Qu'est X-Sender-Id veux dire dans l'email source brut (qui se Trouve dans le courriel de phishing)?

Quelqu'un dans mon entreprise est soumis à l'hameçonnage. Ma première suggestion était juste pour changer le mot de passe. Cependant, après un certain temps, j'ai reçu un faux mail à partir de son adresse.

En regardant les premières source de l'email que j'ai trouvé qu'il y est un autre courriel de la personne dans X-Sender-ID, et je me demande qui cela peut être. C'est que la personne qui a envoyé l'e-mail ou peut-il être un compte qui a été piraté? (J'ai remplacé l'e-mail avec "[email protected]")

X-Virus-Scanned: OK
Received: by smtp5.relay.iad3a.emailsrvr.com (Authenticated sender: somebody-AT-host.com) with ESMTPA id DF2788019C;
    Fri, 21 Nov 2014 07:54:42 -0500 (EST)
X-Sender-Id: [email protected]
Received: from smtp.emailsrvr.com ([UNAVAILABLE]. [2.133.148.211])
    by 0.0.0.0:587 (trex/5.3.2);
    Fri, 21 Nov 2014 12:54:46 GMT

Qu'est-ce que X-Sender-ID? Et qu'est-ce que l'e-mail qu'il contient?

OriginalL'auteur lisovaccaro | 2014-11-21

  1. 5

    Mon délibérations sont basés sur cette RFC qui décrit la Valorisation de la vie privée pour les e-Mails qui vous sont de toute évidence en utilisant.

    Fondamentalement, il dit à propos de la X-Sender-ID:

    [...] encapsulé champ d'en-tête requis pour tous les
    la vie privée des messages, identifie un message de l'expéditeur et fournit
    l'expéditeur IK identification du composant.

    Qu'est-ce que cela signifie?

    Tout d'abord, vous devez vérifier si le mail est bien signé. Si c'est le cas, vous pouvez être sûr que [email protected] a un certificat. Et vous pouvez être sûr que le mail que vous avez reçu a été envoyé à partir de cette adresse e-mail.

    Je ne peux pas vous dire les conséquences qui résultent de ce fait, comme je ne sais pas comment votre entreprise est le déploiement des certificats etc. ... l'adresse e-mail/certificat peut également avoir été piraté et ainsi abusé.

    J'espère que cela vous aide pour la poursuite de votre recherche.

    OriginalL'auteur LMF

  2. 0

    Tandis que @LMF la réponse est utile de l'information technique, je tiens à offrir une alternative possible explication.

    Spammeurs qui ne sont pas familiers avec l'e-mail (et programmeurs PHP avec aucune autre intention malveillante) ont tendance à succomber à de culte du cargo de programmation lorsqu'il s'agit d'e-mails. En d'autres termes, si il y a quelque chose qu'ils ne comprennent pas, ils pensent qu'il fait quelque chose d'utile, et l'inclure dans leur modèle de message.

    Sans savoir à propos de votre infrastructure de messagerie électronique ou d'autres messages de la vôtre pour comparer, je dirais tout simplement assumer tout en dessous de la plus haute Received: en-tête est forgé, et fondamentalement sans signification.

    Si vous avez un système qui exécute quelque chose qui s'appelle trex (peut-être ce que c'est?) et il a vraiment réussit à écrire un Received: en-tête comme ça, j'ai peut-être tort. Le format inutilement s'écarte de la norme de facto Sendmail modèle dans quelques endroits, mais c'est techniquement pas mal (le format est globalement de forme libre, mais en introduisant ad-hoc de la syntaxe rend plus difficile de deviner ce que le champs de moyenne).

    Encore une fois, plus d'informations sur le type d'e-mails de votre correspondant typique mail) ressemble, c'est lourd sur la spéculation.

    Le premier Received: de l'en-tête "Authentifié de l'expéditeur:", ajoute plus de crédibilité à @LMF, en réponse, que j'ai upvoted. J'ai vraiment posté cette plus pour être complet que comme un concurrent sérieux pour le bounty.

    OriginalL'auteur tripleee

  3. 0

    La x-sender-id, avec la x-recipient-id sont utilisés pour spécifier échange de clé a été utilisé dans la diffusion du message.

    X-Sender-ID entity_id : issuing_authority : version

    X-Destinataire-ID entity_id : issuing_authority : version

    1. Le premier champ contient l'identité de l'émetteur ou du récepteur. Le premier champ est obligatoire, doit être unique et doit être formaté comme user@host tandis que l'hôte est un hôte complet d'adresse.

    2. Le deuxième identifie le nom de l'autorité qui a délivré l'échange de clé.

    3. Le troisième champ indique le type spécifique de l'échange de la clé qui a été utilisé. Ceci est représenté par une chaîne alphanumérique définies par l'autorité de délivrance de l'étiquette et organiser les nombreuses échange de clés émis par cette autorité. Elle est recommandée qu'ils utilisent un timestamp, mais n'est pas toujours le cas.

    Si les valeurs du champ de la x-sender-id deuxième et le troisième champ est identique à celui de la x-recipient-id ils peuvent seulement être inscrites dans le champ de ce qui est défini en dernier.

    Lecture

    OriginalL'auteur davidcondrey