通过邮件标头证明电子邮件来源

通过邮件标头证明电子邮件来源

一家供应商似乎已成为服务器漏洞的受害者(尽管他们否认这一点并提出我的问题)。

这导致我们公司的董事向骗子支付了一笔钱。

从原始电子邮件来看,其中包含经过篡改的付款授权书 PDF(值得注意的是,这似乎是一份原始供应商文件,但银行详细信息已被更改,除此之外,上面甚至还有董事签名的扫描件),

电子邮件的标题包含以下信息(我仅粘贴我认为相关的信息);

ip 是 IP 地址) smtp.rcpttodomain=.co.uk smtp.mailfrom=SUPPLIER DOMAIN.com; dmarc=bestguesspass action=none header.from=SUPPLIER DOMAIN.com; dkim=pass(签名已经验证) header.d=SUPPLIER DOMAIN.onmicrosoft.com; dkim=pass(签名已经验证) header.d=SUPPLIER DOMAIN.onmicrosoft.com; arc=pass (0 oda=1 ltdi=1 spf=[1,2,smtp.mailfrom=SUPPLIER DOMAIN.com] dkim=[1,1,header.d=SUPPLIER DOMAIN.com] dmarc=[1,1,header.from=SUPPLIER DOMAIN.com])

身份验证结果:spf=pass(发件人 IP 是 IP 地址)smtp.mailfrom=SUPPLIER DOMAIN.com; dkim=pass(签名已验证)header.d=SUPPLIER DOMAIN.onmicrosoft.com;dmarc=bestguesspass action=none header.from=SUPPLIER DOMAIN.com;compauth=pass Reason=109 Received-SPF:通过(protection.outlook.com:SUPPLIER DOMAIN.com 的域指定 IP 地址为允许的发件人)receiver=protection.outlook.com; client-ip=IP 地址;helo=EUR05-VI1-obe.outbound.protection.outlook.com; pr=C 已接收:来自 EUR05-VI1-obe.outbound.protection.outlook.com (IP 地址),由 CWLGBR01FT041.mail.protection.outlook.com (IP 地址) 使用 Microsoft SMTP

供应商声称他们的系统没有被入侵,这是否能证明情况恰恰相反?因为电子邮件来自他们的服务器,因此可以证明他们的系统被入侵了?

就像查看电子邮件踪迹一样,诈骗者注册了一个与供应商非常相似的域名,只是换了一个字符。然后他们镜像了供应商的许多联系人的电子邮件地址。这是否再次让人们更加相信他们有权访问他们的系统?

答案1

不,你提供的篡改引言证明没有什么而没有重要的上下文。标头可能已发送,但未包含您这边已验证的信息,或者它们可能由您这边受感染的系统插入。

也没有知识他们使用的账户提供了双方之前被入侵的证据。这些信息可能是从他们另一个客户的邮箱中获取的,甚至可能不是你所知道的那个客户。

然而,可能仍带有签名,并且这些签名可能仍然有用。如果您能够在已知良好的系统上验证它,它们可能会确定实际业务方的帐户、服务器或服务提供商已被入侵。

还请注意,虽然这无论如何都不是确凿的证据,但如果诱骗您误用付款的一方成功完全攻陷了您的业务合作伙伴,他们可能不需要单独的域名。因此,您看到他们费心注册域名进行攻击这一事实,只能说明错误完全出在您这边。

正如评论中所建议的那样,我强烈建议您由专业的安全提供商进行进一步的分析并规划您的下一步行动。您只是不知道是否有一些或多个未经授权的方能够阅读和/或修改您的邮件通信。

相关内容