Mailtrack

Мошенники часто подделывают заголовки своей электронной почты в попытке избежать потери своих счетов и уклониться от фильтров электронной почты. Эти заметки могут помочь вам отслеживать источник спама. Самое главное - иметь почтового клиента, который может показать вам полные заголовки электронной почты в вопросе. Важными строками являются следующие:

From:

От кого сообщение.  Это легче всего подделать, и, таким образом,  менее надежное.

From

В отличие от  строки "From:". Эта строка не является частью заголовка почты, но софт передачи почты часто вставляет ее при получении почты. Многие Unix почтовики используют эту строку для разделения сообщений в почтовые папки. Эта строка всегда будет первой в заголовках.

Эта строка также может быть подделана, но не всегда.

Reply-To:

Адрес, по которому должны быть отправлены ответы. Часто отсутствует в сообщении, и очень легко подделывается. Тем не менее, неоднократно предоставляет подсказку. Например, измененный спам часто имеет действительное Reply-To: поле так что спамер может получить по почте заказы.

Return-Path:

Адрес электронной почты для обратной почты. Такой же как  Reply-To:

Sender:

Аккаунт, который отправил сообщение. Почтовое программное обеспечение должно вставить эту строку, если пользователь изменяет From: строку. Большая часть почтового программного обеспечения нарушается в этом отношении, так что эта строка присутствует редко. Некоторые почтовики предоставляют X-Sender: строку.

Message-ID:

Уникальная строка, назначенная почтовой системой, когда сообщение впервые создается. В большинстве случаев можно подделать, но требует немного более специализированных знаний, чем подделка From: строки. Также, Message-ID: часто идентифицирует систему, из которой отправитель авторизован, а не реальную систему, где сообщение было создано.

Формат Message-ID: строки <unique string>@<sitename>

Каждый вид почтового программного обеспечения имеет свой собственный стиль уникальной строки. Неаккуратные фальсификаторы часто интерпретируют это неправильно, этот подлог может быть подтвержден путем сравнения идентификатора сообщения с некоторыми законными сообщениями от того же сайта.

Received:

Это самые надежные строк в заголовке. Они формируют список всех сайтов, с помощью которых сообщение путешествовало перед тем, как достигнуть вас. Они полностью неподдельны после того момента, как были введены. До этого момента они могут быть подделаны.

Received: строки читаются снизу вверх. Таким образом, первая Received: строка – это ваша собственная система или почтовый сервер. Последняя (не подделаная) Received: строка – это где письмо создалось.

Каждая почтовая система имеет свой собственный стиль Received: строки. Received: строка как правило, идентифицирует машину, получившую почту и машину, с которой почта была получена. Т.e.:

    Received: from foo.com by bar.com id AA15057; Fri, 25 Jul 97 09:39:02

Часть "foo.com" это имя, которое отправляющая машина использует для идентификации себя. В случае спама может быть подделано. Идентификатор -  для целей ведения журнала и может помочь системным администраторам отслеживать спам, если вы сможете заставить их сотрудничать с вами.

Многие письма добавят дополнительную информацию. Например:

 Received: from foo.com ([129.2.3.4]) by bar.com id AA15057; Fri, 25 Jul 97 09:39:02

В этом случае, bar.com вставил IP-адрес отправителя системы. Если имя машины не совпадает с IP-адресом, то вы, вероятно, определили точку, где была подделана почта. Другими словами, машина, адрес которой 129.2.3.4 солгала, когда он определила себя как foo.com. Любые Received: последующие строки, вероятно, будут подделаны.

Если IP-адрес не имеет смысла (например, ни один из компонентов не может быть больше, чем 255), то вся Received: строка – это фейк. Обратитесь к администратору системы для получения дополнительной консультации в определении, если IP-адрес является фальшивкой. Если вся Received: строка – фейк, is fake, то точка впрыска находится где-то выше в заголовках. Иногда вы увидите

    Received: from foo.com (x.y.alterdial.uu.net [129.2.3.4]) by bar.com id AA15057; ...

В этом случае электронная почта вставила как IP-адрес так и настоящее имя отправляющей системы. Это поможет вам определить подделку и устранит необходимость просмотра IP-адрес вручную.

Комментарий:

Некоторые сообщения могут добавлять дополнительную информацию в заголовки, такие как "Authenticated sender is doe@foo.com". Подделаные Comment: строки могут быть легко добавлены к исходящей почте, поэтому эта строка может быть фальшивкой, но не всегда.

Другие почтовые программы могут включать свою собственную информацию аутентификации в заголовки.

Вот пример фальсификации:

  From webpromo@denmark.it.earthlink.net  Tue Jul  8 13:05:02 1997

  Return-Path: <webpromo@denmark.it.earthlink.net>

  From: webpromo@denmark.it.earthlink.net

  Received: from denmark.it.earthlink.net (denmark-c.it.earthlink.net

        [204.119.177.22]) by best.com (SMI-8.6/mail.byaddr) with ESMTP id

        NAA21506 for <falk@falconer.vip.best.com>;

        Tue, 8 Jul 1997 13:05:16 -0700

  Received: from mail.earthlink.net (1Cust98.Max16.Detroit.MI.MS.UU.NET

         [153.34.218.226]) by denmark.it.earthlink.net (8.8.5/8.8.5)

         with SMTP id NAA12436; Tue, 8 Jul 1997 13:00:46 -0700 (PDT)

  Received: from adultpromo@earthlink.net by adultpromo@earthlink.net

        (8.8.5/8.6.5) with SMTP id GAA05239 for <adultpromo@earthlink.net>;

        Tue, 08 Jul 1997 15:48:51 -0600 (EST)

  To: adultpromo@earthlink.net

  Message-ID: <199702170025.GAA08056@no-where.net>

  Date: Tue, 08 Jul 97 15:48:51 EST

  Subject: Hot News !

  Reply-To: adultpromo@earthlink.net

  X-PMFLAGS: 12345678 9

  X-UIDL: 1234567890x00xyz1x128xyz426x9x9x

  Comments: Authenticated sender is <adultpromo@earthlink.net>

  Content-Length: 672

  X-Lines: 26

  Status: RO

 

Очевидно, что строка To:  - подделка; действительные получатели были спрятаны, возможно в  скрытой копии (Bcc: header)

"From", "Return-Path:" и "From:" все идентифицируют один и тот же адрес, и это может быть подделкой. Вы можете попробовать отправить письмо на этот адрес и проверить, какой ответ вам вернется.

"To:", "Reply-To:" и "Authenticated sender" строки все идентифицируют различные учетные записи. И снова, это может быть фальшивкой.

Строка Message-ID: line  - очевидная подделка.

Первая строка Recieved: строка показывает письмо, полученное моей почтовой службой от from Earthlink. Я доверяю своей почтовой службе, поэтому эта строка почти определенно действительна.

Вторая строка Receive: показывает это несоответствие:

 

... from mail.earthlink.net (1Cust98.Max16.Detroit.MI.MS.UU.NET [153.34.218.226])

Другими словами,  машина, отправившая письмо на denmark.it.earthlink.net идентифицировала себя как mail.earthlink.net, но в действительности была названа 1Cust98.Max16.Detroit.MI.MS.UU.NET. Это похоже на ложь. Тем не менее, Earthlink арендует POPs у Uunet, поэтому это может быть клиент Earthlink с вызовом от Uunet.

Третья строка Received:  - абсолютная фальшивка. Если письмо пришло от коммутируемого клиента в Uunet, не будет больше строк Recieved:. Если бы письмо имела отношение к Uunet, эта строка Received: указывала бы Uunet, а не Earthlink. Далее, эта строка Received:  содержит почтовые адреса, а не машинные имена.

Тут ясно, что письмо было подделано, будто оно пришло с Earthlink , но в действительности было введено с Uunet. Было ли это сделано пользователем Earthlink или Uunet  - невозможно сказать без сотрудничества с системными администраторами Earthlink.

Еще одна подделка:

  Received: from cola.bekkoame.or.jp (cola.bekkoame.or.jp [202.231.192.40])

        by srv.net (8.8.5/8.8.5) with ESMTP id BAA00705

        for <got@srv.net>; Wed, 30 Jul 1997 01:15:27 -0600 (MDT)

  From: beautifulgirls585@aol.com

  Received: from cola.bekkoame.or.jp

        (ip21.san-luis-obispo.ca.pub-ip.psi.net [38.12.123.21]) by

        cola.bekkoame.or.jp (8.8.5+2.7W/3.5W) with SMTP id OAA11439;

        Wed, 30 Jul 1997 14:35:50 +0900 (JST)

  Received: from mailhost.aol.com(alt1.aol.com(244.218.07.32)) by

        aol.com (8.8.5/8.6.5) with SMTP id GAA00075 for <"">;

        Tue, 29 Jul 1997 22:19:42 -0600 (EST)

  Date: Tue, 29 Jul 97 22:19:42 EST

  Subject: You can have what you want...

  Message-ID: <574857638458.HWF39862@aol.com>

  Reply-To: beautifulgirls585@aol.com

  X-PMFLAGS: 56354433 0

  Comments: Authenticated sender is <aol.com>

  X-UIDL: vjg79u26gfkjjrty38jf983j309jfyrw

 

Здесь, вторая строка Received: указывает, что "cola.bekkoame.or.jp" получил письмо с машины, которая идентифицировала себя "cola.bekkoame.or.jp", но по факту была "ip21.san-luis-obispo.ca.pub-ip.psi.net".  Возможно, письмо было подделано с Psi.net коммутируемого аккаунта.

Как окончательное доказательство, IP-адрес, упомянутый в третьей строке Received: ,  не совпадает при проверке через whois или traceroute. Определенно не совпадает с AOL, указывая на то, что строка – фальшивка.

Эта страница поддерживается Эдвардом Фолком

Оригинал статьи находится здесь http://www.rahul.net/falk/mailtrack.html