浅谈通过邮件头(Email Headers)识别伪造邮件

最新推荐文章于 2023-08-08 15:41:59 发布
最新推荐文章于 2023-08-08 15:41:59 发布
阅读量1w 收藏 12
点赞数 5
文章标签: smtp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/VoisSurTonChemin/article/details/118709379
版权

目录

背景

这两周做一个发邮件的需求,一波三折,期间既尝试了公司内部的发邮件服务,也尝试了调用 Gmail 个人邮箱的 API 来发送。对邮件服务的原理因此就有些好奇,上网搜了一些相关信息,整理如下。

(多说一句:刚工作那会儿我干过类似的事儿,当时是在一个创业公司,我想从家里登录办公室的电脑,但公司没有固定公网 ip,于是我写了一个 Shell 脚本,检测到公司路由器公网 ip 变化了就发一封邮件给我。从路由器到服务器之间配置了端口转发。)

什么是邮件头(Email Headers)

正常收发邮件的普通用户,是看不到邮件头的。邮件应用会默认隐藏邮件头。

但邮件头很有用。你可能已经注意到,在发邮件时,from (发件人)字段是可以自行指定的,例如 Java 中是这样:

MimeMessage message = new MimeMessage(session);
message.setFrom(new InternetAddress("someone@somedomain"));

那么收信人怎么知道信中声称的发信人不是伪造的呢?这时候邮件头就派上用场了。

和数据包一样,邮件也不是直接从发件人那里发送到收件人那里的,而是在多个邮件传输代理(MTA,Mail Transfer Agent)中辗转数次,每一次都送到离收件人更近的 MTA 服务器上,最终送给收件人。

在这里插入图片描述
图片来源

这期间的每一个 MTA 都会在邮件上加上一个 Header,最终在收件人那里能看到所有这些 Header,即邮件头(Email Headers)。

如何获取邮件头

一版在网页邮箱中,都能找到展示邮件头的相应选项。

Gmail 示例:
在这里插入图片描述
在这里插入图片描述
点击 Show original 之后,就能看到原始邮件了,原始邮件中最靠前的部分就是邮件头。

再以我最常用的新浪邮箱为例:
在这里插入图片描述

分析邮件头

首先把邮件头(或者整个原始邮件)粘贴到 VS Code,选择语言为 Email。或者保存为 .eml 格式也行,VS Code 会自动识别:
在这里插入图片描述
这样就可以借助语法高亮,很清楚地识别邮件头的各个字段了。下面简单说几个常用的字段。

Header 是从下往上依次添加的,越靠下的部分越接近发件人,所以看的时候要从下往上依次看,弄清楚从发件人到收件人的链路。

Received

这是分析邮件头时最重要的一个字段。该字段告诉你邮件是如何一步一步经由各个 MTA 发到你手上的。

其中,每一次经由一个 MTA 都会加上一个 Received 字段,其中的 fromby 分别是发送的 MTA 和收取的 MTA。

例如:

Received: from rn2-txn-msbadger05101.apple.com (HELO rn2-txn-msbadger05101.apple.com)([17.111.110.85])
        by sina.com (10.71.8.23) with SMTP
        id 60E926D7000026EC; Sat, 10 Jul 2021 12:49:28 +0800 (CST)

其中,from rn2-txn-msbadger05101.apple.com (HELO rn2-txn-msbadger05101.apple.com)([17.111.110.85]) 这行是说邮件在这一步是从这个 MTA 发出的。你可以根据域名、ip 等信息判断,这的确是从苹果公司的服务器发出来的;

by sina.com (10.71.8.23) 则说明,邮件被新浪收到了。这的确是一封苹果公司发到我新浪邮箱的邮件。

SPF(Sender Policy Framework)

SPF 是用来帮助判断发件人是否伪造的。正常情况下,SPF 取值应为 Pass。例如:

Received-SPF: Pass (sina.com: SPF record at _spf-txn.apple.com designates 17.111.110.85 as permitted sender) identity=from;

DKIM(Domain Keys Identified Mail)

这也是用来帮助判断邮件发件人真实性的一个很重要的字段,可以简单理解为电子签名。DKIM 通常长这样:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=email.apple.com;
        s=email0517; t=1625892495;
        bh=mQkSp8cygTZ7zTrw7YuQofK1z6wuyCw6Yp1/eOBHFFc=;
        h=Date:From:To:Message-ID:Subject:Content-Type;
        b=Qis7zZOXz6vvVArRizpgnsJKO7iSUmeJ7QtEjeEQ5+4hv+KAEQCiPeyjcc6hqRrkJ
         RFYvYH5fQjIGXvGnXhWtjE4J5QrhGOPbRfn3Yp2mhdo+d+JfvJTF6Nx2tD56jgu756
         1+trUOezTshdsOv8XcXrGWBEag5mfPfTOjnfUy9W6Ec4wiEjFS0FYsl2e8eNOCi1Nu
         EzLmhu3c/VGo1WNz5WYeoTP3LAJ/UZlqsFVxFoBRxUtTNPwBn/aIqmmA4mZnjkSwpb
         gd2TCsweb3emVq+5ZfSrayemmyRNh/Yqobj1y21QGzrimlNKr4HmFG5ALQwo9DVT+F
         VIl1PvL1td2lg==

我最近在做发邮件需求时就踩到了一个坑,怀疑是跟 DKIM 相关。我们调用公司的邮件服务,往公司内部邮箱发,本来发的很正常,结果突然有一天就怎么也收不到邮件了。

我们前后排查了大大小小各种原因,折腾了好久,最后(隔了一两天吧)收到一封系统通知才知道:邮件被拦截了!而且甚至都没出现在垃圾箱中。后来我在公司邮箱的隔离所中,果然找到了丢失的邮件。

之前怎么也想不到,有的邮件根本到不了你的垃圾箱中,就已经被拦截了。

这两天我分析了一下我们当初发的邮件的邮件头,发现甚至连这个 DKIM 字段都没有!

也难怪会被判断为垃圾邮件,给拦截了呢。

倪琛
关注
  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何读懂邮件,邮件格式的规定
08-04
电子邮件也许是一个Internet上的流行最广泛的应用。也是我们现在的大多数网络办公流程的基础。各种邮件服务器很多,但都大都遵循以1982年出版的RFC822--《ARPA网络文本信息格式标准(STANDARD FOR THE FORMAT OF ARPA INTERNET TEXT MESSAGES)》为基础的一系列邮件格式的规定。
Email邮件揭密
05-15
mail邮件知识,让你了解垃圾邮件是如何通过邮件中继发磅的
邮件字段介绍(一)
最新发布
mengdongxiaobai2的博客
08-08 1039
"Received" 字段,记录下邮件的传输信息,包括发送日期、服务器域名或 IP 地址、协议等。示例含义:来自mail.example.com的邮件服务器发送给mailserver.example.net的邮件服务器,发送到recipient@example.net收件人手里;
MIME邮件的格式
shenhonggeli的专栏
10-22 2150
邮件格式说明Mutiple Internet Mail ExtensionsRefer to Internet Official Protocol Standards RFC 8221        概述网络间传递的电子邮件需要公共认同的格式,以便于客户端邮箱软件识别拆解其间的信息。邮件本身是由ASCII字符构成,总体上
Email邮件揭密及邮件可能伪造的地方
gscaiyucheng的专栏
03-23 2万+
一、简介  本文将详细讨论email的方方面面。主要为用户架设邮件服务器提供理论基础并为管理员在出现电子邮件垃圾骚扰时提供发现垃圾邮件的真正源。根据邮件的知识有助于发现伪造邮件。对于希望了解邮件是如何在网络中传输的用户同样会有帮助。文章有若干虚构的域名和随意分配的IP地址作为示例使用。 二、Email的传输过程 这部分包含一个简单的对一个电子邮件生命周期的分析。这对于理解
电子邮件全揭密
nopicture的博客
06-08 1108
当一个用户发送邮件,他一般是在自己的计算机上编辑邮件,然后将邮件发送到ISP的邮件服务器上。如果lisi想给zhangsan发送邮件,他在工作站(假设名字为alpha.zky.ac.cn)上编辑邮件,编辑好的信件从工作站发送到中科院的邮件服务器:mail.zky.ac.cn。"Received:"的重要性在上面的例子中我们已经看到,"Received:"提供了详细的消息传输历史记录,因此即使在其他邮件是被伪造的情况下也可能根据"Received:"得到某些关于该信件原始出处和传输过程的结论。
电子邮件结构信息
weixin_30458043的博客
08-19 497
1邮件的结构 1.1 邮件格式的发展 为了方便信息传输,人们规范了Internet邮件消息的结构形式。RFC 822是最早的一个标准,即标准ARPA互联网文本消息格式(standard for the format of ARPA internet text messages)。RFC822规定一个邮件邮件邮件体两大部分组成。邮件邮件体之间以空行进行分隔,邮件中不允许出现空行。邮件...
读懂邮件信息
wsxqaz的专栏
04-07 1万+
<br />  电子邮件也许是一个Internet上的流行最广泛的应用。也是我们现在的大多数网络办公流程的基础。各种邮件服务器很多,但都大都遵循以1982年出版的RFC822--《ARPA网络文本信息格式标准(STANDARD FOR THE FORMAT OF ARPA INTERNET TEXT MESSAGES)》为基础的一系列邮件格式的规定。<br /><br />  RFC(The Requests for Comments)是用来规定互联网工作标准的文档。我们使用的时候并没有注意到这些协议在我们
SPF与邮件简述
热门推荐
Shanfenglan's blog
08-11 32万+
SPF(Sender Policy Framework)工作原理 首先声明,SPF记录其实是DNS上的一条TXT记录 SPF是跟DNS相关的一项技术,它的内容写在DNS的txt类型的记录里面。mx记录的作用是给寄信者指明某个域名的邮件服务器有哪些。SPF的作用跟mx相反,它向收信者表明,哪些邮件服务器是经过某个域名认可会发送邮件的。 任何组织或者企业一般都会有一个邮件服务器。倘若这个服务器开启了SPF且接收到了邮件,那么就会按照如下流程工作。 1.当前邮件服务器接收到了一封邮件邮件内容是声称ip
SPF详细介绍
weixin_34150503的博客
09-09 848
为什么80%的码农都做不了架构师?>>> ...
C# Email发送邮件 对方打开邮件可获得提醒
08-28
- 通过`mail.Headers.Add`方法添加`Disposition-Notification-To`信息,这将请求收件人在阅读邮件后发送回执到指定的地址。 3. **配置SmtpClient对象**: - 初始化`SmtpClient`对象,用于连接SMTP(Simple Mail...
php中通过curl smtp发送邮件
10-28
在PHP中,当传统的fsockopen函数被禁用或者不可用时,如文中所述的公司云平台关闭了该功能,可以使用cURL库通过SMTP协议发送邮件。cURL是一个强大的库,可以处理多种网络协议,包括SMTP。下面将详细介绍如何使用cURL...
email-header-analyzer:电子邮件标题分析器
04-29
电子邮件标题分析器(MHA)什么是电子邮件标题分析器(MHA): 电子邮件标题分析器是用编写的工具,用于分析电子邮件标题并将其转换为人类可读的格式,它还可以: 识别跃点延迟。 确定电子邮件的来源。 识别跃点国家...
rfc2045.rar_rfc2045_邮件服务器
09-23
电子邮件报文由邮件headers)和邮件体(body)两部分组成。邮件包含了发件人、收件人、主题等关键信息,而邮件体可以是纯文本,也可以是MIME编码的多媒体内容。rfc2045规定了如何在邮件中声明MIME类型和编码...
vue在响应response中获取自定义headers操作
10-15
在涉及安全性的场景中,为了防止第三方伪造响应报文欺骗前端,后端会在响应中添加自定义的headers,这些自定义headers包含了用于验证身份的关键信息。 在Vue中,通过 Axios 发送POST请求时,我们可能需要获取响应...
如何查找邮件并从中获取有用信息
上海云璨的博客
05-20 6324
邮件是什么 一个由邮件(信)和邮件体组成,以文本形式存在的信息载体。 邮件邮件+邮件邮件一般由若干个信字段组成: 邮件(部分) Received段:路由信息,记录了邮件传递过程。 特点: 整个邮件原文中,只有Received段是不由发件方编辑的,是由接收方加载的 由所经过的路由在信最顶部添加 每经过一个处理,必须在最上层添加一个Receive...
快速读懂邮件信息
weixin_33898233的博客
07-11 501
快速读懂邮件信息 有时候我们在管理邮件服务器是会收到一些奇奇怪怪的邮件,这时候就要去分析邮件,好知道详细情况,而天书般的邮件内容,就算是专业人士看起来也会痛,那么有没有一种快速简便的方法能读懂邮件呢?答案是有的,网站 ip-address就能帮你解决这类问题。 一、获取邮件内容 首先打开一个MSN邮件,单击右键选择“查看邮件来源”   接着我们复制邮件信息   将刚复制...
Email邮件揭密
fujiayi的中文博客
04-01 7238
Email邮件揭密(Email header)原文为繁体 原作者未知一、简介 本文将详细讨论email的方方面面。主要为用户架设邮件服务器提供理论基础并为管理员在出现电子邮件垃圾骚扰时提供发现垃圾邮件的真正源标。根据邮件的知识有助于发现伪造邮件。对于希望了解邮件是如何在网络中传输的用户同样会有帮助。文章有若干虚构的域名和随意分配的IP地址
ExchangeFilterFunction 添加请求HttpHeaders
06-08
好的,可以给您提供一个添加请求HttpHeaders的ExchangeFilterFunction示例代码: ``` ExchangeFilterFunction addHeaderFilter = (clientRequest, next) -> { HttpHeaders headers = clientRequest.headers(); headers.add("headerName", "headerValue"); return next.exchange(clientRequest); }; ``` 您可以将上述代码添加到您的WebClient中,以在发送请求时添加请求

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值