Протоколите по имейл не потвърждават, че адресите са легитимни - измамници, phishers и други злонамерени лица използват тази слабост в системата. Можете да разгледате заглавията на подозрителен имейл, за да видите дали адресът е подправен.
Как функционира електронната поща
Вашият имейл софтуер показва кой е имейл от полето "От". В действителност обаче не се извършва проверка - вашият имейл софтуер няма начин да разбере дали в действителност имейлът е от кого се казва, че е от. Всеки имейл съдържа заглавие "От", което може да бъде подправено - например, всеки измамник може да ви изпрати имейл, който изглежда е от адрес [email protected]. Вашият имейл клиент ще ви каже, че това е имейл от Бил Гейтс, но няма начин да го проверите.
Помислете за полето "От" на електронната поща като цифров еквивалент на адреса за връщане, отпечатан върху пликовете, които получавате по пощата. Обикновено хората поставят точен адрес за връщане по пощата. Въпреки това, всеки може да напише нещо, което им харесва, в полето за връщане на адреса - пощенската услуга не потвърждава, че писмото всъщност е от отпечатъчния адрес, отпечатан върху него.
Когато SMTP (прост протокол за прехвърляне на електронна поща) беше разработен през 80-те години за използване от академичните среди и правителствените агенции, проверката на изпращачите не представляваше загриженост.
Как да разследваме хедъра на имейл
Можете да видите повече подробности за имейл, като копнеете в заглавията на имейла. Тази информация се намира в различни области в различни имейл клиенти - може да бъде известна като "източник" или "заглавки" на имейла.
(Разбира се, като цяло е добра идея да се пренебрегват напълно подозрителните имейли - ако изобщо не сте сигурни за имейл, това вероятно е измама.)
В Gmail можете да разгледате тази информация, като кликнете върху стрелката в горния десен ъгъл на имейл и изберете Показване на оригинала, Това показва суровото съдържание на имейла.
По-долу ще намерите съдържанието на действителен спам имейл с фалшив имейл адрес. Ще обясним как да декодираме тази информация.
Delivered-To: [MY EMAIL ADDRESS] Received: by 10.182.3.66 with SMTP id a2csp104490oba; Sat, 11 Aug 2012 15:32:15 -0700 (PDT) Received: by 10.14.212.72 with SMTP id x48mr8232338eeo.40.1344724334578; Sat, 11 Aug 2012 15:32:14 -0700 (PDT) Return-Path: Received: from 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30]) by mx.google.com with ESMTP id c41si1698069eem.38.2012.08.11.15.32.13; Sat, 11 Aug 2012 15:32:14 -0700 (PDT) Received-SPF: neutral (google.com: 72.255.12.30 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=72.255.12.30; Authentication-Results: mx.google.com; spf=neutral (google.com: 72.255.12.30 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by vwidxus.net id hnt67m0ce87b for <[MY EMAIL ADDRESS]>; Sun, 12 Aug 2012 10:01:06 -0500 (envelope-from ) Received: from vwidxus.net by web.vwidxus.net with local (Mailing Server 4.69) id 34597139-886586-27/./PV3Xa/WiSKhnO+7kCTI+xNiKJsH/rC/ for [email protected]; Sun, 12 Aug 2012 10:01:06 –0500
From: “Canadian Pharmacy” [email protected]
Има повече заглавия, но това са важните - те се появяват в горната част на суровия текст на имейла. За да разберете тези заглавия, започнете от дъното - тези заглавки проследяват маршрута на имейла от изпращача до вас. Всеки сървър, който получава имейла, добавя повече заглавия в горната част - най-старите заглавки от сървърите, откъдето е започнал електронната поща, се намират в дъното.
Гнездото "От" в долната част твърди, че имейлът е от адрес @ yahoo.com - това е само част от информацията, включена в имейла; това би могло да бъде всичко. Над нея обаче можем да видим, че имейлът е получен за първи път от "vwidxus.net" (по-долу), преди да бъде получен от имейл сървърите на Google (по-горе). Това е червен флаг - бихме очаквали да видим най-ниското заглавие "Received:" в списъка като един от имейл сървърите на Yahoo !.
Също така, IP адресите могат да ви намерят - ако получите подозрителен имейл от американска банка, но IP адресът, който е получен от решенията в Нигерия или Русия, вероятно е фалшив имейл адрес.
В този случай спамерите имат достъп до адреса "[email protected]", където искат да получат отговори на техния спам, но те все пак копнеят полето "От:". Защо? Вероятно, защото не могат да изпратят огромни количества спам през сървърите на Yahoo! - те ще забележат и ще бъдат затворени. Вместо това изпращат спам от собствените си сървъри и подготвят адреса си.
