É possível falsificar o campo 'recebido' no e-mail?

Navegue suas respostas
1

Recebi alguns e-mails estranhos recentemente. O email tem diferentes campos From e Reply-To . Ele também tem To definido como Undisclosed recipients , mas não é crucial.

Primeiro, achei falso, mas depois li this post que menciona que Received field não pode ser falsificado. Parece que o recebimento é adequado no caso do e-mail de que estou falando: 

Received: (wp-smtpd mx.tlen.pl 14490 invoked from network); 2 Oct 2018 07:19:36 +0200
Received: from mx.beniculturali.it ([194.242.241.200])
          (envelope-sender <[email protected]>)
          by mx.tlen.pl (WP-SMTPD) with ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP
          for <[email protected]>; 2 Oct 2018 07:19:36 +0200
Received: from sea2.mail.beniculturali.it (localhost.localdomain [127.0.0.1])
    by localhost (Email Security Appliance) with SMTP id 15EE31ECEEA_BB2FFE8B;
    Tue,  2 Oct 2018 05:19:36 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (mb2.mail.beniculturali.it [192.168.123.122])
    (using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
    (Client CN "email.beniculturali.it", Issuer "Actalis Authentication CA G3" (not verified))
    by sea2.mail.beniculturali.it (Sophos Email Appliance) with ESMTPS id 1C9BD1E9E28_BB2FFE7F;
    Tue,  2 Oct 2018 05:19:35 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (192.168.123.122) by
 MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
 id 15.0.1395.4; Tue, 2 Oct 2018 07:19:30 +0200
Received: from ca4.mail.beniculturali.it (192.168.123.144) by
 MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
 id 15.0.1395.4 via Frontend Transport; Tue, 2 Oct 2018 07:19:29 +0200
Received: from MDC.mail.beniculturali.it ([192.168.123.171]) by
 ca4.mail.beniculturali.it ([192.168.123.144]) with mapi; Tue, 2 Oct 2018
 07:19:29 +0200

É possível falsificar o campo Received de alguma forma, talvez usando técnicas avançadas?

    
por Landeeyo 03.10.2018 / 00:13

1 resposta

2

Sempre que um servidor de email recebe uma mensagem, ele coloca um novo cabeçalho Received na parte superior e passa todos os demais inalterados. Como tal, o primeiro Received header é sempre confiável (foi adicionado pelo servidor do qual você recebeu o email). O segundo é confiável se você confiar no host / IP de onde veio, de acordo com o primeiro. O terceiro é confiável se você confia no segundo e confia no IP de que o terceiro veio de acordo com o segundo. Esse padrão se repete para todos eles, cada um encadeando a confiança de todos os superiores. Observe a palavra "e"; uma única quebra na cadeia significa que nenhum cabeçalho Received inferior pode ser confiável, não importa qual host / IP eles indiquem.

    
por 03.10.2018 / 05:10

Tags

O Unison pode ser feito para ignorar montagens de bind ou hard links? Deletado ambiente de desktop gnome no fedora agora estou preso no login da linha de comando