Обмислете това като съобщение за обществена услуга: Измамтелите могат да създават имейл адреси. Вашата програма за електронна поща може да каже, че съобщение е от определен имейл адрес, но може да е изцяло от друг адрес.
Протоколите по имейл не потвърждават, че адресите са легитимни - измамници, phishers и други злонамерени лица използват тази слабост в системата. Можете да разгледате заглавията на подозрителен имейл, за да видите дали адресът е подправен.
Вашият имейл софтуер показва кой е имейл от полето "От". В действителност обаче не се извършва проверка - вашият имейл софтуер няма начин да разбере дали в действителност имейлът е от кого се казва, че е от. Всеки имейл съдържа заглавие "От", което може да бъде подправено - например, всеки измамник може да ви изпрати имейл, който изглежда е от адрес [email protected]. Вашият имейл клиент ще ви каже, че това е имейл от Бил Гейтс, но няма начин да го проверите.
Имейлите с фалшиви адреси може да изглеждат от банката ви или от друга легитимна дейност. Те често ще ви поискат чувствителна информация, като например информацията за кредитната Ви карта или номера за социална осигуровка, вероятно след като кликнете върху връзка, която води до фишинг сайт, създаден да изглежда като легитимен уебсайт.
Помислете за полето "От" на електронната поща като цифров еквивалент на адреса за връщане, отпечатан върху пликовете, които получавате по пощата. Обикновено хората поставят точен адрес за връщане по пощата. Въпреки това, всеки може да напише нещо, което им харесва, в полето за връщане на адреса - пощенската услуга не потвърждава, че писмото всъщност е от отпечатъчния адрес, отпечатан върху него.
Когато SMTP (прост протокол за прехвърляне на електронна поща) беше разработен през 80-те години за използване от академичните среди и правителствените агенции, проверката на изпращачите не представляваше загриженост.
Можете да видите повече подробности за имейл, като копнеете в заглавията на имейла. Тази информация се намира в различни области в различни имейл клиенти - може да бъде известна като "източник" или "заглавки" на имейла.
(Разбира се, като цяло е добра идея да се пренебрегват напълно подозрителните имейли - ако изобщо не сте сигурни за имейл, това вероятно е измама.)
В Gmail можете да разгледате тази информация, като кликнете върху стрелката в горния десен ъгъл на имейл и изберете Показване на оригинала, Това показва суровото съдържание на имейла.
По-долу ще намерите съдържанието на действителен спам имейл с фалшив имейл адрес. Ще обясним как да декодираме тази информация.
Доставено до: [Моят имейл адрес]
Получено: от 10.182.3.66 с SMTP id a2csp104490oba;
Съб., 11 Авг 2012 15:32:15 -0700 (PDT)
Получено: от 10.14.212.72 с SMTP id x48mr8232338eeo.40.1344724334578;
Съб., 11 Авг 2012 15:32:14 -0700 (PDT)
Път за връщане:
Получено: от 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net [72.255.12.30])
от mx.google.com с ESMTP id c41si1698069eem.38.2012.08.11.15.32.13;
Съб., 11 Авг 2012 15:32:14 -0700 (PDT)
Получено - SPF: неутрално (google.com: 72.255.12.30 не е разрешено, нито е отказано от най-добрите познания за домейна на [email protected]) client-ip = 72.255.12.30;
Автентификация-резултати: mx.google.com; spf = неутрален (google.com: 72.255.12.30 не е разрешен или отказан от най-добрия досега рекорд за домейна на [email protected]) [email protected]
Получено: от vwidxus.net id hnt67m0ce87b за; Сря, 12 Авг 2012 10:01:06 -0500 (плик-от)
Получено: от vwidxus.net от web.vwidxus.net с местен (Mailing Server 4.69)
id 34597139-886586-27 /./ PV3Xa / WiSKhnO + 7kCTI + xNiKJsH / rC /
за [email protected]; Сря, 12 Авг 2012 10:01:06 -0500…
От: "Канадска фармация" [email protected]
Има повече заглавия, но това са важните - те се появяват в горната част на суровия текст на имейла. За да разберете тези заглавия, започнете от дъното - тези заглавки проследяват маршрута на имейла от изпращача до вас. Всеки сървър, който получава имейла, добавя повече заглавия в горната част - най-старите заглавки от сървърите, откъдето е започнал електронната поща, се намират в дъното.
Гнездото "От" в долната част твърди, че имейлът е от адрес @ yahoo.com - това е само част от информацията, включена в имейла; това би могло да бъде всичко. Над нея обаче можем да видим, че имейлът е получен за първи път от "vwidxus.net" (по-долу), преди да бъде получен от имейл сървърите на Google (по-горе). Това е червен флаг - бихме очаквали да видим най-ниското заглавие "Received:" в списъка като един от имейл сървърите на Yahoo !.
Също така, IP адресите могат да ви намерят - ако получите подозрителен имейл от американска банка, но IP адресът, който е получен от решенията в Нигерия или Русия, вероятно е фалшив имейл адрес.
В този случай спамерите имат достъп до адреса "[email protected]", където искат да получат отговори на техния спам, но те все пак копнеят полето "От:". Защо? Вероятно, защото не могат да изпратят огромни количества спам през сървърите на Yahoo! - те ще забележат и ще бъдат затворени. Вместо това изпращат спам от собствените си сървъри и подготвят адреса си.
