Come ho ricevuto questa email senza un campo "A"?

Naviga le tue risposte
56

Ho ricevuto un'e-mail vuota nella mia lingua (in ebraico) con solo un titolo che può essere tradotto in I am still waiting for your feedback (originale: עדיין מחכה למשוב שלך )

Dato che la mia gmail gestisce più account (in avanti e per utente \ pass), ho cercato di capire quale account era l'obiettivo, e con mia sorpresa - Nessuno!

Lamiadomandaèsemplice,perchéGmailhasceltodiinserirequestaemailnellamiacaselladiposta?Quisottoc'èlafontecompletadell'email(dagmail)trannelamiae-mailcensurata.Inchemodononsitrattadiunaviolazionedellasicurezza\bloccatadaifiltriantispam?

Messaggiooriginale:

  • IDmessaggio<[email protected]>
  • Creatoil:mar,16gennaio2018alle2:54PM(consegnatodopo2secondi)
  • Da:josephandrewutilizzandoMail.RuMailer1.0
  • A:
  • Oggetto:עדייןמחכהלמשובשלך
  • SPF:PASSAREconIP217.69.138.160Ulterioriinformazioni
  • DKIM:"PASS" con dominio bk.ru Ulteriori informazioni
  • DMARC: "PASS" Ulteriori informazioni 
Delivered-To: ****<cencored>****@gmail.com
Received: by 10.2.76.217 with SMTP id q86csp4037724jad;
        Tue, 16 Jan 2018 04:54:21 -0800 (PST)
X-Google-Smtp-Source: ACJfBotHqXkzj6W7gd+8IjEmxrwG9SqXBSC+QiTqyAB1j2Dt4ASXtmXr5UpqIpdU7Mge/EFmnzVI
X-Received: by 10.46.101.207 with SMTP id e76mr192303ljf.115.1516107261904;
        Tue, 16 Jan 2018 04:54:21 -0800 (PST)
ARC-Seal: i=1; a=rsa-sha256; t=1516107261; cv=none;
        d=google.com; s=arc-20160816;
        b=O+SDwmDS2Y7Jxi+mhwkV/+svfXK0KI3VvepeQgBpyhlgYY5gK3wln+RC4YPO+MMn71
         tyrGBUoc1iGKpeGcilWAovf0XLceJY+EAGoMX4Hl4Pse8C5mWiP0DJQXfmolB5myOFD/
         EoSl7Km4KDcQsvSC0DGwcni1yUPjgiQr+KIY+y19WCqVfm5EtCkbYkUCnFP1RWh/BUBp
         YZHKJrRYH/gWsSqBuIm/fDuSFk4bYAFaCOfkq5LfJcnkf7lpRFBnNYseignqwnnYMEzB
         aScqj1ppvCoYLbBuEiw+yLo1iQLoNdXwGOLShsGXELxkpdFpmchOEV44Wx2vp+RlJMF0
         v1/A==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:message-id:reply-to:date:mime-version
         :subject:from:dkim-signature:arc-authentication-results;
        bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;
        b=IPjf/U3N1a7Dx8HIw59iWKeccU4mS7Bd0Iy2FY/Be4Mx4QATd8uBvH7pLOVOLHRAXj
         iATzKUy69ZyLgu6gJVc+yjW3+i740O9ccPNbWAPQQASX1H9OkiMsmlhNYOU5u4KDKfbj
         nNm77TeMxrF57z4XKpbO3iE4YEv6JFankI949HvLnehC7wPP5M5YHpS8CllmV3zP8RX4
         2kb14n4PzguduwYoHL3q7wwWHHnyPUsa3UuhCKLvNJYw4KWKLWNY6Kt7fwReb83T+OsG
         lavZ7huDrCcf0P8Ee7YGepcNpGFyh2WjpA4o7l+gAlnqsb6+5FZloH6j7cmQx/gA+gKh
         aVng==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass [email protected] header.s=mail header.b=kgyoMcic;
       spf=pass (google.com: domain of [email protected] designates 217.69.138.160 as permitted sender)
       [email protected];
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=bk.ru
Return-Path: <[email protected]>
Received: from f493.i.mail.ru (f493.i.mail.ru. [217.69.138.160])
        by mx.google.com with ESMTPS id 1si926950ljd.480.2018.01.16.04.54.21
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Tue, 16 Jan 2018 04:54:21 -0800 (PST)
Received-SPF: pass (google.com: domain of [email protected] designates 217.69.138.160 as permitted sender) client-ip=217.69.138.160;
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=mail header.b=kgyoMcic;
       spf=pass (google.com: domain of [email protected] designates 217.69.138.160 as permitted sender)
       [email protected];
       dmarc=pass (p=REJECT sp=REJECT dis=NONE) header.from=bk.ru
DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=bk.ru; s=mail; h=Content-Transfer-Encoding:Content-Type:Message-ID:Reply-To:Date:MIME-Version:Subject:From;bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=; b=kgyoMcicHiqU/OvYmq/2sQYQ3607jIk9ZHkh3oVDZTrA6cWDxLGvol37xuQ3L0mfrqIOpSTYHuJzssIjww+4FL/h/GwBRRO1AsuLgxyjSQaOLVqidNe0MUIz6EVQxYXLcUCl9USryPLWAWKBiwL80efALu5znH8K96P6fF33Gzw=;
Received: by f493.i.mail.ru with local (envelope-from <[email protected]>) id 1ebQkt-0004Zj-4G; Tue, 16 Jan 2018 15:54:19 +0300
Received: by e.mail.ru with HTTP; Tue, 16 Jan 2018 15:54:19 +0300
From: joseph
  andrew <[email protected]>
Subject: עדיין מחכה למשוב שלך
MIME-Version: 1.0
X-Mailer: Mail.Ru Mailer 1.0
Date: Tue, 16 Jan 2018 15:54:19 +0300
Reply-To: joseph
  andrew <[email protected]>
X-Priority: 3 (Normal)
Message-ID: <[email protected]>
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: base64
Authentication-Results: f493.i.mail.ru; auth=pass [email protected] [email protected]
X-7FA49CB5: 0D63561A33F958A5898151702DBFE222A841889EBAE90B8E20672C31CB87FE38725E5C173C3A84C39B8A9203B4187291E49527301AB7C5D479C543ECCDAE434EC4224003CC836476C0CAF46E325F83A50BF2EBBBDD9D6B0F20A889B128FC2D163B503F486389A921A5CC5B56E945C8DA
X-Mailru-Sender: AEEF7784B292FD580FA14CB39DA65BAAC14FF9386EF48BFAB56EC34AB37A73FC68AD8B15A0E9EE36875DC23763F10D8F75E89B9EB25B1370F805D6321A69DA8E2FB9333096616C166E245241366DF001CF5B8F1B83B229A3C432A6261406F5E9E7E03437FF0094633453F38A29522196
X-Mras: OK
X-Spam: undefined

Modifica:

Ho cercato di inviare con bcc e vuoto "a" e gmail ha mostrato il bcc. Quindi al momento la risposta a @Luc sembra essere la risposta reale ( RCPT TO è stato utilizzato).

    
posta YoniXw 16.01.2018 - 14:51
fonte

4 risposte

81

Perché?

Due spiegazioni:

  • BCC
  • Spam

Spesso ho ricevuto spam in cui sembrano voler nascondere a chi è stato indirizzato per qualche motivo. Dal momento che ho un catch-all nel mio dominio, arriverà per me indipendentemente dall'indirizzo utilizzato (a meno che non ne abbia usato uno che ho inserito nella lista nera).

Com'è possibile?

Il traffico SMTP ha questo aspetto: 

EHLO example.com 
MAIL FROM:<[email protected]>
RCPT TO:<[email protected]>
RCPT TO:<[email protected]>
RCPT TO:<[email protected]>
DATA
Subject: test
From: <[email protected]>
To: <[email protected]>
CC: <[email protected]>

Hi Jake,
Just letting you know that email works.

.
QUIT

È possibile aprire una connessione TCP a qualsiasi server di posta e digitare questo, e risponderà a voi e consegnerà la vostra email (ho omesso le risposte nell'esempio). Su Windows, installa Telnet dal menu delle caratteristiche di Windows e digita telnet example.com 25 per connettersi al server in example.com sulla porta 25.

Come puoi vedere, user4 è stato indirizzato in RCPT TO e finirà nella loro posta in arrivo, ma non sono menzionati nelle intestazioni from, to o cc dei dati dell'email. I dati dell'email, dal comando DATA fino a . su una riga, è la parte che vedrai quando apri "visualizza sorgente" nel tuo client di posta elettronica. Quindi ha poco a che fare con lo scambio di e-mail effettivo. Naturalmente di solito corrisponde, ma in un caso malevolo, a loro non importa cosa sia "normale". E nel caso di BCC anche tu non lo vedrai.

Spesso ho ricevuto spam dove nascondono dove è stato inviato. Per poterlo rintracciare, devo scavare nei miei registri del server di posta.

Un amministratore del server può anche cercare BCC come questo, anche se ovviamente solo del proprio dominio (se era BCC a [email protected] e [email protected] , l'amministratore di a.example.com non vedrà stefan).

Per quanto riguarda il motivo per cui puoi inviare GMail a te stesso nel BCC e vedere un campo BCC con te stesso elencato sul lato ricevente: il programma / provider di posta elettronica può semplicemente inviare messaggi SMTP separati per ciascun destinatario nel BCC, con BCC intestazione creata nell'intestazione dell'email nidificata per elencare solo quel destinatario.

    
risposta data 16.01.2018 - 15:51
fonte
31

Intestazioni come To , Cc e Bcc sono essenzialmente tutte estetiche; non controllano il destinatario effettivo di un'e-mail in base al protocollo SMTP. È possibile inserire tutto ciò che ti piace in questi campi e avere ancora un controllo separato su chi è l'email a livello di protocollo.

Quando invii un'email su internet, il tuo server di posta mittente comunica con il server di posta ricevente tramite SMTP. Per inviare un'email, il server mittente invia una serie di comandi al server ricevente.

  1. Un comando HELO che specifica il nome host del server di invio (che può essere sostituito da EHLO (abbreviazione di "HELO esteso") nelle versioni più recenti del protocollo).
  2. Un comando MAIL FROM che annuncia l'indirizzo del mittente dell'e-mail
  3. Un comando RCPT TO che annuncia gli indirizzi dei destinatari del messaggio.
  4. Un comando DATA che annuncia l'inizio del messaggio stesso, inclusi intestazioni e corpo.

Le intestazioni nel messaggio come To , Cc o Bcc non vengono utilizzate o utilizzate, ma vengono trasmesse senza modifiche.

Se queste intestazioni vengono ignorate dai server di posta che inviano e ricevono, perché esistono?

Perché sono una convenzione comune utilizzata dal software agente di posta elettronica (client di posta), che è il software con cui l'utente interagisce effettivamente per inviare posta. Il modo usuale per un client di posta elettronica è che l'utente digiti gli indirizzi dei destinatari in tre campi all'interno del client di posta chiamato "A", "Cc" e "Ccn" che il client di posta utilizza come base per chi inviare il messaggio a . Il client di posta quindi prende ciò che è stato scritto nei campi "A" e "Cc" e li colloca in intestazioni di posta denominate "A" e "Cc" come indicatore del destinatario di ciò che il mittente ha originariamente digitato in questi campi. Questa è solo una cortesia per il cliente della posta che riceve; il client di posta di invio potrebbe scegliere di mantenere questo segreto - anzi, questo è ciò che accade con il suo campo "Bcc": il client di posta non crea mai un'intestazione "Bcc" nell'e-mail che invia, perché il punto di tale caratteristica è che non è incluso nella posta stessa.

Il client di posta contiene anche un campo "Oggetto" che inserisce nella posta come intestazione "Oggetto" e crea un'intestazione "Da" nell'e-mail con le informazioni sul mittente.

In che modo non si tratta di un problema di sicurezza?

Lo è. Rende banalmente facile inserire in un messaggio di posta elettronica informazioni false sul mittente o sui destinatari. Quando gli utenti credono che questo sia accurato e non lo è, si tratta di un potenziale problema di sicurezza.

I client di posta potrebbero semplicemente ignorare tali intestazioni, ma poi ti perderai la comodità di sapere a chi è indirizzata una email quando queste informazioni esistono ed è autentica, e con la stessa logica dovresti anche ignorare la " Da "e mittente busta (comando MAIL FROM ) pure, senza lasciare alcuna indicazione su chi lo ha inviato. Quindi i clienti di posta elettronica adottano l'approccio secondo il quale è più utile mostrare queste informazioni anche se possono essere falsificate.

Un nuovo standard chiamato DMARC, che supporta gli altri standard DKIM e SPF, può consentire a un client di posta ricevente di verificare che la parte di dominio / nome host dell'intestazione "Da" sia autentica. Mentre questo verifica solo parte di l'intestazione "From" e non verifica l'intestazione "To" o "Cc", ti permette di sapere che la posta proveniva veramente dal sistema che afferma di venire da . Se questo è un sistema fidato, puoi almeno dedurre che la posta e le sue intestazioni sono state create da un utente autorizzato di quel sistema.

Oltre a queste opzioni, l'email semplicemente non è stata progettata per essere verificabile. Se vuoi di più, devi utilizzare qualche forma di verifica crittografica come PGP sopra il tuo messaggio e avere un modo fuori banda di verificare l'autorità.

    
risposta data 17.01.2018 - 05:41
fonte
18

Fino ad ora penso che il tuo indirizzo sia stato utilizzato come BCC .

    
risposta data 16.01.2018 - 15:00
fonte
15

Può essere sorprendente, ma questo è abbastanza normale nel protocollo SMTP. Un messaggio è composto da intestazioni e un corpo. Si invia su una catena di agenti di trasporto posta. Nessun agente dovrebbe cambiare il corpo, ma possono modificare le intestazioni, principalmente per aggiungere un campo Received , un campo Date se non è presente e qualsiasi altro campo come richiesto dalla propria elaborazione. Ma né il To né il From campo sono speciali, e in particolare non vengono utilizzati per consegnare la posta . Gli MTA usano quella che viene chiamata la busta , ovvero ciò che viene passato nei comandi MAIL FROM e RCPT TO del protocollo SMTP.

Gli agenti utente di posta (come Thunderbird) usano i campi A, Cc e Ccn per costruire la busta, ma se conosci il SMTP protocollo , è facile inviare una mail con intestazioni contraffatte o assenti a / da.

    
risposta data 16.01.2018 - 21:36
fonte

Leggi altre domande sui tag

In che modo le chiavette USB vuote contengono malware? Esistono tecniche DRM per prevenire efficacemente la pirateria?