Como posso detectar falsificação de e-mail no cabeçalho?

Navegue suas respostas
1

Fui solicitado a verificar dois e-mails do gmail.com e do bol.com.br, principalmente de duas empresas, e preciso verificar se eles são legítimos e se é possível saber se eles vieram da mesma fonte. Eu não estou familiarizado com protocolo de email difícil, eles foram enviados para a mesma conta do Gmail: 

Delivered-To: [email protected]
Received: by 10.100.170.5 with SMTP id i5csp2396916pjd;
        Thu, 21 Sep 2017 11:22:10 -0700 (PDT)
X-Google-Smtp-Source: AOwi7QBEZqkl8wJDZ7obTe6gyOyEG9u6q5XnTB2r72YoOaw/m/IXHPZ93WGOCNpngiPLzOWbl/hn
X-Received: by 10.55.212.28 with SMTP id l28mr4236850qki.259.1506018130061;
        Thu, 21 Sep 2017 11:22:10 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1506018130; cv=none;
        d=google.com; s=arc-20160816;
        b=FQqMHXXegopvOr8UQ/uG1GE8EKXHjYITnrVQqgQbeCMUHj1jHD30LhV2Rjgge75zTt
         1M2kEG44er5ERzATnWSjdd4b6Yhn9tKa+660tyh3RW3WCcpEmkJXgJYpgqvR4BfNJ06k
         eqDCsRMPHZmz/HZ4Hez9C+GkWk/rElxmzjnwp6TrRIqRTJqRnydyYNnU6DhPdIP2oGlC
         tspDmeWkdAEGTLPwB1VbHWIoadiOjw9yWigve35Wk1Fa5XrX+lq5rngKhmCf+3FNMk5H
         GM8xUqtL2hY94dZ9pl21r31ho/QFehajv8Y191wE3MeZmQ/aQTBb841Tq4v5ke9ECkyG
         rLdA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:mime-version:subject:references
         :in-reply-to:message-id:to:from:date:dkim-signature
         :arc-authentication-results;
        bh=HMpsDDGEKNiGVAeThTTH4PXumG5F50lCG2rnFuk/+/I=;
        b=PD62Cr78VN/7nUekoJ7LJrf0KEF6TPEJMN+SlB19UBDhRL1ToVaM3myWIVxQNOcM2f
         wEmxsBOlANtpGocmqvpob0iZJSBkTTHtohKkkTGQdLFzV1KL7kJVn4CwttjT0RHup7Os
         +zqyzfSXLqjyNbqbyQUZO6X+ummzwh1oPXQinaYtiE9CBxwJrwb4zUgZXX2z18DWUOhF
         YBYl3Vh7zYaNSoT3frBbR0OpTmCbgIAFPnpfQ+0X5DJ5MulsHQo8S132C5g7c0Kv67Vd
         S4hQtBKug3huEVp3gcqgflMm7r0RqfjUMQL/fLMF1Wq8f472U+1oTGydYPdTaLbcrX4m
         iinw==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass (test mode) [email protected] header.s=afl header.b=nXKH7bsA;
       spf=pass (google.com: domain of [email protected] designates 200.147.97.220 as permitted sender) [email protected]
Return-Path: <[email protected]>
Received: from a4-salsa1.bol.com.br (a4-salsa1-1.bol.com.br. [200.147.97.220])
        by mx.google.com with ESMTP id f6si1675754qtb.466.2017.09.21.11.22.08
        for <[email protected]>;
        Thu, 21 Sep 2017 11:22:09 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 200.147.97.220 as permitted sender) client-ip=200.147.97.220;
Authentication-Results: mx.google.com;
       dkim=pass (test mode) [email protected] header.s=afl header.b=nXKH7bsA;
       spf=pass (google.com: domain of [email protected] designates 200.147.97.220 as permitted sender) [email protected]
Received: from localhost (localhost.localdomain [127.0.0.1])
    by a4-salsa1.bol.com.br (Postfix) with ESMTP id 0D4B6380008A
    for <[email protected]>; Thu, 21 Sep 2017 15:22:08 -0300 (BRT)
Received: from a4-salsa1.host.intranet (localhost.localdomain [127.0.0.1])
    by a4-salsa1.bol.com.br (Postfix) with ESMTP id C0DF73800089
    for <[email protected]>; Thu, 21 Sep 2017 15:22:07 -0300 (BRT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bol.com.br; s=afl;
    t=1506018127; bh=HMpsDDGEKNiGVAeThTTH4PXumG5F50lCG2rnFuk/+/I=;
    h=Date:From:To:In-Reply-To:References:Subject;
    b=nXKH7bsAv1rx9J5QmyVDwgHWzmYZi1oPkZaEEPrG11YFu0IbHo9rffS6MjIr/UVs/
     4rHAEeHBqOo3hkW9bRP/4WR8WRvuuPXx5cdRyJMJH4gr/YU3iyTrfU08JNFQJF4EGC
     v59X0llNrXN022t1ACXQKRHBIRf9h6IlePNQ6LCU=
Received: from localhost (a4-winter20.host.intranet [10.131.133.147])
    by a4-salsa1.host.intranet (Postfix) with ESMTP id 9131F3800083
    for <[email protected]>; Thu, 21 Sep 2017 15:22:07 -0300 (BRT)
Date: Thu, 21 Sep 2017 15:22:07 -0300
From: "[email protected]" <[email protected]>
To: [email protected]
Message-ID: <[email protected]>
In-Reply-To: 
References: 
Subject: ATESTADO
Mime-Version: 1.0
Content-Type: multipart/mixed;
 boundary="--==_mimepart_59c4034f82e01_55be3f8adc1651384293d";
 charset=utf-8
Content-Transfer-Encoding: 7bit
X-SenderIP: 187.67.89.176
X-SIG5: 8030fe2b24c06fb6a61d8f2a6a113e0c

CORREIO 2 

Delivered-To: [email protected]
Received: by 10.100.170.5 with SMTP id i5csp2364805pjd;
        Thu, 21 Sep 2017 10:51:01 -0700 (PDT)
X-Received: by 10.129.159.147 with SMTP id w141mr2102519ywg.11.1506016261823;
        Thu, 21 Sep 2017 10:51:01 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1506016261; cv=none;
        d=google.com; s=arc-20160816;
        b=wxtjwb3EPjUb11jPK6YYnKcbg8p3/gRWem0yhpUCMywIaMj7hqYhvm/ODBNA3zb20C
         CKnxbmxqvhZLcYOVn2dyiBbrXVmc3GMWLYmtMAfC2Vrm85n+LgeH3rCDiAmwp8Upl1MM
         H/eoDYi774tqnfSLxojzMboVRTUWWsoa48hmh2TDfFKZn3c2rg82hp3aYrXVNK+RicAB
         xFkQOK2uaXYDCyohBE3PR2+ISYWUy/xtJZurbUfmII7mO/14LQIfIIJkRCA0O50qwhhk
         4uRsyn81XVc2FO72nUI1z8YU0tM3NM3H4OI7F0FerzXwTX1aoR84htVVZsoYdKjJUd4N
         lt+g==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=to:subject:message-id:date:from:mime-version:dkim-signature
         :arc-authentication-results;
        bh=V9BwbsP4SGXLIud2rj2NIdd8O4GXXIPz16hg/2fc6E4=;
        b=l63lew5qOPNP0j5yFF5JKHRLRvQY8tN0vAZVtpEyFiczKdXoWX+Zctwz32MwKf81cL
         fRcUIfcCQ/ulb68gY24GT0Kc7OxOvgvAkN/RtqC2tmAbF6HMpoSf1M6TlW9VIf5SSaS0
         ySQqdLOrm8yZzlaWwAwjMTbzIBhPO9wlD4K99eicUkhEWbjF8QHLTwVfDuSD12jpdyp3
         5v9uCc7/eekIjoCC1pMJi36l85RMW142qdYjIGb5UdMk44m8KzVGVbWbCtqL03MelDAz
         TrndV1xWl9+22fmmWlIiYek/6wjzOItrGJikjskwbW7hmJ2bVqhPWcCOCHq2csvW12KE
         +kxQ==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass [email protected] header.s=20161025 header.b=hstp6qBK;
       spf=pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender) [email protected];
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=gmail.com
Return-Path: <[email protected]>
Received: from mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.220.41])
        by mx.google.com with SMTPS id t8sor856255ywi.217.2017.09.21.10.51.01
        for <[email protected]>
        (Google Transport Security);
        Thu, 21 Sep 2017 10:51:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender) client-ip=209.85.220.41;
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=20161025 header.b=hstp6qBK;
       spf=pass (google.com: domain of [email protected] designates 209.85.220.41 as permitted sender) [email protected];
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=gmail.com
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20161025;
        h=mime-version:from:date:message-id:subject:to;
        bh=V9BwbsP4SGXLIud2rj2NIdd8O4GXXIPz16hg/2fc6E4=;
        b=hstp6qBKWtkByX+jxlXkuFMBW8aBsgalPza+aZsTM3gCHGrJp5+ZQF+MAHtSWGrddu
         Bd7sBWtOKI973N5cpvpBmyW2QqtJSSFOyyjM9YkgEPgUBpiwTXBVWI1PQZ4+6KxUAv7M
         jhxqrlSe5TXGrL/mJJa0mJUbewkFIXnDXc5N+tp0ibiEQzksU27mTYrwRJm9X6ft99Gv
         L9lRA1klQVOC8w0t2VwzTQIVX55VO/+gc4HdNmXcgKQKwQuprV9FIHeG46lX+bH2mNWb
         XFi8kcJln63K0CCvwdkw4fe/cskNybmon8cKc1yi/wFTuatI/n2dqF6roPIpbbiDfnvN
         qvPg==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20161025;
        h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
        bh=V9BwbsP4SGXLIud2rj2NIdd8O4GXXIPz16hg/2fc6E4=;
        b=EwQboXycQIKqcognqoHpYyxH10U8TASsdzzdtfeeGBW34Pz4rPcPt43IQmqGicvlbB
         kSL0TNNPHOnwgGvSU+bzaEiOKIYBbe87bjDNOXozzChNp/zyjiGmA1SWvP2+RC7FG0Ep
         TQZ8+UZg7DzRFaR/fMSmNa3VpiItzqSB59u11RUvYow2UI1zq/z3f9g27XbGj0crxL5Q
         0NkcvKzzH5fpnRs89OTIFyjM9sSTA36uovfvZZJ7ZzqQggF1mMVNL4Tu+YscrIiF9oui
         XgJfBY0Lfi9adYUeQ3f1DZOoFpHF/n4SXN+FUif4am83yEJ0XFjNzXbfbwCkTwnTO/Qh
         mP6g==
X-Gm-Message-State: AHPjjUiP1W19v1WPztjqyb1LzM23e2wgKcc8eyVNIz6A4fmIqR5xpx+5
    olJsvouEGCTUOmbPOGb1CvQzXDgUt4enstnRL8M=
X-Google-Smtp-Source: AOwi7QDrkmK06qzh1F7+6JxgB53+Z6dJ4xqiHTGj4yQUrDN8UBB7x/bFutYtvH/haAsJfI6h7PuXPMlSNbugEgr3uEc=
X-Received: by 10.129.160.130 with SMTP id x124mr922804ywg.510.1506016260905;
 Thu, 21 Sep 2017 10:51:00 -0700 (PDT)
MIME-Version: 1.0
Received: by 10.13.208.2 with HTTP; Thu, 21 Sep 2017 10:51:00 -0700 (PDT)
From: Act Ipsus <[email protected]>
Date: Thu, 21 Sep 2017 14:51:00 -0300
Message-ID: <CAH4=1pMnt4Yf8+_DmSOxbcv6UqdAZhEV8YqAq+gbduyai8nhAg@mail.gmail.com>
Subject: IMPEDIMENTO DE LICITAR >> FENIX... CNPJ 18.963.664/0001-11
To: =?UTF-8?Q?Arsenal_de_Guerra_S=C3=A3o_Paulo?= <[email protected]>
Content-Type: multipart/mixed; boundary="94eb2c08590c421e820559b6bc8a"

Eu tenho o cabeçalho e o corpo completos dos e-mails.

    
por Renato Bonfanti 25.09.2017 / 15:54

1 resposta

1

Você desejará examinar alguns campos. Primeiro para possivelmente identificar se eles vieram da mesma fonte, veja o campo Received: from . Geralmente (embora isso seja configurável), cada servidor adicionará seu IP e o IP do qual a mensagem foi recebida nesse campo. Isso deixa uma trilha de migalhas que você pode seguir de volta para a fonte.

Por exemplo, olhando para esses campos, vejo que o CORREIO 2 foi enviado de um usuário do Gmail para um usuário do Gmail e o e-mail nunca saiu da rede do Gmail. Ele permaneceu interno. Esta mensagem veio de uma conta do Gmail real (mas esperamos que não comprometida).

Olhando para o mesmo campo no MAIL 1, eu posso ver que esta mensagem foi roteada através de a4-salsa1.bol.com.br, mas é possível que esta seja uma retransmissão aberta - eu posso confie que esta não é uma mensagem falsa. Para verificar isso, eu gostaria de saber que a4-winter20.host.intranet [10.131.133.147] é de fato propriedade do bol.com.br. Isso está implícito na informação disponível. Enquanto este servidor diz que é parte de uma intranet, você pode definir seu nome de host para o que quiser. O que não seria capaz de fazer, no entanto, é enviar e-mail de um endereço não roteável. Neste caso, podemos ver que o IP interno é 10.131.133.147. Isso faz parte dos blocos IP não roteados reservados - nesse caso, o 10.0.0.0/8 significa que isso não vieram de uma fonte externa - tinha que ter vindo de uma conta legítima (esperançosamente não simplificada) do bol.com.br.

Outras coisas a observar são campos FROM: e REPLY-TO: incorretos ou nomes de exibição que não correspondem ao endereço de e-mail (ex .: From: President of The United States <[email protected]> )

    
por 25.09.2017 / 17:47

Tags

Fusão do Active Directory Definindo tempos limite em nginx.conf