Jak zweryfikować tożsamość nadawcy wiadomości e-mail?

12

Właśnie dostałem wiadomość e-mail od firmy, dla której naprawdę chciałbym pracować, ale nie jestem przekonany, że osoba, która do mnie pisze, jest prawdziwa lub mistyfikacja. Czy istnieje sposób oparty na informacjach MIME i wszystkich nagłówkach wiadomości e-mail, aby heurystycznie ustalić, czy wiadomość e-mail pochodzi od tego, z kogo ona pochodzi?

Aktualizacja

Dzięki wszystkim za wspaniałe odpowiedzi doszedłem do wniosku, że nie ma jednego świetnego sposobu, aby powiedzieć. Sprawdziłem rekordy MX na serwerach DNS oraz rekordy WHOIS dla domen i adresów IP i wszystko się wypisało. Dla pewnego kontekstu skontaktowano się najpierw z nami na LinkedIn, więc nie było to zupełnie nieoczekiwane.

davelab
źródło
4
Właśnie z ciekawości: czy okazało się, że to podróbka, czy prawdziwa?
Lukas Knuth,

Odpowiedzi:

9

Nie definitywnie. Zbyt łatwo jest fałszować informacje w nagłówkach.

Użyj tradycyjnych metod, aby zweryfikować firmę. Uzyskaj numer firmy z 411 informacji i zadzwoń do nich. Zapytaj o stanowisko, o którym mowa. Jeśli tytuł pracy się sprawdzi, poproś o rozmowę z osobą odpowiedzialną za otwarcie pracy.

Uwaga: jeśli w e-mailu wspomniano o pieniądzach, prawdopodobnie są one fałszywe. Możesz to sprawdzić, przeglądając w Google unikalną frazę. Często takie e-maile pojawiają się na Snopes.com i podobnych stronach.

Większość renomowanych firm nie pozyskuje w ten sposób pracowników, więc chyba że zostaniesz polecony przez kolegę, prawdopodobnie jest to nieprawda.

Robert Harvey
źródło
Tak, próbowałem fraz Google w e-mailu i nie znalazłem żadnych trafień. Znalazłem tę osobę również na LinkedIn, Plaxo, Meetup i kilku innych stronach, ale przypuszczam, że to może być fałszywe.
daveslab,
9

Nie wszystkie nagłówki wiadomości e-mail można sfałszować. Gdy wiadomość e-mail zostanie odebrana przez zaufany serwer, który zapewnia twoją usługę e-mail, nagłówki Received: są niezawodne.

Rozważ ten ciąg nagłówków Received::

Received: by 10.142.214.19 with SMTP id m19cs274738wfg;
    Thu, 17 Dec 2009 03:20:12 -0800 (PST)
Received: by 10.115.67.30 with SMTP id u30mr1589591wak.119.1261048811650;
    Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from mail1.stackoverflow.com (mail1.stackoverflow.com [69.59.196.214])
    by mx.google.com with ESMTP id 31si4514829pzk.62.2009.12.17.03.20.11;
    Thu, 17 Dec 2009 03:20:11 -0800 (PST)
Received: from superuser.com (unknown [10.0.0.4])
by mail1.stackoverflow.com (Postfix) with ESMTP id 67A7F1E08A;
Thu, 17 Dec 2009 03:20:11 -0800 (PST)

Po najniższym nagłówku Odebrano: następuje treść wiadomości, która zawiera nagłówki Do: i Od:, które można podrobić. Ale spójrzmy na nagłówki Received:

Pierwszy nagłówek wskazuje, że serwer o adresie IP 10.0.0.4 o nazwie superuser.com wysłał wiadomość do serwera mail1.stackoverflow.com. Wiedząc, że w tym przypadku należy spodziewać się obu tych nazw, nagłówek Received: wskazuje wewnętrzne przekazywanie w obrębie kompleksu superużytkowników serwerów pocztowych.

Następny nagłówek Received: wskazuje, że mail1.stackoverflow.com pod adresem 69.59.196.214 przekazał wiadomość na mx.google.com. Możemy potwierdzić, że publiczny adres IP mail1.stackoverflow.com to 69.59.196.214, a ponieważ Google jest moim dostawcą poczty e-mail, spodziewam się, że wymiennik poczty (mx) na google.com otrzyma moją wiadomość. To jest pierwszy kontakt z moją domeną pocztową (google) i nie można go sfałszować. Oczywiście może istnieć mnóstwo sfałszowanych nagłówków Received: pod tym nagłówkiem, więc znalezienie pierwszego niezawodnego nagłówka Received: może być trudne.

Dwa ostatnie otrzymane: nagłówki pokazują 10 adresów netto, więc są one przekazywane w domenie google. To również nie jest nieoczekiwane.

Zły serwer pocztowy może wstawić wiele fałszywych nagłówków Received: do strumienia, ale zawsze taki, który pochodzi z zaufanego źródła, w tym przypadku mx.google.com. Ten pierwszy zaufany nagłówek Odebrano: wskazuje publiczny adres IP, który faktycznie przesłał wiadomość e-mail. Jeśli ten adres IP jest podejrzany lub nie odpowiada podanej nazwie domeny, należy podejrzewać całą treść wiadomości.

Możesz przeczytać nagłówki Odebrane: w większości klientów e-mail za pomocą polecenia „wyświetl źródło”. Czytanie od podstaw i znalezienie pierwszego niezawodnego nagłówka Received: wymaga trochę umiejętności, ale po znalezieniu weryfikacja jest szybka i pomocna.

kwe
źródło
1
Doskonała odpowiedź! Ale czy jesteś pewien, że nagłówków Received: nie da się podrobić!
daveslab,
1
Tak, można ich sfałszować. Ponieważ jednak każdy serwer pocztowy przygotowuje własny nagłówek Received:, w pewnym momencie, który może być trudny do rozpoznania, nagłówki Received: są tworzone przez własny serwer e-mail i są one niezawodne. Najbardziej niezawodny nagłówek Received: wskazuje prawdziwy adres IP „obcego” systemu poczty elektronicznej. Jeśli adres IP się wyewidencjonuje, będzie to oznaczać dobry komunikat. Jeśli tak nie jest, lub istnieją oczywiste fałszerstwa, jak w przypadku tak dużej ilości spamu, to podważa całą wiadomość. To nie jest przepis na określoną decyzję w górę / w dół - tylko wskazówki.
kwe
2

Jedną rzeczą, o której nikt nie wspominał, jest to, że można sfałszować wszystkie nagłówki, ALE jeśli spojrzy się na adres zwrotny, to powinien być dobry sposób na stwierdzenie, czy jest to oszustwo. To znaczy, jeśli tak jest:

Do:

youremail @ blabla

Od:

[email protected]

odpowiedzieć do:

[email protected]

Jest mało prawdopodobne, aby był to oszustwo. Nawet jeśli odpowiedziałeś numerem karty kredytowej, adresem domowym i nazwą ulubionej książki, spamer nie może nic zrobić, ponieważ Twoja odpowiedź zostanie wysłana do stevejobs.

Jeśli komunikat wygląda następująco:

Do:

youremail @ blabla

Od:

[email protected]

odpowiedzieć do:

stevejobs @ otherapple.com

To powinno wywołać czerwone flagi. Ten e-mail nie trafi do nadawcy. Pójdzie do kogoś innego. Pamiętaj, że aby spam działał, musi on wrócić do spamera.

Uwaga : w pewnych okolicznościach może to nadal być spam, ale jest to niezwykle łatwa kontrola.

sześćdziesiąt stóp
źródło
1

Zadzwoń do nich i poproś o rozmowę z nim / nią. Jeśli odpowiedź brzmi „nie mamy tu nikogo o takiej nazwie”, prawdopodobnie jest to fałszywe.

Czasami trudno jest ustalić, czy wiadomość e-mail została wysłana przez człowieka, czy za pomocą automatycznego skryptu, a jeszcze trudniej jest zweryfikować tożsamość nadawcy.

Być może kiedyś wszyscy będziemy mieć osobiste certyfikaty, których możemy rutynowo używać w wiadomościach e-mail i innych komunikatach w celu wzajemnej weryfikacji tożsamości, ale do tego czasu będzie to wymagało sceptycyzmu i myślenia lateralnego.

njd
źródło
1

Przynajmniej sprawdź adres e-mail za pomocą czegoś takiego jak http://verify-email.org/ . To po prostu telly, jeśli istnieje wysyłający adres e-mail; nie weryfikuje, czy wiadomość pochodzi od tej osoby.

Jeśli adres e-mail istnieje, sprawdź, czy wspomniany typ stanowiska jest publicznie wymieniony, a następnie w końcu skorzystaj z jednej z powyższych technik, aby sprawdzić.

Phil Brooks
źródło
1

Ponieważ wszystkie nagłówki wiadomości e-mail można sfałszować, nie ma prostego sposobu, aby zdecydować, czy wiadomość e-mail jest fałszywa, czy nie. Czy są jakieś błędy ortograficzne - a ściślej mówiąc - błędy gramatyczne. Może być jeden lub dwa w prawdziwej wiadomości, ale wiele sugerowałoby podróbkę.

Możesz wysłać tę osobę e-mailem, ale musisz uważać na to, co mówisz.

Nie odpowiadaj jednak na wiadomość e-mail, sam wpisz adres e-mail.

Nie jest to gwarantowane, ponieważ firmowy serwer poczty e-mail może po prostu połknąć nieprawidłowe adresy e-mail, a nie je odsyłać (może to być ryzyko dla bezpieczeństwa, jeśli potwierdzimy, że adres nie istnieje).

Możesz także ustawić, że chcesz otrzymać odbiór i / lub odczyt - jednak mogą one zostać zignorowane przez odbiorcę.

ChrisF
źródło