Заголовки электронной почты SMTP: обратный путь против отправителя и от
Пожалуйста, помогите мне сделать заказ с заголовками писем.
Что означает каждое из следующего: return-path, sender, from.
Вопрос задается в контексте приложения для получения электронной почты (скажем, постерного клона).
- Что можно легко подделать?
- Что можно проверить?
- При каких обстоятельствах три или два из них могут различаться?
3 ответа
Основываясь на моем опыте -
От человека, написавшего письмо. Это может быть установлено почтовым программным обеспечением пользователя.
Return-Path - это адрес, по которому должны доставляться сообщения о возврате (недоставленные уведомления и т. Д.). Это может быть установлено отправляющим или получающим почтовым сервером, или иногда почтовым программным обеспечением пользователя. Для обычного сообщения оно обычно совпадает с адресом "От". Некоторые сообщения (часто сгенерированные системой сообщения) могут использовать другой Return-Path, а отказовые сообщения обычно оставляют его пустым.
Отправитель - это лицо, отправившее электронное письмо, если оно отличается от От ("Отправлено Отправителем от имени От"). Иногда это устанавливается почтовым программным обеспечением пользователя, а иногда его почтовым сервером. Это, если присутствует, должно отличаться от адреса "От".
Эти заголовки могут быть легко подделаны, так что проверка в значительной степени закончена.
Однако, если отправляющий домен имеет запись SPF, вы можете проверить полученные заголовки по списку утвержденных почтовых серверов для этого домена. Это по крайней мере скажет вам, действительно ли сообщение пришло с этого домена, но это не гарантирует, что конкретный пользователь отправил его (оно могло быть подделано другим пользователем в том же домене). Кроме того, не все домены публикуют записи SPF, поэтому это не всегда возможно.
Заголовок "От" - это лицо, от которого пришло сообщение. От кого почтовый клиент получателя должен показать сообщение, от кого.
Заголовок Return-Path указывает, куда должны быть доставлены ответы (или отскоки / отчеты о недоставке). Это может отличаться от адреса "От" в случае списков рассылки и многих автоматических сообщений, когда отказов отправляются в систему, которая удаляет недоставленные адреса.
Отправитель может рассматриваться как более конкретная версия заголовка From. Если сообщение было отправлено кем-то или другой системой с фактическим адресом "От". Примерами могут быть gmail, если он настроен для домена, не размещенного в Gmail. В этом случае заголовок From будет содержать "you@yourdomain.com", а отправителем будет "someuser@gmail.com". Многие почтовые клиенты теперь отображают это как''someuser@gmail.com от имени you@yourdomain.com '. Заголовок "Отправитель" должен использоваться для целей проверки подлинности почты (SPF/DKIM), поскольку именно эта система фактически создала сообщение.
Я бы добавил, что по нашему опыту вы не можете проверить, кто отправляет сообщение из заголовков.
По этой причине многие люди используют одноразовые адреса (example+uniquecode@example.com) и присваивают каждому исходящему сообщению адрес для отправки, чтобы проверить, кто отправляет сообщение. Некоторые другие пользователи включают что-то в строку темы.
Постеры часто задаваемые вопросы предполагают, что они делают что-то дополнительно, чтобы убедиться, что вы являетесь тем, кем вы говорите. Например, вы можете отслеживать IP/DNS сервера, который доставляет электронную почту на ваш почтовый сервер в первый раз, а затем попросить пользователя подтвердить, если вы подозреваете, что существует проблема. Хотя легко подделать заголовки, не так легко получить их входящую почту.