|
|
Модератор форума: Yuri_G |
Сообщество uCoz Мастерская uCoz Безопасность сайта Проверка и Анализ заголовков e-mail (письмо с непонятным содержанием) |
Проверка и Анализ заголовков e-mail |
Служебные заголовки содержат различную техническую информацию (серверы, через которые проходило письмо, данные о почтовом клиенте отправителя, результаты проверки антивирусом) и позволяют провести детальный анализ писем.
Адрес, указанный в строке «Return-path:», является настоящим отправителем данного письма. Для просмотра служебных заголовков писем в интерфейсах популярных почтовых клиентов или почтовых сервисов воспользуйтесь следующими инструкциями. Почтовые сервисы Почтовые клиенты Как анализировать заголовки сообщения Какую информацию можно получить из технических заголовков Стандартные служебные заголовки электронной почты: Apparently-To: Сообщения с большим количеством получателей иногда имеют длинный список заголовков вида "Apparently-To: rth@bieberdorf.edu " (по одной строчке на получателя). Эти заголовки нетипичны для нормальных сообщений, они обычно являются признаком массовой рассылки. Cc: (CarbonCopy - копия) Этот заголовок является расширением поля "To:", он указывает дополнительных получателей письма. Некоторые почтовые программы рассматривают «To:» и «Cc:» по-разному, генерируя ответ на сообщение. Bcc: (BlindCarbonCopy - слепая копия) Если вы видите этот заголовок в полученном сообщении - значит, что-то не так. Этот заголовок используется так же, как и "Cc:", но не появляется в списке заголовков. Основная идея этого заголовка заключается в возможности посылать копии письма людям, которые не хотят получать ответы или появляться в заголовках. Слепые копии очень популярны среди спамеров, поскольку многие неопытные пользователи оказываются сбитыми с толку, получив письмо, которое вроде бы не было им адресовано. Content-Transfer-Encoding: MIME-заголовок, не имеет отношения к доставке почты, отвечает за то, как программа-получатель интерпретирует содержимое сообщения. MIME — стандартный метод помещения в письмо нетекстовой информации. Content-Type: MIME-заголовок, сообщающий почтовой программе о типе данных, хранящихся в сообщении. Date: Назначение этого заголовка очевидно: он указывает дату создания и отправления сообщения. Если этот заголовок не был создан на компьютере отправителя, то, возможно, его добавит почтовый сервер или какой-нибудь другой компьютер, через который пройдет письмо. Не стоит принимать на веру из-за возможности подделки или ошибки во времени у отправителя. From (без двоеточия) — конвертный заголовок «From» формируется на базе информации, полученной от команды MAILFROM. Например, если отправляющая машина говорит MAILFROM: 123@123.com , получающая машина сгенерирует строчку следующего вида: «From 123@.com » Важно! Конвертный заголовок создается не отправителем сообщения, а компьютером, через который прошло это сообщение. From: (с двоеточием) информация об адресе отправителя, указанная самим отправителем. Message-Id: — более или менее уникальный идентификатор, присваиваемый каждому сообщению, чаще всего первым почтовым сервером, который встретится у него на пути. Обычно он имеет форму «blablabla@domen.ru», где «blablabla» может быть абсолютно чем угодно, а вторая часть — имя машины, присвоившей идентификатор. Иногда, но редко, «blablabla» включает в себя имя отправителя. Если структура идентификатора нарушена (пустая строка, нет знака @) или вторая часть идентификатора не является реальным интернет-сайтом, значит письмо — вероятная подделка. In-Reply-To: Заголовок Usenet, который иногда появляется и в письмах. "In-Reply-To:" указывает идентификатор некоего сообщения, на которое данное сообщение является ответом. Этот заголовок нетипичен для писем, если только письмо действительно не является ответом на сообщение в Usenet. Спаммеры иногда им пользуются, возможно, чтобы обойти фильтрующие программы. Organization: Свободный заголовок, обычно содержащий название организации, через которую отправитель сообщения получает доступ к сети. Priority: Свободный заголовок, устанавливающий приоритет сообщения. Большинство программ его игнорируют. Часто используется спаммерами в форме «Priority: urgent» с целью привлечения внимания к сообщению. Received: Содержит информацию о прохождении письма через почтовый сервер. Анализируя заголовок «Received:», мы видим, кто его отправил и какой путь оно проделало, попав в наш ящик. Reply-To: — указывает адрес, на который следует посылать ответы. Несмотря на то, что этот заголовок имеет множество способов цивилизованного применения, он также используется спаммерами для отведения гневных ответов получателей спама от себя. Return-Path: — адрес возврата в случае неудачи, когда невозможно доставить письмо по адресу назначения. Обычно совпадает с MAILFROM. Но может и отличаться. Sender: Нетипичен для писем (обычно используется «X-Sender:»), иногда появляется в копиях Usenet-сообщений. Предполагает идентификацию отправителя, в случае с Usenet-сообщениями является более надежным, чем строчка «From:». Subject: — тема сообщения. To: — адрес получателя (или адреса). При этом поле «To:» может не содержать адреса получателя, так как прохождение письма базируется на конвертном заголовке «To», а не на заголовке сообщения «To:». Префикс Resent - может быть добавлен при пересылке письма. Например, «Resent-From:» или «Resent-To:». Такие поля содержат информацию, добавленную тем, кто переслал сообщение: Поле «From:» содержит адрес первоначального отправителя. «Resent-From:» — адрес переславшего. X-заголовки Это отдельный набор заголовков, начинающихся с заглавной X с последующим дефисом. Существует договоренность, согласно который X-заголовки являются нестандартными и добавляются только для дополнительной информации. Поэтому нестандартный информативный заголовок должен иметь имя, начинающееся на «X-«. Эта договоренность, однако, часто нарушается. X-Confirm-Reading-To: — заголовок запрашивает автоматическое подтверждение того, что письмо было получено или прочитано. Предполагается соответствующая реакция почтовой программы, но обычно он игнорируется. X-Errors-To: — заголовок указывает адрес, на который следует отсылать сообщения об ошибках. Он реже соблюдается почтовыми серверами. X-Mailer: или X-mailer: — свободное поле, в котором почтовая программа, с помощью которой было создано данное сообщение, идентифицирует себя (в рекламных или подобных целях). Поскольку спам часто рассылается специальными почтовыми программами, это поле может служить ориентиром для фильтров. X-Priority: — еще одно поле для приоритета сообщения. X-Sender: — почтовый аналог Usenet-заголовка «Sender:». Предполагалось, что он будет доставлять более надежную информацию об отправителе, чем поле «From:», однако в действительности его так же легко подделать. X-UIDL: — уникальный идентификатор, используемый в POP-протоколе при получении сообщений с сервера. Обычно он добавляется между почтовым сервером получателя и собственно почтовой программой получателя. Если письмо пришло на почтовый сервер уже с заголовком «X-UIDL:», это скорее всего спам — очевидной выгоды в использовании заголовка нет, но спаммеры иногда его добавляют. Подробнее о заголовке Received: Заголовок "Received" имеет ключевую роль при анализе письма, так как он содержит информацию, полученную получающим узлом от отправляющего. Отправитель, например, может замаскировать свой спам под обычное безобидное письмо указав в HELO (SMTP-команда, идентифицирующая машину отправителя) некорректную информацию о себе. Рассмотрим этот вариант подробнее: машина spamer.com, IP-адрес которой 202.132.11.48, посылает сообщение машине mail.simpleuser.ru, но пытается ее обмануть, отправив команду HELOfbi.gov. В таком случае заголовок "Received:" получится следующим: Received: from fbi.gov ([202.132.11.48]) by mail.simpleuser.ru (8.8.5)... То есть по заголовку видно, что компьютер mail.simpleuser.ru протоколирует настоящий IP-адрес отправителя. В таком случае, легко можно убедиться, действительно ли IP принадлежит fbi.gov или у письма был другой отправитель. Многие современные почтовые программы умеют делать обратный запрос DNS. Если mail.simpleuser.ru использует подобное программное обеспечение, то строчка "Received" будет начинаться примерно так: Received: from fbi.gov (spamer.com[202.132.11.48]) by mail.simpleuser.ru... В таком случае подделку будет обнаружить совсем просто. Также спамер может попробовать замаскировать свое письмо путем добавления ложных заголовков "Received:" перед отправлением письма. Например, если подобным образом желает схитрить наш старый знакомый spamer.com, то заголовки "Received:" могут выглядеть так: Received: from fbi.gov ([202.132.11.48]) by mail.simpleuser.ru (8.8.5)... Received: from yourPC ([1.1.1.1]) by meil.ry (8.8.3/8.7.2)... Received: reliablesource, 100% non-spam Так как заголовки "Received:" всегда добавляются сверху, то поддельные строки обязательно окажутся внизу списка. Это означает, что, читая строки сверху вниз, отслеживая историю сообщения, можно спокойно отбросить все, что находится ниже первой поддельной строки. Даже если все последующие строчки "Received:" выглядят правдоподобно, они, несомненно, являются подделкой. Сообщение отредактировал webanet - Вторник, 25 Мар 2014, 21:41:32
|
| |||
| |||