我刚刚收到一封电子邮件,发件人是一家我非常想为之工作的公司,但我不确定发邮件的人是真的还是骗子。有没有一种方法可以根据 MIME 信息和所有电子邮件标头启发式地确定电子邮件是否来自其声称的发件人?
更新
感谢大家的精彩回答,我认为没有一种很好的方法可以判断。我检查了 DNS 服务器上的 MX 记录以及域和 IP 地址的 WHOIS 记录,一切都正常。仅供参考,我首先在 LinkedIn 上联系了他们,所以这并不完全出乎意料。
答案1
不一定。伪造标题中的信息太容易了。
使用传统方法核实公司。从 411 信息中获取公司号码并致电。询问相关职位。如果职位核实无误,要求与负责该职位的人交谈。
注意:如果邮件中以任何方式提到了钱,那么它很可能是假的。您可以通过谷歌搜索邮件中的独特短语来检查。此类邮件通常会出现在 Snopes.com 和类似网站上。
大多数信誉良好的公司不会以这种方式招揽员工,所以,除非你是经同事推荐的,否则这很可能是假的。
答案2
并非所有电子邮件标头都可以伪造。一旦电子邮件消息被提供电子邮件服务的受信任服务器接收,则 Received: 标头是可靠的。
考虑这个 Received: 标题字符串:
Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)
最底部的 Received: 标头后面是邮件正文,其中包括 To: 和 From: 标头,这些标头可以伪造。但让我们来看一下 Received: 标头:
第一个标头表示 IP 地址为 10.0.0.4 的名为 superuser.com 的服务器向服务器 mail1.stackoverflow.com 发送了一条消息。由于知道在这种情况下这两个名称都是可以预料到的,因此 Received: 标头表示超级用户邮件服务器群内的内部转发。
下一个 Received: 标头表示 mail1.stackoverflow.com(地址为 69.59.196.214)将邮件转发到了 mx.google.com。我们可以确认 mail1.stackoverflow.com 的公共 IP 地址是 69.59.196.214,并且由于 google 是我的电子邮件提供商,因此我预计 google.com 上的邮件交换器 (mx) 会收到我的邮件。这是与我的邮件域 (google) 的第一次联系,无法伪造。当然,此标头下方可能存在大量伪造的 Received: 标头,因此找到第一个可靠的 Received: 标头可能很棘手。
最后两个 Received: 标头显示网络 10 地址,因此这些是 google 域内的转发。这也不意外。
恶意邮件服务器可能会在流中插入许多伪造的 Received: 标头,但总有一个来自可信来源,在本例中为 mx.google.com。第一个可信的 Received: 标头指示实际转发电子邮件的公共 IP 地址。如果此 IP 地址可疑,或与报告的域名不匹配,那么您必须怀疑邮件的整个内容。
您可以使用“查看源代码”命令在大多数电子邮件客户端中阅读“已接收:”标题。自下而上阅读并找到第一个可靠的“已接收:”标题需要一些技巧,但一旦找到它,验证它既快速又有用。
答案3
没有人提到的一件事是,你可以伪造所有的标题,但如果你看看回复地址,这应该是判断它是否是骗局的好方法。例如,如果它是这样的:
到:
您的电子邮件@blabla
从:
回复:
这不太可能是诈骗。即使你回复了信用卡号、家庭住址和你最喜欢的书名,垃圾邮件发送者也无能为力,因为你的回复会被发送给 stevejobs。
如果消息如下所示:
到:
您的电子邮件@blabla
从:
回复:
stevejobs@otherapple.com
这应该引起警惕。这封电子邮件不会发送给发件人。它会发送给其他人。请记住,垃圾邮件要想发挥作用,就必须返回到垃圾邮件发送者那里。
笔记:在某些情况下这仍然可能是垃圾邮件,但这是一个非常容易的检查。
答案4
至少,使用类似以下内容来验证电子邮件地址http://verify-email.org/。这只会告诉您发送电子邮件地址是否存在;它不会验证邮件是否来自该人。
如果电子邮件地址存在,请查看所提到的职位类型是否公开列出,然后最后使用上述技术之一进行跟进。