最近有人问我,她收到的一封邮件是不是垃圾邮件。好像是比利时一家知名银行(Belfius.be)发来的。邮件中说部分信息已经过期,需要修改。当然,我首先想到的就是垃圾邮件。为什么呢?
- 语言错误、句子不通等等。
- 提供的链接是邪恶的链接:它看起来像是指向 belfius 的网站(类似于belfius.be/revision1285)。但当你将鼠标悬停在上面时,你会看到它实际上指向一个完全不同的网站。甚至是一个 .ca 域名。
现在我立即说不要点击那个链接但有些事情让我感到疑惑。发件人的电子邮件是[电子邮件保护]和贝尔菲乌斯是银行的官方网站。那么,这怎么可能呢?他们怎么可能伪造的他们的电子邮件地址?
答案1
很简单。通过在发送邮件时编辑From:标题。这称为“电子邮件欺骗”。如果您通过 PHP 或其他方式发送邮件,则发件人:标头很容易编辑,无需花哨的技巧。什么是不是可编辑,但这是其来源网站的 IP 地址/域名。如果您检查纯文本电子邮件(在 Gmail 中,转到回复按钮旁边的菜单,然后选择“显示原始消息”),标题会Received:包含有关其路径的所有信息(标题越深Received:,它在电子邮件链中的位置就越靠后)。请注意,经过多个跳转的电子邮件也可能有一些较深的标题被欺骗。您需要向下查看,查看您信任哪些标题(即网站)。每个标题都会显示类似Received: from abc.com (IP address) by something.google.com (IP)(假设您有 Gmail - 否则by会有所不同)。现在,这个标题是由部分编写的by。从顶部开始,前几个Received:标题没有from/ by。找到第一个有这些的。它将by属于您的电子邮件提供商 - 您信任它。看看您是否信任from,如果信任,请继续下一个Received:标题(您现在信任),依此类推。如果您不信任中间的标题,则它下面的所有标题都不能信任 - 这些标题可能已被欺骗。
不过,Gmail 通常会检测到欺骗行为,并会在邮件中放置一个“[电子邮件保护]通过[电子邮件保护]“电子邮件上的类似注释。请注意,电子邮件欺骗的用途完全合法——许多邮件列表会伪造电子邮件以获得更流畅的体验。某些论坛/留言板也是如此。在这里,他们发送电子邮件以使其看起来像是来自原始发帖人。标题Reply-To:设置为列表/webapp/任何电子邮件 ID,因此回复它将默认转到列表(/等)。然后列表可以根据需要处理它——它可以检查垃圾邮件,也许将其搁置以进行审核等。当它想要发送它时,它会欺骗您的地址并将其发送给列表中的每个人(这正是您想要的——能够进行基于电子邮件的讨论,而无需使用“回复所有人”并保留要复制粘贴的联系人列表)。
什么一些“合法”欺骗者所做的就是将Sender:标头设置为自己的 ID。这应该意味着“代表发送Sender” From。请注意,对于“非法”欺骗而言,标头的存在 Sender:并不意味着什么——该标头也是可欺骗的。就像我说的,唯一的检查方法是通过标Received头。
答案2
使用虚假的“发件人”地址很简单。初学者的方法是简单地编辑邮件客户端中的设置并更改默认发件人地址。许多服务提供商会发送带有虚假发件人字段的电子邮件,因为电子邮件服务器不知道真正的发件人字段是什么。
垃圾邮件发送者使用专门的定制软件,并且总是使用虚假的地址。