Email Spoofed. Spiegare?

Naviga le tue risposte
6

Quindi, penso che il mio ID e-mail potrebbe essere stato violato. Qualcuno può offrire i propri commenti e suggerimenti su questa email? Sembra che questa email sia passata dal mio ID di posta elettronica all'ID della mia amica. L'argomento è personale e non l'ho fornito. Inoltre, questa email non è nella mia cartella "Inviati" né nella mia cartella "Cestino". 

Delivered-To: [email protected]
Received: by 10.220.187.65 with SMTP id cv1cs37222vcb;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Received: by 10.236.176.38 with SMTP id a26mr5411029yhm.410.1309289105028;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Return-Path: <[email protected]>
Received: from ROCKY (host216-212-117-146.birch.net [216.212.117.146])
    by mx.google.com with ESMTP id l25si2327155yhm.109.2011.06.28.12.25.04;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Received-SPF: neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) client-ip=216.212.117.146;
Authentication-Results: mx.google.com; spf=neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) [email protected]
Message-Id: <[email protected]>
MIME-Version: 1.0
From: "MyFullName"
<[email protected]>
To: [email protected]
X-Priority: 1
 Priority: urgent
Importance: high
Date: 28 Jun 2011 15:25:18 -0400
Subject: Email from [email protected]
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: quoted-printable

<Subject>

Qui MyEmailId e MyFriend sono due indirizzi email che non sono reali. Tutto il resto è. Non ho pubblicato l'oggetto come è personale.

Quindi, se il mio ID e-mail è stato falsificato, come potrebbe lo spoofer conoscere i miei dettagli personali? Quali sono le possibilità? Corro in prospettiva. Ieri ho installato MacKeeper (software per la pulizia di mac). Qualche connessione?

    
posta Legolas 28.06.2011 - 22:04
fonte

1 risposta

16

Non c'è nessun trucco necessario per inviare la posta con il tuo indirizzo di posta elettronica - chiunque può inviare email con qualsiasi indirizzo del mittente a chiunque, se il server di posta ricevente non ha politiche più forti. (Ciò è causato dalla struttura aperta di Internet.)

Sarebbe necessario un trucco per leggere la tua posta.

Se vuoi assicurarti che nessuno possa spedire mail a tuo nome, firmare le tue mail (usando PGP o S / MIME), e dire a tutti i tuoi corrispondenti che devono scartare qualsiasi posta non firmata che reclama di venire da te .

Alcune analisi delle linee di intestazione.

Le altre due righe Received non aggiungono molto. 

Received: by 10.220.187.65 with SMTP id cv1cs37222vcb;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)
Received: by 10.236.176.38 with SMTP id a26mr5411029yhm.410.1309289105028;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)

Questi sono indirizzi privati, all'interno di una rete locale, e non dicono da dove hanno ricevuto il messaggio. (Queste sono le ultime stazioni che il messaggio ha attraversato prima di arrivare al tuo amico). Se il tuo amico ha utilizzato l'interfaccia web di Gmail, questi sono probabilmente i server interni di Gmail.

Poi abbiamo questi: 

Return-Path: <[email protected]>
Received: from ROCKY (host216-212-117-146.birch.net [216.212.117.146])
    by mx.google.com with ESMTP id l25si2327155yhm.109.2011.06.28.12.25.04;
    Tue, 28 Jun 2011 12:25:05 -0700 (PDT)

Il percorso di ritorno mostra ciò che è stato menzionato nel dialogo SMTP come MAIL FROM. Questo è stato aggiunto dal server di posta ricevente, molto probabilmente quello nella riga successiva: mx.google.com. Questo server ha ricevuto la posta da un client SMTP che si è identificato nella finestra di dialogo SMTP come ROCKY, aveva l'indirizzo IP 216.212.117.146 (che ha una mappatura DNS inversa a host216-212-117-146.birch.net ).

Questo sembra essere un indirizzo IP negli Stati Uniti (assegnato da ARIN a Birch Telecom e da loro a Finanziamento dei mutui prematrimoniali . O hanno un computer infetto da bot, oppure hanno inviato la posta (o qualcuno prima nella lista stava spoofing intestazione completa.)

Conosci qualcuno in questa località? Il contenuto della posta si riferisce in qualche modo al finanziamento ipotecario? 

Received-SPF: neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) client-ip=216.212.117.146;
Authentication-Results: mx.google.com; spf=neutral (google.com: 216.212.117.146 is neither permitted nor denied by domain of [email protected]) [email protected]

Queste righe sono aggiunte dallo stesso server, molto probabilmente. Il server ha eseguito un SPF per controllare l'indirizzo e-mail e l'indirizzo IP del mittente e non ha né un risultato positivo né negativo.

I record DNS SPF di Google sono simili a questo (interruzioni di riga da parte mia): 

gmail.com.         259  IN   TXT     "v=spf1 redirect=_spf.google.com"

_spf.google.com.   236  IN   TXT     "v=spf1 ip4:216.239.32.0/19 ip4:64.233.160.0/19
                                             ip4:66.249.80.0/20 ip4:72.14.192.0/18
                                             ip4:209.85.128.0/17 ip4:66.102.0.0/20
                                             ip4:74.125.0.0/16 ip4:64.18.0.0/20
                                             ip4:207.126.144.0/20 ip4:173.194.0.0/16
                                             ?all"

Alcuni intervalli IP (che probabilmente includono i server Web di GMail) sono esplicitamente autorizzati nella whitelist, e il resto è citato come neutral dal tag ?all alla fine.

Se la posta è stata inviata dall'interfaccia web di GMails (o tramite la porta di invio autenticata da Gmails SMTP), allora ci sarebbe probabilmente un "spf = positivo" o un risultato simile nell'intestazione. 

Message-Id: <[email protected]>

Questo messaggio-Id viene anche aggiunto dal server di accettazione della posta. 

From: "MyFullName"  <[email protected]>
To: [email protected]

(Suppongo che il nome e l'indirizzo di posta fossero su una riga). Ora diventa interessante. Il mittente conosceva il tuo nome completo e un indirizzo di posta adatto. Fai una ricerca su Google - questa combinazione è di dominio pubblico (cioè reperibile sul web)? In caso contrario, è probabile che la rubrica di qualcuno sia stata "hackerata" (ad esempio qualcuno ha ricevuto malware che sta raccogliendo questi indirizzi), o qualche sito web in cui sono stati immessi questi dati. 

X-Priority: 1
 Priority: urgent
Importance: high

Queste linee di intestazione darebbero alla mail una buona possibilità di rimanere bloccata nel mio filtro, penso: -) 

Subject: Email from [email protected]

Questa è anche una tipica riga dell'oggetto dello spam. 

<Subject>

I have not posted the Subject as it is personal.

Ho capito bene, il testo della mail contiene dettagli personali e non un messaggio spam generico? Questo potrebbe essere un testo copiato da una mail che tu (o qualcun altro) hai scritto prima?

Oltre a questo, potrebbe essere qualcuno che conosce te e il tuo amico e che vuole fare uno scherzo a tutti e due.

    
risposta data 28.06.2011 - 23:06
fonte

Leggi altre domande sui tag

Perché alcune persone pensano che gli account macchina Linux con password siano più sicuri degli account senza password? Come posso eseguire un XSS con queste condizioni?