообщение»), Received:заголовки содержат всю информацию о своем пути (чем глубже Received:заголовок, тем дальше назад в цепочка электронной почты это). Обратите внимание, что электронное письмо, проходящее через несколько переходов, может также иметь поддельные заголовки. Вам нужно идти вниз, видя, каким заголовкам (то есть сайтам) вы доверяете.Received: from abc.com (IP address) by something.google.com (IP)(при условии, что у вас есть Gmail - иначе byбудет другой). Теперь этот заголовок был написан со byстороны. Начните сверху, первые несколько Received:заголовков не будут иметь from/ by. Найдите первый с теми. Его byбудет принадлежность к вашей электронной почты поставщика - который вы доверяете. Посмотрите, доверяете ли вы from, и если да, переходите к следующему Received:заголовку (которому вы теперь доверяете) и так далее. Если вы не доверяете заголовку между ними, всем нижеуказанным нельзя доверять - возможно, они были подделаны.

Тем не менее, Gmail обычно обнаруживает спуфинг и помещает в электронную почту что-то вроде «abc@def.com via ghi@jkl.com». Обратите внимание, что существуют совершенно законные способы подмены электронной почты - многие списки рассылки подделывают электронную почту для более удобного использования. Так делают определенные форумы / доски объявлений. Здесь они отправляют электронное письмо, чтобы оно выглядело так, как будто оно пришло с оригинального плаката. В Reply-To:заголовке указывается список / веб-приложение / любой другой идентификатор электронной почты, поэтому ответ на него по умолчанию пойдет в список (/ etc). Затем список может работать с ним так, как он считает нужным - он может проверять наличие спама, может быть приостановлен на модерацию и т. Д. Когда он захочет отправить его, он подделает ваш адрес и отправит его всем в списке (что это именно то, что вы хотели - чтобы иметь возможность вести обсуждения по электронной почте без использования «Ответить всем»

То, что делают некоторые «законные» спуферы, заключается в том, что они устанавливают Sender:заголовок для своего собственного идентификатора. Это должно означать «Отправлено от Senderимени From». Обратите внимание, что наличие Sender:заголовка ничего не значит, когда речь идет о «незаконной» спуфинге - этот заголовок также может быть подделан. Как я уже сказал, единственный способ проверить это через Receivedзаголовки.

Использовать фальшивый адрес «от» тривиально. Путь новичка - просто отредактировать настройки в вашем почтовом клиенте и изменить адрес по умолчанию. Многие поставщики услуг отправят электронное письмо с поддельным полем, потому что почтовый сервер не знает, что такое настоящий.

Спаммеры используют специализированное программное обеспечение и всегда используют фальшивые адреса.