Qu'est X-Sender-Id veux dire dans l'email source brut (qui se Trouve dans le courriel de phishing)?
Quelqu'un dans mon entreprise est soumis à l'hameçonnage. Ma première suggestion était juste pour changer le mot de passe. Cependant, après un certain temps, j'ai reçu un faux mail à partir de son adresse.
En regardant les premières source de l'email que j'ai trouvé qu'il y est un autre courriel de la personne dans X-Sender-ID, et je me demande qui cela peut être. C'est que la personne qui a envoyé l'e-mail ou peut-il être un compte qui a été piraté? (J'ai remplacé l'e-mail avec "[email protected]")
X-Virus-Scanned: OK
Received: by smtp5.relay.iad3a.emailsrvr.com (Authenticated sender: somebody-AT-host.com) with ESMTPA id DF2788019C;
Fri, 21 Nov 2014 07:54:42 -0500 (EST)
X-Sender-Id: [email protected]
Received: from smtp.emailsrvr.com ([UNAVAILABLE]. [2.133.148.211])
by 0.0.0.0:587 (trex/5.3.2);
Fri, 21 Nov 2014 12:54:46 GMT
Qu'est-ce que X-Sender-ID? Et qu'est-ce que l'e-mail qu'il contient?
OriginalL'auteur lisovaccaro | 2014-11-21
Vous devez vous connecter pour publier un commentaire.
Mon délibérations sont basés sur cette RFC qui décrit la Valorisation de la vie privée pour les e-Mails qui vous sont de toute évidence en utilisant.
Fondamentalement, il dit à propos de la X-Sender-ID:
Qu'est-ce que cela signifie?
Tout d'abord, vous devez vérifier si le mail est bien signé. Si c'est le cas, vous pouvez être sûr que [email protected] a un certificat. Et vous pouvez être sûr que le mail que vous avez reçu a été envoyé à partir de cette adresse e-mail.
Je ne peux pas vous dire les conséquences qui résultent de ce fait, comme je ne sais pas comment votre entreprise est le déploiement des certificats etc. ... l'adresse e-mail/certificat peut également avoir été piraté et ainsi abusé.
J'espère que cela vous aide pour la poursuite de votre recherche.
OriginalL'auteur LMF
Tandis que @LMF la réponse est utile de l'information technique, je tiens à offrir une alternative possible explication.
Spammeurs qui ne sont pas familiers avec l'e-mail (et programmeurs PHP avec aucune autre intention malveillante) ont tendance à succomber à de culte du cargo de programmation lorsqu'il s'agit d'e-mails. En d'autres termes, si il y a quelque chose qu'ils ne comprennent pas, ils pensent qu'il fait quelque chose d'utile, et l'inclure dans leur modèle de message.
Sans savoir à propos de votre infrastructure de messagerie électronique ou d'autres messages de la vôtre pour comparer, je dirais tout simplement assumer tout en dessous de la plus haute
Received:
en-tête est forgé, et fondamentalement sans signification.Si vous avez un système qui exécute quelque chose qui s'appelle
trex
(peut-être ce que c'est?) et il a vraiment réussit à écrire unReceived:
en-tête comme ça, j'ai peut-être tort. Le format inutilement s'écarte de la norme de facto Sendmail modèle dans quelques endroits, mais c'est techniquement pas mal (le format est globalement de forme libre, mais en introduisant ad-hoc de la syntaxe rend plus difficile de deviner ce que le champs de moyenne).Encore une fois, plus d'informations sur le type d'e-mails de votre correspondant typique mail) ressemble, c'est lourd sur la spéculation.
Received:
de l'en-tête "Authentifié de l'expéditeur:", ajoute plus de crédibilité à @LMF, en réponse, que j'ai upvoted. J'ai vraiment posté cette plus pour être complet que comme un concurrent sérieux pour le bounty.OriginalL'auteur tripleee
La
x-sender-id
, avec lax-recipient-id
sont utilisés pour spécifier échange de clé a été utilisé dans la diffusion du message.Le premier champ contient l'identité de l'émetteur ou du récepteur. Le premier champ est obligatoire, doit être unique et doit être formaté comme
user@host
tandis que l'hôte est un hôte complet d'adresse.Le deuxième identifie le nom de l'autorité qui a délivré l'échange de clé.
Le troisième champ indique le type spécifique de l'échange de la clé qui a été utilisé. Ceci est représenté par une chaîne alphanumérique définies par l'autorité de délivrance de l'étiquette et organiser les nombreuses échange de clés émis par cette autorité. Elle est recommandée qu'ils utilisent un timestamp, mais n'est pas toujours le cas.
Si les valeurs du champ de la
x-sender-id
deuxième et le troisième champ est identique à celui de lax-recipient-id
ils peuvent seulement être inscrites dans le champ de ce qui est défini en dernier.Lecture
OriginalL'auteur davidcondrey