Что означает X-Sender-Id в необработанном источнике электронной почты (найдено в фишинговой электронной почте)?
Кто-то в моей компании подвергается фишингу. Моим первым предложением было просто сменить пароль. Однако через некоторое время я снова получил поддельное письмо с ее адреса.
Глядя на необработанный источник электронного письма, я обнаружил, что в X-Sender-ID есть электронное письмо другого человека, и мне интересно, кто это может быть. Это тот человек, который отправил электронное письмо, или это может быть взломанный аккаунт? (Я заменил письмо на "somebody@host.com")
X-Virus-Scanned: OK
Received: by smtp5.relay.iad3a.emailsrvr.com (Authenticated sender: somebody-AT-host.com) with ESMTPA id DF2788019C;
Fri, 21 Nov 2014 07:54:42 -0500 (EST)
X-Sender-Id: somebody@host.com
Received: from smtp.emailsrvr.com ([UNAVAILABLE]. [2.133.148.211])
by 0.0.0.0:587 (trex/5.3.2);
Fri, 21 Nov 2014 12:54:46 GMT
Что такое X-Sender-ID? И что это за электронная почта?
3 ответа
Мои обсуждения основаны на этом RFC, который описывает Улучшение конфиденциальности для электронных писем, которые вы, очевидно, используете.
В основном это говорит о X-Sender-ID:
[...] поле инкапсулированного заголовка, обязательное для всех сообщений с повышенной конфиденциальностью, идентифицирует отправителя сообщения и обеспечивает компонент идентификации IK отправителя.
Что это значит?
Прежде всего вы должны проверить, правильно ли подписана почта. Если это так, вы можете быть уверены, что у кого-то есть сертификат@host.com. И вы можете быть уверены, что полученное вами письмо было отправлено с этого почтового адреса.
Я не могу рассказать вам о последствиях этого факта, так как я не знаю, как ваша компания развертывает сертификаты и т. Д.... почтовый адрес / сертификат также мог быть взломан и, следовательно, злоупотреблен.
Я надеюсь, что это поможет вам в ваших дальнейших исследованиях.
Хотя ответ @LMF является полезной технической информацией, я хотел бы предложить возможное альтернативное объяснение.
Спамеры, которые не знакомы с электронной почтой (и PHP-программисты без других злонамеренных намерений), как правило, поддаются культовому программированию, когда дело доходит до заголовков электронной почты. Другими словами, если есть что-то, чего они не понимают, они могут подумать, что это делает что-то полезное, и включить это в свой шаблон сообщения.
Без знания вашей инфраструктуры электронной почты или других ваших сообщений для сравнения, я бы просто предположил, что все ниже самого верхнего Received: заголовок подделан, и в основном без смысла.
Если у вас есть система, которая запускает то, что называется trex (может быть, этот?) и ему действительно удается написать Received: такой заголовок, я могу ошибаться. Формат без необходимости отклоняется от де-факто стандартного шаблона Sendmail в некоторых местах, но он не является технически неправильным (формат в основном произвольной формы, но введение специального синтаксиса затрудняет гадание, что означают поля).
Опять же, больше информации о том, как выглядит ваша типичная электронная почта (и типичная почта вашего корреспондента), это тяжело на спекуляциях.
x-sender-id, вместе с x-recipient-id используются для указания того, какой ключ обмена использовался при трансляции сообщения.
X-отправитель-ID
entity_id : issuing_authority : version
X-реципиент-IDentity_id : issuing_authority : version
Первое поле содержит идентификатор отправителя или получателя. Первое поле является обязательным, должно быть уникальным и должно быть отформатировано как
user@hostтогда как хост - это полный адрес хоста.Второй идентифицирует имя органа, который выдал ключ обмена.
Третье поле определяет конкретный тип ключа обмена, который был использован. Это представлено буквенно-цифровой строкой, определенной органом выдачи для обозначения и организации многочисленных ключей обмена, выпущенных этим органом. Рекомендуется использовать метку времени, но это не всегда так.
Если значения полей x-sender-id второе и третье поля идентичны x-recipient-id они могут быть указаны только в поле, определенном последним.