Interruzione di un'email di phishing bloccando l'indirizzo IP del mittente

0

Vorrei sapere se esiste comunque l'estrazione e la verifica dell'indirizzo IP di qualcuno che ti ha inviato un'email.

Questo è in genere memorizzato nell'intestazione / metadati di un'e-mail?

In caso affermativo, questo indirizzo IP può identificare adeguatamente l'indirizzo IP del mittente originale? Se il mittente originale stava usando una VPN, l'indirizzo IP nell'intestazione e / o i metadati dell'email rappresenterebbe accuratamente il mittente?

Il motivo principale che sto chiedendo è che sto ricevendo un sacco di email di spam provenienti da indirizzi email diversi ma contenenti la stessa email di phishing. Sono sicuro che provengano dalla stessa fonte. Se blocco l'indirizzo IP registrato nell'intestazione / metadati dell'email, sarebbe efficace? O dovrei bloccare qualche server VPN (innocente) da qualche parte oltreoceano invece del vero colpevole?

    
posta Kim 31.08.2016 - 07:49
fonte

2 risposte

1

anyway of extracting and verifying the ip address of someone who has sent you an email.

Sebbene l'indirizzo IP del mittente possa essere contenuto nell'intestazione della posta, può essere facilmente falsificato. Solo il server di posta ricevente conosce l'indirizzo IP del client reale e se ti fidi di questo MTA puoi controllare l'intestazione ricevuta aggiunta da questo MTA se contiene l'indirizzo IP dei client (non tutti lo fanno). Non che, a seconda del percorso della posta, potrebbero esserci diversi MTA coinvolti e qualsiasi MTA può modificare l'intestazione e il mittente originale può anche aggiungere alcuni falsi Received-Headers alla posta.

... lot of spam emails that are coming from different email addresses but containing the same phishing email. I am confident these are coming from the same source.

Non necessariamente. Lo spam / il phishing viene spesso inviato utilizzando botnet noleggiati, ad esempio la stessa posta proviene da molti indirizzi IP di origine diversi. Assumendo sempre lo stesso IP mittente e bloccandolo non sarebbe di aiuto. Ma si potrebbe fare uso di liste nere in tempo reale (RBL) che includono il tipico IP sorgente di spammer e anche reti per account "dial-up" (cioè utenti domestici) che sono spesso a malapena parte di una botnet e quindi utilizzati per lo spamming. Vedi ad esempio questo controllo multi-RBL . L'uso di tale RBL può essere spesso aggiunto a server di posta e strumenti come Spamassisin può anche utilizzare RBL.

    
risposta data 31.08.2016 - 08:22
fonte
0

I would like to know whether there is anyway of extracting and verifying the ip address of someone who has sent you an email.

Is this typically stored in an email's header / metadata?

Sì, puoi. Mxtoolbox è quello che usavo quando stavo analizzando le email di phishing. Estrai le intestazioni delle email e incollale in Mxtoolbox. Ti darà una visione leggibile. Puoi trovare l'indirizzo IP nell'intestazione "Received" o talvolta come intestazione dedicata come "X-Originating-IP".

If so, can this ip address adequately identify the ip address of the original sender?

Nella maggior parte delle email di spam / phishing, no. Di solito vengono inviati tramite botnet, ad esempio la stessa email inviata da più IP. Quindi bloccare gli IP sarà una soluzione molto temporanea al tuo problema.

Ce ne sono tre per minimizzare questo problema:

  1. Puoi aggiungere un plug-in antispam al tuo server di posta che analizza e filtra tutti i messaggi di posta elettronica ricevuti. Come Steffen Ullrich ha menzionato nella sua risposta, SpamAssassin è un popolare open source.

  2. È possibile aggiungere plug-in al client di posta che svolgono essenzialmente la stessa attività dei plug-in del server di posta. Spamihilator e MailWasher sembrano funzionare con la maggior parte dei client di posta elettronica. Non li ho mai usati personalmente.

  3. Utilizza un servizio cloud anti-spam che analizza e filtra tutte le email di spam destinate al tuo dominio prima di inoltrarle sul tuo server di posta. MailCleaner è un esempio di questo.

risposta data 31.08.2016 - 17:01
fonte

Leggi altre domande sui tag