Kas ir e-pasta galvenē un kāpēc jums tas jārūpējas?

Vai esat kādreiz saņēmis surogātpastu vai pikšķerēšanas ziņojumu no e-pasta adreses, kuru neatpazīstat? Varbūt kāds jums piedāvāja bezmaksas ceļojumu, lūdza nosūtīt viņiem bitcoin apmaiņā pret personīgajām fotogrāfijām vai vienkārši nosūtīja jums nevēlamu mārketinga e-pastu?

Vai esat domājis, no kurienes nākuši šie e-pasta ziņojumi? Vai esat redzējis surogātpasta izplatītāju, kurš apmānīja jūsu e-pasta adresi un domāja, kā viņi to izdarīja?

E-pasta krāpšana vai e-pasta parādīšana tā, it kā e-pasts nāktu no citas adreses, nekā tas bija (piemēram, e-pasts, kas, šķiet, nāk no whitehouse.gov, bet patiesībā ir no krāpnieka), ir ļoti viegli.

Galvenajos e-pasta protokolos nav nevienas autentifikācijas metodes, tas nozīmē, ka adrese “no” būtībā ir tikai aizpildāma tukša vieta.

Parasti, saņemot e-pastu, tas izskatās apmēram šādi:

From: Name  Date: Tuesday, July 16, 2019 at 10:02 AM To: Me 

Zem tā ir tēma un ziņojums.

Bet kā jūs zināt, no kurienes šis e-pasts īsti nāca? Vai nav papildu datu, kurus varētu analizēt?

Mēs meklējam pilnas e-pasta galvenes - tas, ko redzat iepriekš, ir tikai daļēja galvene. Šie dati sniegs mums papildu informāciju par to, no kurienes e-pasts nāca un kā tas nonāca jūsu iesūtnē.

Ja vēlaties apskatīt savus e-pasta galvenes, rīkojieties šādi, kā piekļūt tām programmā Outlook un Gmail. Lielākā daļa pasta programmu darbojas līdzīgi, un vienkārša Google meklēšana jums parādīs, kā apskatīt alternatīvo pasta pakalpojumu galvenes.

Šajā rakstā mēs aplūkosim reālu galvenes (lai gan tās ir stipri pārtaisītas - esmu mainījis resursdatoru nosaukumus, laika zīmogus un IP adreses).

Mēs lasīsim galvenes no augšas uz leju, taču ņemiet vērā, ka katrs jauns serveris pievieno savu galveni e-pasta pamatteksta augšdaļai. Tas nozīmē, ka mēs nolasīsim katru galveni no pēdējā ziņojumu pārsūtīšanas aģenta (MTA) un strādāsim līdz pirmajam MTA, lai pieņemtu ziņojumu.

Iekšējie pārskaitījumi

Received: from REDACTED.outlook.com (IPv6 Address) by REDACTED.outlook.com with HTTPS via REDACTED.OUTLOOK.COM; Fri, 25 Oct 2019 20:16:39 +0000

Šis pirmais lēciens parāda HTTPS līniju, kas nozīmē, ka serveris nesaņēma ziņojumu, izmantojot standarta SMTP, un tā vietā izveidoja ziņojumu no ievades, kuru tas saņēma tīmekļa lietojumprogrammā.

Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id 15.1.1358.20; Fri, 25 Oct 2019 20:16:38 +0000 Received: from REDACTED.outlook.com (IPv6Address) by REDACTED.outlook.office365.com (IPv6Address) with Microsoft SMTP Server (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id 15.20.2385.20 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Authentication-Results: spf=softfail (sender IP is REDACTEDIP)smtp.mailfrom=gmail.com; privatedomain.com; dkim=pass (signature was verified)header.d=gmail.com;privatedomain.com; dmarc=pass action=noneheader.from=gmail.com;compauth=pass reason=100Received-SPF: SoftFail (REDACTED.outlook.com: domain of transitioning gmail.com discourages use of IPAddress as permitted sender)

Šie ir pirmie divi galvenes bloki ir iekšējie pasta pārsūtījumi. Varat pateikt, ka tos saņēma Office365 serveri (outlook.com) un iekšēji novirzīja pareizajam adresātam.

Varat arī pateikt, ka ziņojums tiek sūtīts, izmantojot šifrētu SMTP. Jūs to zināt, jo galvenē ir norādīts “ar Microsoft SMTP Server” un pēc tam norādīta tā izmantotā TLS versija, kā arī īpašais šifrs.

Trešais galvenes bloks iezīmē pāreju no vietējā pasta servera uz pasta filtrēšanas pakalpojumu. Jūs to zināt, jo tas gāja "caur Frontend Transport", kas ir Microsoft Exchange specifisks protokols (un tāpēc tas nebija stingri SMTP).

Šajā blokā ietilpst arī dažas e-pasta pārbaudes. Outlook.com galvenē šeit ir detalizēti aprakstīti viņu SPF / DKIM / DMARC rezultāti. SPF softfail nozīmē, ka šī IP adrese nav pilnvarota sūtīt e-pastus gmail.com vārdā.

"dkim = pass" nozīmē, ka e-pasts ir saņemts no it kā sūtītāja un, visticamāk, tas netika mainīts nosūtīšanas laikā.  

DMARC ir noteikumu kopums, kas pasta serverim norāda, kā interpretēt SPF un DKIM rezultātus. Pass, iespējams, nozīmē, ka e-pasts turpina virzīties uz savu galamērķi.

Lai uzzinātu vairāk par SPF, DKIM un DMARC, skatiet šo rakstu.

Iekšējā / ārējā pāreja

Received: from Redacted.localdomain.com (IP address) byredacted.outlook.com (IP address) with Microsoft SMTPServer (version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384) id15.20.2305.15 via Frontend Transport; Fri, 25 Oct 2019 20:16:37 +0000 Received-SPF: None (Redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=xxx; client-ip=IPaddress;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible Received-SPF: Pass (Redacted.localdomain.com: domain [email protected] designates sending IP as permittedsender) identity=mailfrom; client-ip=IPaddress2;receiver=Redacted.localdomain.com;envelope-from="[email protected]";x-sender="[email protected]"; x-conformance=sidf_compatible;x-record-type="v=spf1"; x-record-text="v=spf1ip4:35.190.247.0/24 ip4:64.233.160.0/19 ip4:66.102.0.0/20ip4:66.249.80.0/20 ip4:72.14.192.0/18 ip4:74.125.0.0/16ip4:108.177.8.0/21 ip4:173.194.0.0/16 ip4:209.85.128.0/17ip4:216.58.192.0/19 ip4:216.239.32.0/19 ~all"

Šis ir Google SPF ieraksts - paziņojot saņēmējam serverim, ka e-pasts, kas saka, ka tas nāk no gmail.com, nāk no Google apstiprināta servera.

Received-SPF: None (redacted.localdomain.com: no senderauthenticity information available from domain [email protected]) identity=helo;client-ip=IPaddress; receiver=Redacted.localdomain.com;envelope-from="[email protected]m";x-sender="[email protected]";x-conformance=sidf_compatibleAuthentication-Results-Original: [email protected]; [email protected]; spf=Pass [email protected];spf=None [email protected]; dkim=pass (signatureverified) [email protected]; dmarc=pass (p=none dis=none) d=gmail.comIronPort-SDR: IronPort-PHdr: =X-IronPort-Anti-Spam-Filtered: trueX-IronPort-Anti-Spam-Result: =X-IronPort-AV: ;d="scan"X-Amp-Result: SKIPPED(no attachment in message)X-Amp-File-Uploaded: False

Tas parāda dažas papildu SPF / DKIM / DMARC pārbaudes, kā arī IronPort skenēšanas rezultātus.

Ironport ir populārs e-pasta filtrs, ko daudzas korporācijas izmanto surogātpasta, vīrusu un citu ļaunprātīgu e-pastu meklēšanai. Tas skenē e-pasta saites un pielikumus un nosaka, vai e-pasts ir ļaunprātīgs (un tas ir jānomet), vai tas, iespējams, ir likumīgs un jāpiegādā, vai ir aizdomīgs, un tādā gadījumā tas var pievienot virsrakstu ķermenim, kurš liek lietotājiem būt piesardzīgiem pret e-pastu.

Received: from redacted.google.com ([IPAddress])by Redacted.localdomain.com with ESMTP/TLS/ECDHE-RSA-AES128-GCM-SHA256; Fri, 25 Oct 2019 16:16:36 -0400 Received: by redacted.google.com with SMTP idfor [email protected]; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) X-Received: by IPv6:: with SMTP id; Fri, 25 Oct 2019 13:16:35 -0700 (PDT) Return-Path: [email protected] Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT) Received: from senderssmacbook.fios-router.home (pool-.nycmny.fios.verizon.net. [IP address redacted])by smtp.gmail.com with ESMTPSA id redacted IP(version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128);Fri, 25 Oct 2019 13:16:34 -0700 (PDT)

Šajā sadaļā ir redzami iekšējie apiņi, kurus e-pasts paņēma no sūtītāja sākotnējās ierīces, izmantojot Gmail maršrutēšanas sistēmu, un adresāta perspektīvas vidē. No tā mēs varam redzēt, ka sākotnējais sūtītājs bija no Macbook, izmantojot mājas maršrutētāju, ar Verizon Fios NYC.

Apiņi ir beigušies, parādot maršrutu, ko e-pasts ir nosūtījis no sūtītāja saņēmējam. Pēc tam jūs redzēsiet e-pasta pamattekstu (un galvenes, kuras parasti redzat, piemēram, "no:", "līdz:" utt.), Iespējams, ar kādu formatējumu, pamatojoties uz multivides tipu un e-pasta klientu (piemēram, MIME versija, satura tips, robeža utt.). Tajā var būt arī informācija par lietotāja aģenta informāciju, kas ir detalizēta informācija par to, kāda veida ierīce nosūtīja ziņojumu.

Šajā gadījumā mēs jau zinām, ka sūtīšanas ierīce Apple Macing konvencijas dēļ bija Macbook, taču tajā var būt arī informācija par ierīcē instalēto procesora tipu, versiju, pat pārlūku un versiju.

Dažos gadījumos, bet ne visos, tajā var būt arī sūtīšanas ierīces IP adrese (lai gan daudzi pakalpojumu sniedzēji šo informāciju slēps bez tiesas pavēstes).

Ko e-pasta galvenes var jums pateikt?

E-pasta galvenes var palīdzēt noteikt, kad e-pasta ziņojumi netiek sūtīti no viņu domājamajiem sūtītājiem. Viņi var sniegt zināmu informāciju par sūtītāju, lai gan patiesībā tas nav pietiekami, lai identificētu patieso sūtītāju.

Tiesībaizsardzība bieži var izmantot šos datus, lai izsauktu informāciju no pareizā ISP, taču pārējie mēs lielākoties varam tos vienkārši izmantot, lai palīdzētu izmeklēšanai, parasti saistībā ar pikšķerēšanu.

Šo procesu apgrūtina fakts, ka galvenes var viltot ļaunprātīgi serveri vai hakeri. Nesazinoties ar katra servera īpašnieku un individuāli nepārbaudot, vai jūsu e-pasta galvenes atbilst viņu SMTP žurnāliem, kas ir rūpīgs un laikietilpīgs, jūs nebūsiet pārliecināts, ka galvenes ir precīzas (izņemot galvenes, kuras pievienojuši paši jūsu pasta serveri).

Nesazinoties ar katra servera īpašnieku un individuāli nepārbaudot, vai jūsu e-pasta galvenes atbilst viņu SMTP žurnāliem, kas ir rūpīgi un laikietilpīgi, jūs nebūsiet pārliecināts, ka visas galvenes ir precīzas.

DKIM, DMARC un SPF visi var palīdzēt šajā procesā, taču nav ideāli, un bez tiem vispār nav verifikācijas.

Vai nevēlaties analizēt savas galvenes? Šī vietne to izdarīs jūsu vietā.