dav*_*lab 13 email identity-management
我刚刚收到了一家我很想为之工作的公司的电子邮件,但我不相信给我发电子邮件的人是真的,还是骗局。有没有办法基于 MIME 信息和所有电子邮件标头来启发式确定电子邮件是否来自它所说的来自谁?
更新
感谢每个人的精彩答案,我认为没有一种好方法可以告诉。我检查了 DNS 服务器上的 MX 记录以及域和 IP 地址的 WHOIS 记录,并且全部检查完毕。就某些情况而言,我是在 LinkedIn 上首先联系到的,所以这并非完全出乎意料。
Rob*_*vey 10
不是绝对的。伪造标题中的信息太容易了。
使用传统方法验证公司。从411信息中获取该公司的号码并致电他们。询问有问题的职位。如果职位名称未通过,请要求与负责职位空缺的人员交谈。
注意:如果电子邮件中以任何方式提及金钱,那很可能是假的。您可以通过在电子邮件中搜索一个独特的短语来查看它。此类电子邮件通常会出现在 Snopes.com 和类似网站上。
大多数信誉良好的公司不会以这种方式招揽员工,所以除非你是同事推荐的,否则很可能是假的。
小智 10
并非所有电子邮件标题都可以伪造。一旦电子邮件被提供电子邮件服务的受信任服务器收到,Received: 标头就是可靠的。
考虑这个 Received: 标题字符串:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
最底部的 Received: 标头后面是消息的正文,其中包括 To: 和 From: 标头,它们可以被伪造。但是让我们遵循 Received: 标题:
第一个标头表明 IP 地址为 10.0.0.4 的名为 superuser.com 的服务器向服务器 mail1.stackoverflow.com 发送了一条消息。知道在这种情况下这两个名称都是预期的,Received: 标头指示邮件服务器超级用户复合体内的内部转发。
下一个 Received: 标头表明地址为 69.59.196.214 的 mail1.stackoverflow.com 将邮件转发到了 mx.google.com。我们可以确认 mail1.stackoverflow.com 的公共 IP 地址是 69.59.196.214 并且由于 google 是我的电子邮件提供商,我希望 google.com 上的邮件交换器 (mx) 会收到我的邮件。这是与我的邮件域(google)的第一次联系,无法伪造。当然,在这个头下面可能有大量伪造的 Received: 头,所以找到第一个可靠的 Received: 头可能很棘手。
最后两个 Received: 标头显示 net 10 地址,因此这些是 google 域内的转发。这也不意外。
恶意邮件服务器可能会在流中插入许多虚假的 Received: 标头,但总会有一个来自可信来源,在本例中为 mx.google.com。第一个受信任的 Received: 标头指示实际转发电子邮件的公共 IP 地址。如果此 IP 地址可疑,或与报告的域名不匹配,则您必须怀疑邮件的全部内容。
您可以使用“查看源代码”命令阅读大多数电子邮件客户端中的 Received: 标头。自下而上阅读并找到第一个可靠的 Received: 标题需要一些技巧,但是一旦找到,验证它既快速又有用。
| 归档时间: |
|
| 查看次数: |
22168 次 |
| 最近记录: |