Question Le courrier électronique qui m'a été envoyé est adressé à MAIL@MAIL.COM. Comment ça se passe?


J'ai récemment reçu un e-mail frauduleux et, pour des rires, je l'ai ouvert pour le lire. Très simple et pas trop d'efforts.

J'ai remarqué quelque chose de particulier. Cet email ne m'a pas été adressé. Au début, je soupçonnais un CC, ou un BCC, mais nulle part il n'a mon adresse sur le courrier. J'ai fourni une image ci-dessous. Comment ça se passe?

enter image description here


103
2018-05-15 18:22


origine


Publiez les en-têtes de message complets ... Vous pouvez également avoir une adresse SMTP secondaire sur le serveur de messagerie auquel cela a été envoyé. Les administrateurs du serveur de messagerie doivent pouvoir vous conseiller à ce sujet, mais modifier vous répondez et affichez également les détails complets de l'en-tête de message de ce message. - Pimp Juice IT
Vous étiez probablement dans le copie carbone invisible domaine de l'email. - Mokubai♦
Vous ne verrez pas la liste BCC, c'est la partie "B". ;) - Ƭᴇcʜιᴇ007
@tuskiomi Non, pas dans Outlook. Gmail montre bcc: me, peut-être que d'autres le font aussi ... Mais si vous regardez les en-têtes de message complets, vous devriez y voir votre email - wysiwyg
@tuskiomi - Non, vous ne verrez jamais personne dans BCC, pas même vous-même. De plus, s’il s’agit de spam, il se peut même qu’il n’y ait même pas de liste BCC; Le spamware peut gérer la liste des destinataires comme il le souhaite, et ce qui importe en fin de compte, c'est le dialogue du spamware avec le serveur de messagerie - et non le contenu du courrier. La seule façon de voir votre adresse e-mail est de regarder les en-têtes Internet. - Jeff Zeitlin


Réponses:


Un message électronique Internet se compose de deux parties. Nous pouvons les appeler les enveloppe et le message de charge utile ou simplement message.

L'enveloppe a des données de routage: Il s'agit principalement de l'adresse de l'expéditeur et d'une ou plusieurs adresses de destinataire.

Le message a le contenu du message: ligne d'objet, corps du message, pièces jointes, etc. Il contient également des informations techniques telles que trace (Received:) en-têtes, données DKIM, etc. aussi bien que affiché adresse de l'expéditeur et du destinataire (ce que vous voyez dans le From, To et Cc champs dans votre client de messagerie).

En voici le coeur: Les deux n'ont pas à être d'accord!

Un serveur de messagerie examinera les données de l'enveloppe pour déterminer comment envoyer le message. Par contre, à quelques exceptions près, le message lui-même sera traité comme de simples données. En particulier, un serveur de courrier bien comporté ne fait pas regarde le To: et Cc: champs du message lui-même pour déterminer la liste des destinataires, et ne regarde pas non plus la From: champ pour déterminer l'adresse de l'expéditeur.

Lorsque vous composez et envoyez un e-mail, votre client e-mail prend ce que vous avez entré dans les champs To, Cc et Bcc et le traduit en informations de routage d'enveloppe. Cela se fait principalement en supprimant tous les noms complets (ne laissant que les adresses électroniques), mais peut également impliquer des choses telles que la réécriture d'adresses, l'extension des alias, etc. Le résultat est une liste d'adresses de messagerie qui sont données au serveur de messagerie auquel votre client de messagerie parle en tant que liste de destinataires. Les listes A et Cc sont conservées dans le courrier électronique, mais le fichier Cci n'est pas transmis au serveur, ce qui le rend invisible pour les destinataires des messages. L'adresse de l'expéditeur fonctionne de manière très similaire.

Lorsque le message atteint sa destination finale, les données de l'enveloppe sont soit supprimées, soit conservées dans les en-têtes de message détaillés. C'est l'une des raisons pour lesquelles Spittin 'IT a demandé les en-têtes de message complets dans un commentaire à votre question.

De plus, avec le courrier électronique sur Internet, il est possible de parler directement à un serveur de messagerie et d'injecter ainsi un message présentant une incompatibilité entre les données d'enveloppe et les données de message normales. sage client de messagerie ne vous laisserait pas composer. Aussi, les serveurs de messagerie vérifient à des degrés divers l'adresse de l'expéditeur dans les données de l'enveloppe; certains le vérifient à peine au-delà de s'assurer qu'il s'agit d'un syntaxiquement Adresse e-mail valable. L'en-tête From des données de message est soumis à un examen encore moins minutieux.

Étant donné que le client de messagerie destinataire affiche ce qui se trouve dans les en-têtes De, À et Cc, et non les données d'adresse de l'enveloppe, il est possible d'y mettre tout ce que vous voulez et le client de courrier électronique destinataire n'aura aucun recours, mais à croire qu'il est raisonnablement exact. Pour le courrier légitime, il est généralement suffisamment précis; pour le spam, il ne l'est presque jamais.

Dans le monde des objets matériels et tangibles habités par nous, de simples humains, la expéditeur d'enveloppe et destinataire de l'enveloppe correspond à l'adresse de retour et à l'adresse du destinataire, respectivement, que vous écrivez à l'extérieur de l'enveloppe; et le From: et To:/Cc: les en-têtes correspondent à ce que vous avez mis comme adresse et adresse du destinataire, respectivement, dans la lettre que vous mettez dans l'enveloppe.


154
2018-05-15 18:56



Je souhaite que les gens fassent plus d'analogies du monde réel pour que les autres comprennent ce qu'est l'équivalent physique. L '"expéditeur" d'un email est comme la personne qui remet l'enveloppe au facteur. L'adresse "from" est celle dont elle est destinée. Comme si vous pouviez être une secrétaire pour le compte de quelqu'un d'autre, etc. - Mehrdad
@ Mehrdad Non; le (SMTP) expéditeur d'enveloppe L'adresse est comme l'adresse de retour à l'extérieur de l'enveloppe (où elle est envoyée si elle ne peut pas être livrée), alors que l'adresse dans le From en-tête est ce que vous écrivez sur le morceau de papier que vous collez à l'intérieur l'enveloppe et que le facteur ne sait même pas. - Michael Kjörling
Je pensais à l'en-tête Sender: lorsque j'ai écrit cela, et ce n'était qu'un exemple. Il suffit de dire que ce serait bien d’ajouter un exemple comme celui-ci à votre réponse. - Mehrdad
le quantité de bolding ici est vraiment inutile au mieux. Et c'est seulement mon avis. - JakeGould
@SupremeGrandRuler Parce que le bénéficiaire les informations (contrairement à un possible expéditeur ou chemin de retour) ne sont pas contenues dans le courrier électronique. Imaginez que la liste complète des destinataires soit incluse, y compris les adresses que le MUA a obtenues du champ Cci (rappelez-vous: SMTP (le protocole d'enveloppe) ne connaît pas Bcc, il ne connaît que les destinataires) ... énorme gaspillage d'espace) non seulement sur les grandes listes de diffusion (fonctionnant selon le même principe que Cci). - Jonas Wielicki


tl; dr en bas.

Le protocole SMTP n'a pas la notion de destinataires CC ou BCC; Ceci est une convention tenue par les clients de messagerie. Le serveur SMTP ne se soucie généralement que des informations et des données de routage. Ceci est une distinction importante, car sans cette capacité, BCC ne pourrait pas exister. En tant que communication BCC légitime, tenez compte de la transcription client suivante:

HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<anonymous@another-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM

This is an important meeting notice. We'll meet tomorrow.

.

Maintenant, dans ce cas, Anonymous a reçu un message à propos de cette réunion. Cependant, cette version du mail était ne pas acheminé à Jane Doe; elle ne sait rien sur la notification d'Anonym. En revanche, Jane Doe recevra le message avec un corps et un en-tête différents:

HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<jane.doe@to-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM

This is an important meeting notice. We'll meet tomorrow.

.

Ici, puisque Anonymous était dans le BCC, le message envoyé à Jane Doe n'incluait pas la liste des destinataires BCC. En raison de la convention BCC, l'enveloppe de courrier électronique peut ne pas inclure les destinataires qui ont effectivement reçu le message et peut également inclure des destinataires qui n'apparaissent pas dans les en-têtes de message.

Comme mentionné par @JonasWielicki, que je voulais également inclure, est que l'agent MUA (Mail User Agent) est généralement responsable de l'envoi des multiples e-mails requis pour implémenter BCC. Les serveurs de messagerie ne connaissent rien au BCC. Le MUA doit donc implémenter BCC en envoyant plusieurs courriers électroniques avec différentes routes de messagerie spécifiées dans les en-têtes de l'enveloppe. Pour cette raison, les BCC prennent généralement plus de temps à envoyer que les e-mails normaux, car différents corps de message doivent être créés et envoyés individuellement.

Cela aide également avec certaines règles de conformité de messagerie. Par exemple, un serveur de messagerie peut avoir des règles configurées pour BCC automatiquement un serveur de messagerie d'archives (tous les emails qui lui sont envoyés sont également archivés), auquel cas le serveur de messagerie peut ne pas être un véritable destinataire.

HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<mail-archive@archive-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM

This is an important meeting notice. We'll meet tomorrow.

.

Ici, le destinataire est une autre partie qui n'est complètement divulguée à aucun des destinataires ou même à l'expéditeur. C'est une caractéristique du protocole, généralement utilisée pour relayer ou archiver des messages.

Ce que ce message de spam a fait est de tirer parti de ce comportement. Il s'agit d'une faille standard qui devrait techniquement fonctionner avec n'importe quel serveur de messagerie conforme. Bien sûr, de nombreux serveurs mis à jour utilisent des "extensions" comme DKIM pour vérifier qu'un tel email est authentique, mais il existe encore de nombreux anciens serveurs de messagerie, simplement parce qu'il est tentant de ne pas résoudre les problèmes.

Notez également comment j'ai spécifié un en-tête Date. Cela peut être n'importe quelle valeur arbitraire (mais bien formatée); de nombreux clients afficheront volontiers toute date légale allant du passé lointain au futur lointain. Il y a quelques années, j'ai moi-même envoyé un e-mail qui restera en haut de ma boîte aux lettres longtemps après mon espérance de vie, ainsi qu'un e-mail antérieur à mon compte e-mail et ma propre naissance.

tl; dr

Ainsi, en résumé, l'expéditeur a usurpé un courrier électronique, le serveur de messagerie d'origine l'a accepté / relayé, votre serveur de messagerie l'a accepté et l'a enregistré dans votre boîte de réception et votre client a fidèlement affiché les données contenues dans votre boîte de réception. toute sécurité. La sécurité de "l'envoi" est souvent beaucoup moins restreinte que la "réception" de la sécurité dans cette perspective, car POP3 requiert presque toujours un nom d'utilisateur et un mot de passe avant de pouvoir accéder à une boîte aux lettres (vous pouvez théoriquement contourner cela mais services de messagerie qui font).


23
2018-05-16 00:33



Vous devriez noter que le décapage de Cci est généralement ne pas gérées par les serveurs de messagerie (la transcription SMTP que vous avez fournie suggère le contraire, car le HELO ressemble à un serveur de messagerie et non à un MUA). Fournir une copie avec en-tête Bcc à la personne adressée dans cet en-tête nécessite un travail supplémentaire du MUA en envoyant deux e-mails distincts. - Jonas Wielicki
@ JonasWielicki C'est un bon point. J'ai ajouté une édition à cet effet. - phyrfox
Si vous ajoutez une ligne ccc à un courrier livré, il n'est plus aveugle :) - eckes
Exiger que le client envoie plusieurs messages en cas de CCB est incorrect. Il est parfaitement judicieux d’envoyer un seul message. Le client SMTP peut lister plusieurs RCPT TO instructions. La seule exigence est que le serveur SMTP récepteur soit le serveur faisant autorité pour les deux destinataires, ou soit prêt à relayer pour tout ce qu'il n'est pas. - Patrick


SMTP et le courrier électronique sont des services Internet très anciens à une époque où la sécurité et l’authentification étaient beaucoup moins sérieuses (le DNS en est un autre exemple). La conception du protocole ne fait aucun effort pour vérifier l'authenticité de l'adresse de l'expéditeur et valide uniquement l'adresse du destinataire dans la mesure où elle garantit que le courrier est livrable.

Le courrier électronique est transmis via le protocole SMTP. Le protocole SMTP est relativement stupide; il fournit une facilité pour transmettre le texte en clair à une adresse e-mail et très peu plus. La structure de ce texte en clair est définie par RFC 5322. L'idée générale est que le texte du courrier électronique comporte des métadonnées appelées en-tête et le corps du texte du message. Cet en-tête d'e-mail est généré par l'expéditeur (aucun ne peut être approuvé) et contient des champs tels que "à:", "à partir de:", "sujet:", etc ...

Le protocole SMTP ne valide pas (et n'est pas censé) valider que les en-têtes d'e-mail correspondent à un nombre très limité d'éléments définis dans le protocole SMTP, à savoir votre adresse e-mail et une adresse e-mail d'expéditeur jamais validée.

Presque tout dans un message électronique peut être faux.

La seule chose encore digne de confiance sur le contenu des e-mails aujourd'hui est la signature DKIM, qui prouve que l'e-mail a été traité via un serveur de messagerie approuvé par le registrant du domaine. En creusant plus profondément, vous constaterez que ce courrier électronique frauduleux n'a pas de signature DKIM.


6
2018-05-15 22:28



J'ajouterais la finale Received: En-tête ajouté par votre propre système aux pièces de confiance. - Hagen von Eitzen


Adresse To dans l'en-tête d'email est à titre informatif et il est montré par le client de messagerie. L'adresse du destinataire réel est donnée avec RCPT TO dans SMTP. Il en va de même si vous écrivez une lettre, mettez une enveloppe, écrivez l'adresse 1 sur l'enveloppe. Ensuite, allez au courrier, donnez une autre adresse-2. Le courrier met votre enveloppe dans une enveloppe plus grande avec l'adresse 2 et l'envoi ira là-bas. Votre secrétaire (logiciel client de messagerie) met l'enveloppe externe à la corbeille et vous affiche l'enveloppe interne avec l'adresse 1. Vous pouvez le voir avec la vue RAW du message électronique.


3
2018-05-16 08:33





Ceci est un aspect légèrement différent, basé sur l'examen des en-têtes. Les autres réponses traitent les détails de SMTP mieux que moi.

Si vous pouvez obtenir les en-têtes complets de votre message, recherchez-les pour votre adresse, vous mai le trouver dans un champ appelé Envelope-to, Delivered-to ou X-Apparently-to. Le premier est utilisé par mon fournisseur de messagerie, le second par Gmail; J'ai vu le troisième aussi. Ce sont des champs différents, mais pour notre propos, nous avons tendance à dire la même chose: la boîte aux lettres dans laquelle envoyer le message. J'ai testé en envoyant depuis Outlook (version de bureau) avec le destinataire BCCed.

Mon fournisseur de messagerie utilise également le Delivered-To champ mais pour le nom de la boîte aux lettres sur leur serveur. Ce n’est pas mon adresse e-mail bien qu’elle ressemble à celle-ci (pensez ChrisH-$ACCOUNTNAME@$SERVER.mail.com).

Outlook (associé au serveur d’échange) n’inclut pas dans les en-têtes un seul champ avec l’adresse électronique du destinataire si vous êtes répertorié comme BCC.


2
2018-05-16 08:23