Come puoi falsificare un indirizzo email?

Di recente qualcuno mi ha chiesto se un'email che aveva ricevuto era spam. Sembrava provenire da una nota banca (Belfius.be) in Belgio. Ha dichiarato che alcune informazioni erano obsolete e che necessitavano di revisione. Naturalmente, la prima cosa che viene in mente è che si tratta di spam. Perché?

• Carichi di errori nel linguaggio, frasi sbagliate ...
• Il collegamento fornito era un collegamento malvagio : sembrava che portasse al sito Web di Belfius (qualcosa come belfius.be/revision1285 ). Ma quando ci passi sopra, potresti vedere che in realtà si riferiva a un altro sito web. Un dominio .ca anche.

Ora, ho subito detto Non fare clic su quel link ma qualcosa mi ha fatto meravigliare. L'email del mittente era noreply@belfius.be e belfius.be è il sito ufficiale della banca. Quindi, come può essere? Come possono falsificare il loro indirizzo email?

Semplice. Modificando l' From:intestazione durante l'invio della posta. Questo è noto come "spoofing e-mail" . L'intestazione From: è facilmente modificabile se stai inviando la posta tramite PHP o qualcosa del genere, non sono richiesti trucchi fantasiosi. Ciò che non è modificabile, tuttavia, è l'indirizzo IP / il nome di dominio del sito da cui ha avuto origine. Se controlli l'e-mail in chiaro (in Gmail, vai al menu accanto al pulsante di risposta e "mostra messaggio originale"), le Received:intestazioni portano tutte le informazioni sul suo percorso (Più in basso Received:nell'intestazione è, più indietro nella catena di posta elettronica è). Si noti che un'e-mail che passa attraverso più hop può avere anche alcune delle intestazioni più profonde falsificate. Devi andare verso il basso, vedendo quali intestazioni (cioè siti) ti fidi.Received: from abc.com (IP address) by something.google.com (IP)(supponendo che tu abbia Gmail, altrimenti bysarà diverso). Ora, questa intestazione è stata scritta dalla byparte. Inizia dall'alto, le prime poche Received:intestazioni non avranno un from/ by. Trova il primo con quelli. Appartiene byal tuo provider di posta elettronica, di cui ti fidi. Vedi se ti fidi di from, e se lo fai, vai all'intestazione successiva Received:(di cui ora ti fidi) e così via. Se non ti fidi di un'intestazione in mezzo, non ci si può fidare di tutti quelli sotto di essa - quelli potrebbero essere stati falsificati.

Gmail generalmente rileva lo spoofing, tuttavia, e inserisce una specie di nota "abc@def.com via ghi@jkl.com" nell'email. Nota che ci sono usi perfettamente legittimi dello spoofing delle e-mail: molte mailing list falsificano le e-mail per un'esperienza più fluida. Quindi fai alcuni forum / forum. Qui, inviano l'e-mail per far sembrare che provenga dal poster originale. L' Reply-To:intestazione è impostata su list / webapp / qualunque sia l'ID e-mail, quindi rispondendo di default andrà alla lista (/ etc). L'elenco può quindi gestirlo come meglio crede: può verificare la presenza di spam, può essere sospeso per moderazione, ecc. Quando vuole inviarlo, falsificherà il tuo indirizzo e lo invierà a tutti gli utenti dell'elenco (che è esattamente quello che volevi: poter avere discussioni basate su e-mail senza usare "Rispondi a tutti"

Quello che fanno alcuni spoofer "legittimi" è che impostano l' Sender:intestazione sul loro ID. Questo dovrebbe significare "Inviato da Senderper conto di From". Nota che la presenza di Sender:un'intestazione non significa nulla quando si tratta di spoofing "illegittimo" - anche quell'intestazione è spoofable. Come ho detto, l'unico modo per verificare è tramite le Receivedintestazioni.

È banale usare un falso indirizzo "da". Il modo per principianti è semplicemente modificare le impostazioni nel tuo client di posta e cambiare l'impostazione predefinita dall'indirizzo. Molti fornitori di servizi invieranno un'email con un falso dal campo perché il server di posta elettronica non sa quale sia quello reale.

Gli spammer utilizzano software personalizzati dedicati e usano sempre falsi dagli indirizzi.