Queste domande sono un po 'ampie e confuse. Le intestazioni delle e-mail sono spesso diverse per una serie di motivi.
what the first hop is actually describing, in the sense that it is a
hop between the first Message Transfer Agent and the next one, meaning
that it is not representing the hop between the machine of the user
and the first mail exchange server, or could also represent this last
situation? (For example I am analyzing some emails and in some cases
the first hop is "from apache by "some domain" ", or "from user[IP
number] by "some domain" ")
Il primo hop è generalmente il primo MTA che segnala di aver ricevuto il messaggio. "Da Apache" significa semplicemente che il server che lo ha inviato stava eseguendo Apache. In genere, l'indirizzo IP effettivo degli utenti, se presente, si trova nel campo X-Originating-IP
.
if there is a hop in which there is the name of the mail exchanger and
also the IP next to it, in an enclosed parenthesis, but it looks like
that the IP is in another country, what does it mean?
I nomi visualizzati in un'intestazione email sono nomi di dominio completi (FQDN). Identificano una particolare macchina su Internet e all'interno di quel dominio. L'indirizzo IP in paranthesis è l'indirizzo IP di quella macchina, quindi se si risolve in un determinato paese, è lì che si trova la macchina.
how should SPF
be interpreted (the check refers the machine of the sending server so
the first hop)?
SPF inserisce un record in DNS con un elenco di tutti gli indirizzi IP autorizzati a inviare posta per conto del dominio. I client di posta elettronica destinatari controllano se l'MTA che invia il messaggio che stanno ricevendo ha un indirizzo IP che rientra in tali intervalli. Se lo fa, di solito c'è una denotazione nell'intestazione che dice Pass
. In caso contrario, possono accadere diverse cose a seconda di come è configurato il criterio SPF:
- Se il record termina in
-all
, i messaggi non saranno consentiti e vedrai una denotazione Fail nell'intestazione.
- Se il record termina in
~all
, i messaggi saranno consentiti ma dovrebbero essere contrassegnati. Potresti visualizzare Nessuno o SoftFail per questi messaggi.
Altre cose che si possono fare riguarda il luppolo è controllare se il FQDN corrisponde al record MX per il dominio. Ad esempio, se il dominio di Mario del mittente foo-bar.com
ha utilizzato Google per inviare la posta, puoi aspettarti di vedere FQDN di Google nella sua parte del percorso del messaggio. A volte ciò può richiedere l'esecuzione di ricerche whois sui nomi di dominio in questione perché potrebbero non essere sempre denominati in modo tale che sia ovvio che appartengono a una determinata organizzazione.
Un altro test consiste nel verificare se il dominio di invio utilizza DKIM. Se lo fa, e non c'è la firma DKIM presente, questo è un buon indicatore di una email falsificata.