È possibile falsificare il campo "ricevuto" nell'e-mail?

31

Recentemente ho ricevuto degli strani messaggi e-mail. L'e-mail ha diversi campi From e Reply-To . Ha anche To impostato su Undisclosed recipients ma non è cruciale.

All'inizio pensavo fosse falso, ma poi ho letto questo post che indica che il campo Received non può essere falsificato. Sembra che sia stato ricevuto correttamente nel caso dell'e-mail di cui sto parlando:

Received: (wp-smtpd mx.tlen.pl 14490 invoked from network); 2 Oct 2018 07:19:36 +0200
Received: from mx.beniculturali.it ([194.242.241.200])
          (envelope-sender <[email protected]>)
          by mx.tlen.pl (WP-SMTPD) with ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP
          for <[email protected]>; 2 Oct 2018 07:19:36 +0200
Received: from sea2.mail.beniculturali.it (localhost.localdomain [127.0.0.1])
    by localhost (Email Security Appliance) with SMTP id 15EE31ECEEA_BB2FFE8B;
    Tue,  2 Oct 2018 05:19:36 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (mb2.mail.beniculturali.it [192.168.123.122])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
    (Client CN "email.beniculturali.it", Issuer "Actalis Authentication CA G3" (not verified))
    by sea2.mail.beniculturali.it (Sophos Email Appliance) with ESMTPS id 1C9BD1E9E28_BB2FFE7F;
    Tue,  2 Oct 2018 05:19:35 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (192.168.123.122) by
 MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
 id 15.0.1395.4; Tue, 2 Oct 2018 07:19:30 +0200
Received: from ca4.mail.beniculturali.it (192.168.123.144) by
 MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
 id 15.0.1395.4 via Frontend Transport; Tue, 2 Oct 2018 07:19:29 +0200
Received: from MDC.mail.beniculturali.it ([192.168.123.171]) by
 ca4.mail.beniculturali.it ([192.168.123.144]) with mapi; Tue, 2 Oct 2018
 07:19:29 +0200

È possibile spoofare il campo Received in qualche modo, magari usando tecniche avanzate?

    
posta Landeeyo 03.10.2018 - 10:10
fonte

1 risposta

57

È possibile aggiungere campi arbitrari alla posta e questo include Received intestazioni. Tuttavia, qualsiasi server di trasporto di posta appropriato aggiungerà una nuova intestazione Received sulla parte superiore della posta, il che significa che, a seconda dell'infrastruttura di consegna esatta, l'autore dell'attacco può tutt'al più falsificare completamente l'intestazione Received più in alto. Nel tuo esempio specifico, l'intestazione Received superiore sembra essere un server interno e l'intestazione Received successiva è quella del server di posta sul perimetro che accetta le email dall'esterno. Tutte le altre intestazioni Received potrebbero essere false.

E persino l'intestazione Received aggiunta dal server al perimetro potrebbe contenere informazioni false. È comune che includa il nome host richiesto dal client SMTP all'interno del comando EHLO o HELO . Pertanto, nell'esempio specifico mx.beniculturali.it potrebbe essere falsificato dall'utente malintenzionato mentre ([194.242.241.200]) viene aggiunto dal server di posta ricevente per mostrare da quale IP di origine è stata ricevuta la posta e non può essere falsificata.

    
risposta data 03.10.2018 - 10:43
fonte

Leggi altre domande sui tag