Jak czytać pola Odebrane w nagłówku poczty?

0

Oto przykład nagłówka wiadomości e-mail (tylko otrzymana część): 

Delivered-To: [email protected]
Received: by 10.79.29.73 with SMTP id d70csp1033542ivd;
        Sun, 10 Apr 2016 13:13:50 -0700 (PDT)
X-Received: by 10.28.85.137 with SMTP id j131mr14088045wmb.15.1460319230220;
        Sun, 10 Apr 2016 13:13:50 -0700 (PDT)
Return-Path: <[email protected]>
Received: from libri.sur5r.net (libri.sur5r.net. [217.8.49.41])
        by mx.google.com with ESMTPS id l10si24947537wjx.231.2016.04.10.13.13.49
        for <[email protected]>
        (version=TLS1_2 cipher=ECDHE-RSA-AES128-GCM-SHA256 bits=128/128);
        Sun, 10 Apr 2016 13:13:50 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 217.8.49.41 as permitted sender) client-ip=217.8.49.41;
Authentication-Results: mx.google.com;
       spf=pass (google.com: domain of [email protected] designates 217.8.49.41 as permitted sender) [email protected]
Received: from samsa.sur5r.net (samsa.hd.sur5r.net [2001:470:1f15:53:21c:bfff:fec3:a0bb])
  (AUTH: PLAIN samsa, TLS: TLSv1/SSLv3,256bits,DHE-RSA-AES256-GCM-SHA384)
  by libri.sur5r.net with ESMTPSA; Sun, 10 Apr 2016 22:13:49 +0200
  id 000000000000000B.570AB3FD.00004739
Received: from samsa.sur5r.net (localhost [127.0.0.1])
    by samsa.sur5r.net (Postfix) with ESMTP id 0B09910A113D;
    Sun, 10 Apr 2016 22:13:47 +0200 (CEST)

Jak widać, zawiera wiele informacji. Wiem, że wskazuje to trasę od nadawcy do odbiorcy, ale tak naprawdę nie wiem, jak odczytać ten nagłówek. Czy ktoś może wyjaśnić, co właściwie dzieje się z wiadomością na podstawie powyższych informacji? Dlaczego pierwszy Received: to jest 127.0.0.1? Czy nie powinien to być jakiś publiczny adres IP? Skąd mam wiedzieć, czy wiadomość jest spamem, czy też została sfałszowana?

email Mikhail Morfikov
źródło
1
Nic o tym nie jest specyficzne dla UNIX - chodzi o transport poczty i (możliwe) fałszerstwo. Tylko moje 2 centy.
Jeff Schaller
Nie możesz polegać na nagłówkach, chyba że są one podpisane z DKIM (zobacz dkim.org ). Jest całkowicie w porządku Received:..from 127.0.0.1: the MSA (Agent przesyłania wiadomości) może zostać skonfigurowany do wysyłania wiadomości do lokalnie uruchomionego MTA (Agent przesyłania wiadomości). Więc MTA umieszcza prawidłowy nagłówek, otrzymał wiadomość od localhost.
Serge
Jeśli chodzi o oznaczenie wiadomości jako legalnej - akceptuj tylko wiadomości z DKIM podpisy, które przejdą testy. Reszta to SPAM.
Serge
@Serge to nonsens. Wiele legalnych serwerów pocztowych nie obsługuje DKIM. I wielu spamerów podpisuje spam za pomocą DKIM (lub wysyła za pośrednictwem usługi, takiej jak gmail lub yahoo itp.). Brak DKIM jest nie znak spamu, a podpis DKIM to nie dowód, że wiadomość nie jest spamem. Jeśli chodzi o poleganie na nagłówkach Received: są one trywialnie fałszowane. Tylko ty możesz naprawdę zaufanie to te dodane przez twój własny serwer, zobacz wszystkie inne odebrane: nagłówki z głębokim podejrzeniem.
cas
@as, nie powiedziałem, że DKIM jest ostatecznym dowodem. W każdym razie poleganie wyłącznie na nagłówkach nie rozwiąże problemu. Parzysty en.wikipedia.org/wiki/Naive_Bayes_spam_filtering daje fałszywe trafienia, chociaż jest to sposób na to. Jeśli chodzi o legalne serwery, które nie używają DKIM - zawsze do Ciebie należy decyzja, które znaki są dla Ciebie ważne, a co nie, aby oznaczyć wiadomość jako SPAM
Serge