L'email è inviata tramite SMTP. Normalmente parlando il tuo client di posta elettronica invia il messaggio a un server SMTP configurato. Quel server usa quindi il DNS per risolvere il record MX (mail exchanger) per il dominio di destinazione (la parte dopo il segno @). Quindi invia il messaggio a quel server.
Se il tuo server SMTP o il DNS che utilizza sono stati compromessi, potrebbe inviare a un MX malevolo che consente a un intruso di non solo leggere il messaggio, ma impedirne la consegna al destinatario previsto.
L'autore dell'attacco che falsifica una risposta è banale se il dominio del mittente (il dominio del tuo collega) non ha SPF (Sender Protection Framework) implementato. In tal caso un utente malintenzionato può inviare email come collega e probabilmente lo attraverserà.
Dovresti essere in grado di determinare molto osservando la fonte di email non elaborata se il tuo client di posta elettronica lo consente. Le intestazioni forniscono una certa quantità di informazioni su dove il tuo server di posta ha ricevuto i messaggi dell'attaccante. Confrontare le intestazioni della tua posta inviata con quelle dei messaggi ricevuti può fornire anche informazioni approfondite.
Queste intestazioni non tracceranno un attaccante un po 'intelligente perché maschereranno, falsificheranno o ometteranno le intestazioni Ricevute dalla loro parte. L'unica informazione di cui ti puoi fidare è l'ultima intestazione Received e questo è vero solo se il tuo server di posta elettronica è configurato correttamente e non viene compromesso dall'attaccante. Sfortunatamente i relè SMTP aperti esistono, rendendo molto facile per un utente malintenzionato rimbalzare la posta elettronica e eliminare tutti i rilevamenti significativi.
Supponendo che tu abbia intestazioni Ricevute utilizzabili potresti essere in grado di ricostruire un vero percorso verso il tuo aggressore e smascherarlo. Identificherà certamente le opportunità per implementare SPF appropriati su entrambi i domini e il filtro antispam che elimina le email che non hanno la verifica SPF.