电子邮件标题中的所有内容意味着什么

 邮箱网  0条评论  9282次浏览  2019年09月06日 星期五 09:45

分享到: 更多
中国邮箱网讯 9月6日消息 我经常通过电子邮件向被模仿的人或其孩子被模仿的人请求帮助。即使你知道如何在你的电子邮件客户端中“查看标题”或“查看源代码”,如果你不知道你在看什么,那么诊断wharrgarbl的喷射可能会非常大。今天,我们将逐步介绍一组真实的(匿名)电子邮件标题,并描述确定内容的过程。


然而,在我们开始使用实际标题之前,我们将首先简要介绍一下电子邮件整体路径的概况。(更有经验的系统管理员类型已经知道“MTA”和“SPF”代表什么样的东西可以跳过有趣的部分!)

从MUA到MTA,再回到MUA

发送和接收电子邮件所涉及的基本组件是 邮件用户代理 和邮件传输代理。在最简单的条款中,MUA是您用来从自己的个人计算机(如Thunderbird,或Mail.app,甚至是Gmail或Outlook等网络邮件界面)读取和发送邮件的程序,MTA是接受邮件的程序来自发件人,并将他们路由到他们的最终收件人。

传统上,邮件使用简单邮件传输协议(SMTP)发送到邮件服务器,并使用邮局协议(缩写为POP3,从服务器下载,因为版本3是协议的最常用版本)从服务器下载。传统的邮件用户代理 - 例如Mozilla Thunderbird--需要知道这两种协议; 它会使用SMTP将所有用户的消息发送到用户的邮件服务器,并使用POP3从用户的邮件服务器下载用户的消息。

随着时间的推移,事情变得更加复杂。 IMAP 在很大程度上取代了POP3,因为它允许用户将实际的电子邮件留在服务器上。这意味着您可以从多台计算机(可能是台式PC和笔记本电脑)读取您的邮件,并以相同的方式组织所有相同的消息,无论您在哪里检查它们。

最后,随着时间的推移,网络邮件变得越来越流行。如果您使用网站作为MUA,则无需了解任何讨厌的SMTP或IMAP服务器设置; 你只需要你的电子邮件地址和密码,就可以阅读了。

最终,从一个人类用户到另一个人的任何消息都遵循MUA⟶MTA(s)path MUA的路径。对电子邮件标题的分析涉及跟踪该流程并寻找任何有趣的业务。

TLS飞行加密

原始SMTP协议绝对没有考虑安全性 - 任何服务器都应该接受来自任何发件人的任何消息,并将消息传递给它认为可能知道如何到达To:现场接收者的任何其他服务器。电子邮件在受信任的机器和人们最早的日子里,这很好,很花哨,但随着互联网成倍增长并变得更具商业价值,它迅速变成了一场噩梦。

仍然可以发送完全没有考虑加密或身份验证的电子邮件,但这些邮件很可能会被反垃圾邮件防御一路拒绝。现代电子邮件通常在飞行中加密,并在静止时进行签名和验证。通过TLS完成飞行中加密,这有助于防止消息内容在飞行中从一个服务器捕获或改变到另一个服务器。这很好,到目前为止,但只有当邮件从一个MTA中继到另一个MTA沿传送路径时,才会应用正在进行的TLS。

如果电子邮件在到达其收件人之前通过三个MTA从发件人传播,则沿途的任何服务器都可以更改邮件的内容 - TLS会逐点加密传输 ,但无法验证内容本身或路径的真实性通过它旅行。

SPF-发件人政策框架

域的所有者可以在其DNS中设置TXT记录,该记录表明允许哪些服务器代表该域发送邮件。举一个非常简单的例子,Ars Technica的SPF记录 显示来自的电子邮件arstechnica.com应该只来自Google SPF记录中指定的服务器。任何其他来源都应该遇到SoftFail 错误; 这实际上意味着“更少信任它,但不一定只能根据这一点将它变成太阳。”

电子邮件中的SPF标头在生成后无法完全信任,因为不涉及加密。SPF实际上只对服务器本身有用。如果服务器知道它位于网络的外部边界边缘,它也知道它接收的任何消息应该来自发送者域的SPF记录中指定的服务器。这使得SPF成为快速摆脱垃圾邮件的绝佳工具。

DKIM-DomainKeys识别邮件

与SPF类似,DKIM设置在发送域的DNS中的TXT记录中。与SPF不同,DKIM是一种验证消息本身内容的身份验证技术。

发送域的所有者生成公钥/私钥对,并将公钥存储在域DNS的TXT记录中。域的基础结构外部边界上的邮件服务器使用私有DKIM密钥生成整个邮件正文的签名(正确加密的哈希),包括在发送者基础结构之外的路径上累积的所有标头。收件人可以使用从DNS检索到的公共DKIM密钥解密DKIM签名,然后确保散列匹配整个邮件正文,包括收到它的标头。

如果解密的DKIM签名是整个正文的匹配哈希,则该消息可能是合法的且不会改变 - 至少由仅属于域所有者的私钥验证(最终用户没有或不需要此密钥) 。如果DKIM签名无效,您知道该消息要么不是来自声称的发件人的域,要么是由其他服务器之间的更改(即使只是通过添加额外的头)。或两者!

当尝试确定一组标头是合法还是欺骗时,这变得非常有用 - 匹配的DKIM签名意味着发件人的基础设施担保签名行下面的所有标头。(而这 一切意味着,太DKIM是在邮件服务器管理员的工具箱只是一个工具。)

基于DMARC域的消息验证,报告和一致性

DMARC扩展了SPF和DKIM。从有人试图追踪可能存在欺诈性的电子邮件的角度来看,这并不是特别令人兴奋; 它归结为一组简单的邮件服务器指令,介绍如何处理SPF和DKIM记录。DMARC可用于请求邮件服务器根据SPF和DKIM验证的结果传递,隔离或拒绝邮件,但它不会自行添加任何其他检查。

分析示例电子邮件

您可以在下面找到真实电子邮件中的一组真实标题。它们显示了从AOL帐户到本地托管的Exchange服务器的相当复杂但合法的路径。它们已被大量编辑,IP地址,主机名和时间戳已更改,但它们仍然完好无损,可用于分析。

我们将它分解成块,但我们严格按照从上到下的顺序读取这些块。路径上的每个服务器都将其自己的标头添加到原始电子邮件正文的顶部,位于其前面的所有服务器的标头之上。因此,当您阅读这些内容时,您将从最终目标MTA开始,一直向MTA迈进,该MTA首先接收来自发件人MUA的邮件。

标签:电子邮件标题内容

我的评论:

请  后发表评论。