Считайте это публичным объявлением: мошенники могут подделать адреса электронной почты. Ваша программа электронной почты может сказать, что сообщение пришло с определенного адреса электронной почты, но оно может быть целиком с другого адреса.
Протоколы электронной почты не проверяют правильность адресов – мошенники, фишеры и другие злоумышленники используют эту уязвимость в системе. Вы можете проверить заголовки подозрительного письма, чтобы увидеть, был ли его адрес поддельным.
Как работает электронная почта
Ваше почтовое программное обеспечение отображает, от кого электронная почта, в поле «От». Однако проверка на самом деле не выполняется – ваше почтовое программное обеспечение не может узнать, действительно ли это письмо от того, от кого оно написано. Каждое электронное письмо содержит заголовок «От», который может быть подделан – например, любой мошенник может отправить вам электронное письмо с адреса bill@microsoft.com. Ваш почтовый клиент скажет вам, что это электронное письмо от Билла Гейтса, но у него нет никакой возможности проверить его.
Электронные письма с поддельными адресами могут показаться из вашего банка или другого законного предприятия. Они часто спрашивают у вас конфиденциальную информацию, такую как номер вашей кредитной карты или номер социального страхования, возможно, после нажатия на ссылку, которая ведет к фишинговому сайту, который выглядит как законный веб-сайт.
Поле «От» в письме следует считать цифровым эквивалентом обратного адреса, напечатанного на конвертах, которые вы получаете по почте. Обычно люди помещают точный обратный адрес на почту. Однако любой может написать что угодно в поле обратного адреса – почтовая служба не проверяет, действительно ли письмо отправлено с обратного адреса, напечатанного на нем.
Когда SMTP (простой протокол пересылки почты) был разработан в 1980-х годах для использования научными кругами и правительственными учреждениями, проверка отправителей не была проблемой.
Как исследовать заголовки письма
Вы можете увидеть более подробную информацию об электронном письме, покопавшись в заголовках письма. Эта информация находится в разных местах в разных почтовых клиентах – она может называться «источником» или «заголовком» письма.
(Конечно, обычно хорошей идеей является полное игнорирование подозрительных электронных писем – если вы совсем не уверены в электронном письме, это, вероятно, мошенничество.)
В Gmail вы можете проверить эту информацию, нажав стрелку в верхнем правом углу электронного письма и выбрав Показать оригинал . Это отображает сырое содержимое электронной почты.
Ниже вы найдете содержимое фактического спам-сообщения с поддельным адресом электронной почты. Мы объясним, как расшифровать эту информацию.
Доставлено: [МОЙ ЭЛЕКТРОННЫЙ АДРЕС]
Получено: по 10.182.3.66 с SMTP-идентификатором a2csp104490oba;
Суббота, 11 августа 2012 15:32:15 -0700 (PDT)
Получено: 10.14.212.72 с SMTP-идентификатором x48mr8232338eeo.40.1344724334578;
Суббота, 11 августа 2012 15:32:14 -0700 (PDT)
Возврат-путь:
Получено: от 72-255-12-30.client.stsn.net (72-255-12-30.client.stsn.net. [72.255.12.30])
от mx.google.com с идентификатором ESMTP c41si1698069eem.38.2012.08.11.15.32.13;
Суббота, 11 августа 2012 15:32:14 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 72.255.12.30 не разрешено и не отклонено из-за записи с лучшим предположением для домена e.vwidxus@yahoo.com) client-ip = 72.255.12.30;
Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 72.255.12.30 не разрешено и не отклонено в соответствии с наилучшей записью предположения для домена e.vwidxus@yahoo.com) smtp.mail=e.vwidxus@yahoo.com
Получено: от vwidxus.net id hnt67m0ce87b for; Воскресенье, 12 августа 2012 10:01:06 -0500 (конверт из)
Получено: от vwidxus.net через web.vwidxus.net с локальным (почтовый сервер 4.69)
id 34597139-886586-27/./ PV3Xa/WiSKhnO + 7kCTI + xNiKJsH/rC/
для root@vwidxus.net; Воскресенье, 12 августа 2012 г. 10:01:06 –0500
…
От: «Канадская аптека» e.vwidxus@yahoo.com
Заголовков больше, но это важные – они появляются в верхней части исходного текста письма. Чтобы понять эти заголовки, начните снизу – эти заголовки отслеживают маршрут письма от его отправителя к вам. Каждый сервер, который получает электронную почту, добавляет новые заголовки – самые старые заголовки с серверов, с которых начиналась электронная почта, располагаются внизу.
В заголовке «От» внизу утверждается, что электронное письмо пришло с адреса @ yahoo.com – это просто часть информации, включенная в электронное письмо; это может быть что угодно. Тем не менее, над ним мы видим, что электронное письмо было сначала получено vwidxus.net (ниже), а затем получено почтовыми серверами Google (выше). Это красный флаг – мы ожидаем, что самый низкий заголовок «Received:» в списке будет одним из почтовых серверов Yahoo !.
Соответствующие IP-адреса могут также подсказать вам – если вы получаете подозрительное электронное письмо от американского банка, но IP-адрес, с которого он был получен, разрешается в Нигерию или Россию, это, вероятно, поддельный адрес электронной почты.
В этом случае спаммеры имеют доступ к адресу «e.vwidxus@yahoo.com», где они хотят получать ответы на свой спам, но в любом случае они подделывают поле «От:». Зачем? Вероятно, потому, что они не могут отправлять огромное количество спама через серверы Yahoo! – их заметят и закроют. Вместо этого они рассылают спам со своих серверов и подделывают его адрес.