web-dev-qa-db-fra.com

Comment pouvez-vous simuler une adresse e-mail?

Récemment, une personne m'a demandé si un email qu'elle avait reçu était du spam. Cela semblait provenir d'une banque bien connue (Belfius.be) en Belgique. Elle a déclaré que certaines informations étaient obsolètes et qu’elles devaient être révisées. Bien sûr, la première chose qui me vient à l’esprit est qu’il s’agit de spam. Pourquoi?

  • Charges d'erreurs de langage, de mauvaises phrases ...
  • Le lien fourni était un lien evil : il semblerait que cela conduise au site Web de belfius (quelque chose comme belfius.be/revision1285 ). Mais lorsque vous la survolez, vous pouvez voir que cela renvoie en réalité à un site Web complètement différent. Un domaine .ca même.

Maintenant, j'ai immédiatement dit Ne cliquez pas sur ce lien mais quelque chose m'a fait me demander. Le courrier électronique de l'expéditeur était [email protected] et belfius.be est le site Web officiel de la banque. Donc, que cela peut-il être? Comment peuvent-ils faux leur adresse email?

56
Bram Vanroy

Simple. En modifiant l'en-tête From: lors de l'envoi du courrier. Ceci est appelé "Email spoofing" . L'en-tête De: est facilement modifiable si vous envoyez le courrier via PHP ou quelque chose d'autre, sans astuce supplémentaire. Qu'est-ce que not editable? Cependant, il s'agit de l'adresse IP/du nom de domaine du site d'où il provient. Si vous consultez le texte en clair (dans Gmail, accédez au menu situé à côté du bouton de réponse et "afficher le message d'origine"), l'en-tête Received: contient toutes les informations sur son chemin d'accès (plus l'en-tête Received: est profond, plus l'arrière est proche). dans la chaîne de messagerie, c’est). Notez qu'un courrier électronique passant par plusieurs Hops peut également être usurpé par certains en-têtes plus profonds. Vous devez aller vers le bas pour identifier les en-têtes (sites) en lesquels vous avez confiance. Chaque en-tête indiquera quelque chose comme Received: from abc.com (IP address) by something.google.com (IP) (en supposant que vous ayez Gmail - sinon, bysera différent). Maintenant, cet en-tête a été écrit par la partie byname__. Commencez par le haut, les premiers en-têtes Received: n'auront pas fromname __/byname__. Trouvez le premier avec ceux-ci. Son byappartiendra à votre fournisseur de messagerie - en qui vous avez confiance. Voyez si vous faites confiance à fromet, le cas échéant, passez à l'en-tête Received: suivant (auquel vous faites maintenant confiance), etc. Si vous ne faites pas confiance à un en-tête entre ceux-ci, tous ceux en-dessous ne sont pas fiables - ceux-ci peuvent avoir été usurpés.

Cependant, Gmail détecte généralement l'usurpation d'identité et ajoute une sorte de "hatnote" à l'[email protected] via [email protected]. Notez qu'il existe des utilisations parfaitement légitimes de l'usurpation d'email - de nombreuses listes de diffusion usinent des e-mails pour une expérience plus fluide. Il en va de même pour certains forums/forums. Ici, ils envoient l'e-mail pour donner l'impression qu'il provient de l'affiche originale. L'en-tête Reply-To: est défini sur la liste/webapp/quel que soit l'identifiant de messagerie. Par conséquent, la réponse à cette question sera par défaut affichée dans la liste (/ etc). La liste peut ensuite la traiter comme bon lui semble. Elle peut vérifier le spam, peut-être suspendue pour modération, etc. Lorsqu'elle l'envoie, elle falsifie votre adresse et l'envoie à toutes les personnes figurant sur la liste (qui est exactement ce que vous vouliez - pouvoir tenir des discussions par courrier électronique sans utiliser "Répondre à tous" et conserver une liste de contacts à copier-coller).

Ce que certains "légitimes" font est qu’ils définissent l’en-tête Sender: avec leur propre id. Cela est censé signifier "Envoyé par Senderau nom de Fromname__". Notez que la présence d'un en-tête Sender: ne veut rien dire en matière d'usurpation d'identité "illégitime" - cet en-tête est également usurpable. Comme je l'ai dit, le seul moyen de vérifier consiste à utiliser les en-têtes Receivedname__.

79
Manishearth

Il est trivial d'utiliser une fausse adresse "de". Pour les débutants, il suffit de modifier les paramètres de votre client de messagerie et de modifier l’adresse par défaut. De nombreux fournisseurs de services enverront un courrier électronique avec un faux du champ, car le serveur de messagerie électronique ne sait pas ce qu’il en est.

Les spammeurs utilisent un logiciel personnalisé dédié et utilisent toujours de fausses adresses.

11
Peter Jenkins