Что означает X-Sender-Id в необработанном источнике электронной почты (найдено в фишинговой электронной почте)?

Кто-то в моей компании подвергается фишингу. Моим первым предложением было просто сменить пароль. Однако через некоторое время я снова получил поддельное письмо с ее адреса.

Глядя на необработанный источник письма, я обнаружил, что в X-Sender-ID есть электронное письмо другого человека, и мне интересно, кто это может быть. Это тот человек, который отправил электронное письмо, или это может быть взломанный аккаунт? (Я заменил письмо на "[email protected]")

X-Virus-Scanned: OK
Received: by smtp5.relay.iad3a.emailsrvr.com (Authenticated sender: somebody-AT-host.com) with ESMTPA id DF2788019C;
    Fri, 21 Nov 2014 07:54:42 -0500 (EST)
X-Sender-Id: [email protected]
Received: from smtp.emailsrvr.com ([UNAVAILABLE]. [2.133.148.211])
    by 0.0.0.0:587 (trex/5.3.2);
    Fri, 21 Nov 2014 12:54:46 GMT

Что такое X-Sender-ID? А что это за электронная почта?

4 голоса | спросил lisovaccaro 21 52014vEurope/Moscow11bEurope/MoscowFri, 21 Nov 2014 17:40:17 +0300 2014, 17:40:17

3 ответа


0

Мои обсуждения основаны на этом RFC, в котором описывается улучшение конфиденциальности электронных писем, которое вы очевидно используют.

В основном это говорит о X-Sender-ID:

  

[...] инкапсулированное поле заголовка, обязательное для всех      сообщения с повышенной конфиденциальностью, идентифицирует отправителя сообщения и предоставляет      компонент идентификации IK отправителя.

Что это значит?

Прежде всего вы должны проверить, правильно ли подписана почта. Если это так, вы можете быть уверены, что [email protected] имеет сертификат. И вы можете быть уверены, что полученное вами письмо было отправлено с этого почтового адреса.

Я не могу рассказать вам о последствиях этого факта, поскольку я не знаю, как ваша компания развертывает сертификаты и т. д. ... почтовый адрес /сертификат также мог быть взломан и, таким образом, злоупотреблен.

Надеюсь, это поможет вам в ваших дальнейших исследованиях.

ответил LMF 24 12014vEurope/Moscow11bEurope/MoscowMon, 24 Nov 2014 21:27:39 +0300 2014, 21:27:39
0

Хотя ответ @ LMF является полезной технической информацией, я хотел бы предложить возможное альтернативное объяснение.

Спамеры, которые не знакомы с электронной почтой (и программисты PHP без других злонамеренных намерений), склонны к программированию культового груза, когда дело доходит до заголовков электронной почты. Другими словами, если есть что-то, чего они не понимают, они могут подумать, что оно делает что-то полезное, и включить это в свой шаблон сообщения.

Без знания вашей почтовой инфраструктуры или других ваших сообщений для сравнения я бы просто предположил все, что находится ниже самого верхнего Received: заголовок подделан, и в основном не имеет смысла.

Если у вас есть система, которая запускает что-то под названием trex (возможно, этот? ) и он действительно управляет написать такой заголовок Received:, я могу ошибаться. Формат без необходимости отклоняется от де-факто стандартного шаблона Sendmail в некоторых местах, но он не является технически неправильным (формат в основном произвольной формы, но введение специального синтаксиса затрудняет угадывание значения полей).

Опять же, больше информации о том, как выглядит ваша типичная электронная почта (и типичная почта вашего корреспондента), очень важно для предположений.

ответил tripleee 29 62014vEurope/Moscow11bEurope/MoscowSat, 29 Nov 2014 02:30:42 +0300 2014, 02:30:42
0

x-sender-id вместе с x-recipient-id используется для указания того, какой ключ обмена использовался при трансляции сообщения.

  

X-Sender-ID entity_id : issuing_authority : version
X-Recipient-ID entity_id : issuing_authority : version

  1. Первое поле содержит идентификатор отправителя или получателя. Первое поле является обязательным, должно быть уникальным и должно быть отформатировано как [email protected], тогда как хост является полностью определенным адресом хоста.

  2. Второй идентифицирует имя органа, выдавшего обменный ключ.

  3. В третьем поле указан конкретный тип используемого ключа обмена. Это представлено буквенно-цифровой строкой, определенной органом выдачи для обозначения и организации многочисленных ключей обмена, выпущенных этим органом. Рекомендуется использовать метку времени, но это не всегда так.

Если значения полей второго и третьего полей x-sender-id идентичны значениям поля x-recipient-id они могут быть указаны только в поле, определенном последним.


Дальнейшее чтение

ответил davidcondrey 1 MonEurope/Moscow2014-12-01T12:57:44+03:00Europe/Moscow12bEurope/MoscowMon, 01 Dec 2014 12:57:44 +0300 2014, 12:57:44

Похожие вопросы

Популярные теги

security × 330linux × 316macos × 2827 × 268performance × 244command-line × 241sql-server × 235joomla-3.x × 222java × 189c++ × 186windows × 180cisco × 168bash × 158c# × 142gmail × 139arduino-uno × 139javascript × 134ssh × 133seo × 132mysql × 132