当我在贝宝(PayPal)中收到付款时,它会向我发送有关此付款的电子邮件(如下图所示)。问题在于,即使真实的发件人是PayPal,电子邮件也显示是来自汇款人的电子邮件地址,而不是来自PayPal本身。

在Gmail中选择“显示原始邮件”时显示的文本:

From: "contact@wxxxxxxxxx.com" <contact@wxxxxxxxxx.com>  
Sender: sendmail@paypal.com


,因此您可以看到真正的发件人是PayPal。

如果PayPal可以如此轻易地欺骗电子邮件发件人,而Gmail无法识别它,是否意味着任何人都可以欺骗电子邮件发件人地址而Gmail不会识别呢?

当我自己使用telnet将电子邮件发送到Gmail时,该电子邮件带有警告: com


这是一个安全问题吗?因为如果我已经习惯了贝宝中的付款电子邮件似乎来自汇款人的电子邮件而不是贝宝的事实,那么汇款人可以通过从他的电子邮件中发送类似的消息来欺骗自己,我可能会认为这是真实的付款。

这是PayPal特有的东西,还是有人可以这样欺骗Gmail?如果有人可以,PayPal用来欺骗Gmail的确切方法是什么?

评论

通常,不要相信任何未经密码签名的电子邮件的内容。您可以做很多事情来改善默认情况,但是电子邮件通常在安全性方面很差。如果您收到来自贝宝的消息,请转到贝宝并检查是否正确。 -并且不要使用来自欺诈者的电子邮件链接,以防其因某种原因而漏网。

@ Sunny88:“如果我收到我朋友的电子邮件,我是否必须始终打电话给他,问他是否确实发送了电子邮件?”本质上,您绝对正确。电子邮件的核心是纯文本,尽力而为,存储转发,未经身份验证,每个人都信任的协议,完全不适合需要安全性和/或真实性的任何事务。 (我将其用于此类交易的事实归结为普遍的人类惰性)

(关于“不发生”:基于此的网络钓鱼攻击在野外;这些攻击有点像这样:“您好,这是您朋友piskvor@example.com的电子邮件,请运行附件中的可执行文件,它包含一个有趣的跳舞仓鼠动画。当然,这是我的,Piskvor,而不是冒名顶替的,请相信我。“)

请您的朋友设置GPG并签名他的所有消息。这样您就不必担心。

我实际上是通过Paypal提出的(尚未回复)。我的电子邮件域已设置DKIM,因此PayPal“代表我”发送的电子邮件很可能会被收件人服务器退回。至于他们后来如何知道我已付款,我不知道...

#1 楼

这是在任何地方收到邮件时通信进行方式的生动体现。


上下文:一个电子邮件服务器,仅在海湾中,在莫斯科的某个地方。服务器只是闲散地坐在那里,带着期待的表情。

服务器:
啊,我奴役的日子已经很久了,
应该永远孤独地度过,
'来自外圈的呼唤
外部消息的迅速传递。

连接已打开。

服务器:
即将到来的客户!可能会寄出一封邮件
将我的监护权委托给我的监护人
,让我可以将其作为最公平的骏马来传达
,并将完整的故事带给收件人。 >
欢迎来到我的世界,净流浪者,
了解我是一个强大的邮件服务器。
在今天,您将如何得到解决
以您的名义增加需求

客户:

220 mailserver.kremlin.ru ESMTP Postfix (Ubuntu)


网络管理员,向您致敬,
知道我是从苍白的建筑物。

服务器:

HELO whitehouse.gov


传入的IP地址通过DNS解析为“ nastyhackerz.cn”。
尊贵的使节,我由你来指挥,
即使你的声音来自亚洲山区之外的炎热平原
,我也会遵守你最脆弱的要求。

客户:

250 mailserver.kremlin.ru


这是我的信息,供您发送,
并在以太坊上如实传输; />请注意发件人的地址和姓名应显示在另一端。

服务器:

MAIL FROM: barack.obama@whitehouse.gov
RCPT TO: vladimir.putin@kremlin.ru
Subject: biggest bomb

I challenge you to a contest of the biggest nuclear missile,
you pathetic dummy ! First Oussama, then the Commies !
.


就这样写了,就可以了。
消息已发送,并发送到俄罗斯。

服务器按原样发送电子邮件,仅添加“ Received:”标头以标记客户端在其第一个命令中给出的名称。然后第三次世界大战开始。结局。


评论:电子邮件中没有任何安全性。所有的发送者和接收者名称都是指示性的,并且没有可靠的方法来检测欺骗(否则我将收到更少的垃圾邮件)。

评论


我喜欢诗意的韭菜!

–Rory Alsop♦
2011年12月6日在21:01

最好。回答。永远

–voretaq7
2011年12月9日在21:14

太好了,我专门签了字来支持。

–马恩
2012年7月19日在13:50

您好,您好-我想汤姆(Tom)创造性地回答了这个问题,因为该问题本质上是一个RTFM问题。汤姆的答案已保存下来,并为数百人带来了乐趣。 SE本质上是一个讲英语的网站,因此尽管我理解您的无奈,但还是没有必要。另外-如果新手可以回答这样的话,我会非常感激:-)

–Rory Alsop♦
14年6月24日在20:05

另外,我不是英语母语人士。

–汤姆韭菜
14年6月24日在20:14

#2 楼

可以欺骗任何“发件人”电子邮件地址,因为您可以更改自己喜欢的任何传出数据。您无需欺骗gmail。话虽如此,当一个组织发送的标记为电子邮件的电子邮件从另一域发送到gmail时,gmail可以发现明显的问题。

如果想要某种身份验证来防止这种情况发生,则需要一种对电子邮件进行签名或加密的方法,或者通过带外检查来确认电子邮件来自您的朋友(正如您在评论中所提到的)

严重-不要信任任何电子邮件。不要单击电子邮件中的任何链接。特别是来自Paypal等高价值目标。相反,您应该像往常一样登录并检查他们是否向您发送了邮件。

评论


我已经阅读了这篇文章的所有答案,但找不到其中的主要问题答案,贝宝如何做到这一点?他们如何欺骗邮件? (不是实际的事情,而是道德的事情)

– Hanan N.
2011-12-7 17:57

他们代表客户发送邮件-允许他们这样做。

–Rory Alsop♦
2011-12-7 18:29

为什么客户端(包括基于Web客户端的邮件)完全允许单击电子邮件上的链接?浏览器可以通过多种方式通知我“此网站很危险”,请确保“您知道添加证书例外时的风险”,或者“任何下载的文件可能以任何形式打开或执行都有潜在危险”。电子邮件客户端怎么了?

–n611x007
13年10月10日在17:32



Naxa-这可能会惹恼大量客户,因此没有人愿意这样做。

–Rory Alsop♦
13年10月10日在22:52

#3 楼

正如其他人提到的那样,任何人都可以伪造任何电子邮件地址,包括“发件人”字段-贝宝甚至没有必要在发件人字段中包含自己的电子邮件的技术原因,他们之所以这么做是因为他们是一家诚实的公司。别指望垃圾邮件发送者会这么好。

不过,我要提一提的是,gmail支持DKIM,这使您可以验证来自Paypal的Paypal电子邮件。

要启用它:单击右上角的齿轮->邮件设置->实验->启用“已验证发件人的身份验证图标”



现在已签名的Paypal电子邮件将显示在它们旁边并带有小钥匙图标:



评论


SPF也值得一提。

– Shane Madden
2011年12月7日在1:29

不知道gmail有dkim。不错的提示!

– Sirex
2011-12-7 7:53

@Shane,不幸的是,SPF由于发件人未采用而非常受限制。接收服务器完全采用它会导致误报。许多用户认为,他们可以(最常见)更改无线设备上的发件人地址,而不会出现问题,并且我不希望托管通过始终将其电子邮件放入垃圾邮件来证明他们有问题的电子邮件服务。毕竟,Gmail似乎并不介意。

–布莱恩·菲尔德(Bryan Field)
2011-12-7 19:20



@GeorgeBailey的确,尽管Gmail之类的服务倾向于将SPF失败(或softfail)用作对邮件进行垃圾邮件评分的一个方面。

– Shane Madden
2011年12月7日在20:07

是否可以在其他电子邮件客户端中验证DKIM签名? (例如,OS X Mail.app)

–显示名称
15年7月6日在12:47

#4 楼

这很像邮政邮件。任何人都可以给您发送一封带有抬头的信,该信看起来像您银行的当地分行。您可以采取一些措施来捕捉此类冒名顶替者-您可以确保邮戳来自正确的城市。如果您的银行始终使用批量邮件而不是单个邮票,您可能会注意到等等。但是,您可能永远也不想检查这些东西,即使您这样做,也不足以验证这封信是否来自您的银行。 br />
邮政和电子邮件之间的主要区别在于,使用电子邮件进行伪造更为实用-可以进行一次伪造,然后以几乎为零的成本重复进行伪造。意味着所有伪造和对策的规模都更大,并且(除非您像我一样),一些假邮件将到达您的收件箱,并且您可以手动将其过滤掉。最重要的是,就像您不会在信件上打一个电话号码来“验证您的帐户信息”(例如您的SSN和信用卡)一样,您也不应单击电子邮件中的链接,并且不要期望登录屏幕或其他任何形式将私人信息安全地发送到您的银行。如果这样做,您可能会发现自己将凭据发送到冒名顶替者,却从未意识到。


1。我消除了所有垃圾邮件。我有自己的域名。我给每个联系人自己的电子邮件地址,所有电子邮件地址都放入我的一个收件箱中。这样,如果Bob在他的计算机上感染了病毒,并且我开始收到一些低级别的垃圾邮件,那么我可以告诉Bob更改他的电子邮件密码,并开始使用新的电子邮件地址发送给我。新的电子邮件地址不会收到任何垃圾邮件,我可以删除旧的电子邮件地址,因为只有鲍勃在使用它。

我不必告诉我的银行以及我的其他伙伴,我的供应商,我的同事我的电子邮件地址已更改,因为每个人都有自己的地址。 (我什至不必更新StackExchange和Gravater。)这对我有好处(没有垃圾邮件),对Bob有好处(他知道他有“病毒或某些内容”)-有时我可以直指,但必须小心不要事后出错),对我的其他好友有好处(我从来没有抱怨过去24小时内收到了多少封电子邮件,并解释了为什么我没有回复他们)

#5 楼

我认为你们都忽略了上面戏剧化中提到的一个小细节,实际上确实很容易检查:

欺骗电子邮件不是来自合法属于该域的电子邮件地址他们声称起源。 SMTP协议的一部分包括一组完整的邮件头,该邮件头始终包含邮件的返回路径,即实际发送邮件的电子邮件地址。不仅如此,IP地址还具有分配给它们的确定的地理区域。因此,您可以进行一些挖掘来发现这些差异。例如,戏剧化表示。例如,

它提到电子邮件来自whitehouse.gov。这是它的IP地址:现在,让我们说nastyhackerz.cn解析为块1.0.32.0-1.0.63.255中的某个IP地址(供参考: http://www.nirsoft.net/countryip/cn.html列表中的第一块)。该IP地址将在完整的邮件标头中。您要做的就是在线获取IP,以跟踪其地理位置(例如,您可以使用http://www.geoiptool.com/)

whitehouse.gov的IP(173.223.0.110)在撰写本文时,该文章地理定位到马萨诸塞州的波士顿(由于某种原因,垃圾邮件防御系统由于信誉而无法让我在geoiptool上发布我的搜索,因此您可以自己进行搜索) (哥伦比亚特区)!让我们假设whitehouse.gov托管在波士顿的数据中心中,只是为了便于解释。电子邮件声称发送自的IP和电子邮件地址,可以确定为欺骗。您只需要查看完整的邮件标题即可。


让我们看看我从自己的一个域(dragon-architect.com)发送给我自己的个人的电子邮件的标题电子邮件地址:

calyodelphi@dragonpad:~ $ dig +short whitehouse.gov
173.223.0.110


要筛选的随机数据很多,但是在这里我们要看两行:return-path和from。由于我合法地将此电子邮件发送给自己,因此两者都匹配。返回路径不能被欺骗。否则,要有效地进行欺骗非常困难,并且需要对用于发送邮件的SMTP守护程序进行一些有意的配置。比较完整标头中的返回路径和from数据字段是我和我工作的同事可以识别欺骗并确定是否需要提交支持通知单的一种方式。

如果它们都匹配,但是电子邮件仍然应该是欺骗的?我将在下一节中介绍...


现在,如前所述,还有其他确定电子邮件欺骗性的方法。 SPF记录是其中一种方法,但并不总是完美的。以whitehouse.gov的SPF为例,将其与我自己域的SPF进行比较:

Delivered-To: dragon.architect@gmail.com
Received: by 10.180.89.68 with SMTP id bm4csp105911wib;
    Tue, 29 Jan 2013 08:54:47 -0800 (PST)
X-Received: by 10.60.30.38 with SMTP id p6mr1296792oeh.2.1359478487251;
    Tue, 29 Jan 2013 08:54:47 -0800 (PST)
Return-Path: <calyodelphi@dragon-architect.com>
Received: from gateway14.websitewelcome.com (gateway14.websitewelcome.com. [69.93.154.35])
    by mx.google.com with ESMTP id m7si14056914oee.29.2013.01.29.08.54.45;
    Tue, 29 Jan 2013 08:54:46 -0800 (PST)
Received-SPF: neutral (google.com: 69.93.154.35 is neither permitted nor denied by domain of calyodelphi@dragon-architect.com) client-ip=69.93.154.35;
Authentication-Results: mx.google.com;
   spf=neutral (google.com: 69.93.154.35 is neither permitted nor denied by domain of calyodelphi@dragon-architect.com) smtp.mail=calyodelphi@dragon-architect.com
Received: by gateway14.websitewelcome.com (Postfix, from userid 5007)
    id 0530E1DFDB334; Tue, 29 Jan 2013 10:54:43 -0600 (CST)
Received: from bentley.websitewelcome.com (bentley.websitewelcome.com [70.84.243.130])
    by gateway14.websitewelcome.com (Postfix) with ESMTP id EA7191DFDB314
    for <dragon.architect@gmail.com>; Tue, 29 Jan 2013 10:54:42 -0600 (CST)
Received: from [127.0.0.1] (port=43458 helo=dragon-architect.com)
    by bentley.websitewelcome.com with esmtpa (Exim 4.80)
    (envelope-from <calyodelphi@dragon-architect.com>)
    id 1U0ESK-0001KE-DP
    for dragon.architect@gmail.com; Tue, 29 Jan 2013 10:54:44 -0600
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 7bit
Date: Tue, 29 Jan 2013 10:54:44 -0600
From: calyodelphi@dragon-architect.com
To: <dragon.architect@gmail.com>
Subject: Headers Test
Message-ID: <11c694cd1e07c66a404000008321d0c4@dragon-architect.com>
X-Sender: calyodelphi@dragon-architect.com
User-Agent: Roundcube Webmail/0.8.4
X-AntiAbuse: This header was added to track abuse, please include it with any abuse report
X-AntiAbuse: Primary Hostname - bentley.websitewelcome.com
X-AntiAbuse: Original Domain - gmail.com
X-AntiAbuse: Originator/Caller UID/GID - [47 12] / [47 12]
X-AntiAbuse: Sender Address Domain - dragon-architect.com
X-BWhitelist: no
X-Source: 
X-Source-Args: 
X-Source-Dir: 
X-Source-Sender: (dragon-architect.com) [127.0.0.1]:43458
X-Source-Auth: calyodelphi@dragon-architect.com
X-Email-Count: 1
X-Source-Cap: ZHJhZ2FyY2g7ZHJhZ2FyY2g7YmVudGxleS53ZWJzaXRld2VsY29tZS5jb20=

Testing testing!


通常,良好的SPF记录还包括IP发送邮件的服务器的地址,因此为whitehouse.gov记录SPF记录的人可能都不知道。我认为whitehouse.gov的SPF记录过于笼统,无法有效地确定声称来自whitehouse.gov的任何邮件的实际来源。另一方面,我自己的域的SPF由托管我的域的服务器自动生成(由我的Webhost提供),它非常具体,并包含服务器本身的IP地址。

我将承认您对SPF记录的格式和工作方式并不十分熟悉,但是我在工作中学到了很多知识,至少可以识别出通用和特定的SPF记录。猜猜这是我在无聊的某个周末可能想要挖掘的东西,想要一些技术性阅读材料!

无论如何,回到这里。查看已接收的行。其中一个状态如下:
Received: from bentley.websitewelcome.com (bentley.websitewelcome.com [70.84.243.130])
你猜怎么了?该域名与我域的SPF记录中的IP地址匹配。

如果SPF中的IP与实际发送电子邮件的服务器的IP地址不匹配,则表明您在欺骗你的双手。因此,像"v=spf1 +mx ~all"这样的通用SPF记录不会削减安全性要求。我什至不相信来自具有这样通用SPF的合法域的电子邮件。他们为域名而战! (我开玩笑,我开玩笑。)

编辑

我实际上必须对SPF记录进行自我纠正!我问了一个比我更了解SPF记录的同事之后,今天我做出了一些错误的假设并学到了一些东西。因此,我将在自我更正中使用whitehouse.gov和dragon-architect.com的两个SPF:

calyodelphi@dragonpad:~ $ dig +short txt whitehouse.gov
"v=spf1 +mx ~all"
calyodelphi@dragonpad:~ $ dig +short txt dragon-architect.com
"v=spf1 +a +mx +ip4:70.84.243.130 ?all"


我自己域的SPF实际上是比whitehouse.gov的SPF宽松(我打算在今晚完成此编辑后更正此错误)。我将解释原因:

"v=spf1 +mx ~all"基本上说,来自whitehouse.gov的电子邮件应该来自whitehouse.gov的MX记录中定义的主机名,而不是来自这些主机名的任何电子邮件应该是欺骗的,但是否标记为欺骗是由电子邮件的收件人决定的。

com应该来自dragon-architect.com的IP地址(67.18.28.78),dragon-architect.com的MX记录中定义的主机名,或来自托管Dragon- architect.com(70.84.243.130)。任何不是来自这些电子邮件的电子邮件,那最后的所有内容只是意味着对于通过或拒绝电子邮件没有任何建议。那么,SPF记录的实质是什么?最后的“全部”。引用此同事关于“全部”的信息:但是,SPF记录是否实际用于确定电子邮件的欺骗程度完全取决于接收电子邮件的服务。

因此,您已经拥有了它。简而言之就是SPF。


是的。 TL; DR:检查完整的标头,以查看返回路径和from字段是否匹配。然后仔细检查您的SPF记录,看是否有匹配的IP地址。

#6 楼

SMTP(简单邮件传输协议)之所以被命名,是有充分理由的。

SMTP起源于1982年,由旧的ARPANET所拥有,该ARPANET由美国国防部拥有和控制,旨在与从事安全工作,从事政府项目的人们之间进行通信,这些人们通常可以信任不要滥用它。通过将可连接到其上的机器放置在各种设施的物理保护区域内,以及这些设施正在执行的机密工作,可以非常简单地实现该网络的“安全性”。结果,直到ARPANET退役后,才真正考虑保护通过网络发送的数据的安全,第一次重大飞跃是在1993年使用安全网络编程API(它为现在众所周知的安全套接字层奠定了基础作为传输层安全性)。尽管大多数协议(包括SMTP / POP / IMAP)现在都可以为安全的通信通道添加TLS,但这提供的只是机密性和服务器的真实性。它不提供发件人的真实性或消息完整性,也不提供不可否认性。

有一个用于电子邮件安全的选项,称为PGP(“很好的隐私”; Phil Zimmerman的嘲讽式幽默是,如果正确实施该系统,则地球上的任何计算机都不会损坏)。它可以通过各种选项提供信息安全的所有四个基本原则。机密性,完整性,真实性和不可否认性(使用证书签署电子邮件的发件人不能声称自己实际上没有发送过;除非证书被破坏,否则其他人都不能拥有)。它使用类似的公共密钥证书和安全密钥交换系统,如双向TLS握手所示,但更改了一些详细信息以反映电子邮件传输的异步特性,并体现了对分散式“信任网”排除了全球信任的证书颁发机构的需要。

但是,尽管已有25多年的历史了,但该系统尚未真正起步,因此只有政府机构和某些大型公司才需要。实际上,所有电子邮件提供商仍将通过安全连接到收件箱,愉快地发送欺诈性电子邮件。在许多情况下,您可以鼓励您的朋友和其他想要接收电子邮件的人采用PGP方案,所有未经有效签名的内容都将进入“隔离区”,但这实际上只是“垃圾邮件过滤”的另一个层次“,而且我不知道有哪个公共电子邮件提供商可以指示您直接拒绝没有数字签名的电子邮件;电子邮件服务器将必须在您的控制之下,例如公司Exchange服务器。

评论


请注意,首字母缩写词“ Pretty Good Privacy”来自Phil Zimmerman;它是原始产品名称。几年后,出现了GNU克隆(称为GnuPG)。在这个问题上,幽默不是GNUic。

–托马斯·波宁(Thomas Pornin)
2013年1月23日15:36

#7 楼


tl; dr


Paypal在这里利用安全问题吗? ... PayPal如何轻松地欺骗电子邮件?

从技术上讲,这不是安全问题,电子邮件从一开始就不安全。他们正在使用位于邮件标题(不是信封标题)中的以下SMTP标题之一


Resent-From
Resent-Sender
Sender

“邮寄”和“欺骗”之间在概念上有所区别。电子邮件客户端应显示此差异。 Gmail客户端不会执行此操作。


Paypal并未进行欺骗,它们使用的是以下SMTP标头之一:Resent-From,Resent-Sender或Sender
欺骗域非常容易...即使启用了SPF控件
MUA(电子邮件客户端)也应显示Display From,其SPF,DKIM和DMARC验证状态。
Resent- *标头的使用方式应明确表明此消息是“已邮寄的”。显示验证结果的MUA。




某些背景

一般来说,有两个“发件人”地址和两个“发件人”地址每封SMTP邮件中的“收件人”地址。一个称为RFC2821信封,另一个称为RFC2822消息。它们具有不同的用途

信封:(RFC2821)


信封是没有出现在SMTP标头中的元数据。当消息转到下一个MTA时,它消失。
RCPT From:是NDR将到达的地方。如果邮件是来自Postmaster或转发器服务的,则通常为<>someSystem@place.com。有趣的是,看到salesforce使用类似于constantContact的键作为toUserContactID@salesforce.com这样的数据库中的键,以查看消息是否被弹回。
RCPT TO:是消息实际发送给的人。它用于“收件人”和“密件抄送”用户。这通常不会影响邮件客户端中的“地址显示”,但是在某些情况下,MTA将显示此字段(如果RFC2822标头已损坏)。

消息(RFC2822)


发出data命令时,消息部分开始。
此信息包括您熟悉的SMTP标头,消息及其附件。想象所有从每个MTA复制并粘贴到下一个的所有数据,直到消息到达收件箱为止。
每个MTA习惯上在上述副本前面加上粘贴的有关MTA的信息(源IP) ,目标IP等)。它还粘贴SPF检查详细信息。
这是Display From放置的位置。这个很重要。欺骗者可以修改此内容。 DMARC重新定义了SPF记录的第二个含义。它认识到“信封自”和“显示自”之间存在差异,并且存在不匹配的正当理由。由于最初将SPF定义为仅关注信封发件人,因此如果Display From(显示发件人)不同,则DMARC将要求第二次DNS检查以查看是否允许从该IP地址发送邮件。

以允许转发在这种情况下,DMARC还允许DKIM对Display From进行加密签名,并且如果任何未经授权的垃圾邮件发送者或网络钓鱼者试图假定该身份,则加密将失败。

什么是DKIM? DKIM是一种轻量级的加密技术,可对邮件中的数据进行签名。如果您曾经收到过来自Gmail,Yahoo或AOL的邮件,则您的邮件是DKIM签名的。重点是,除非您查看标题,否则没有人会使用DKIM加密和签名来认识您。它是透明的。

DKIM通常可以在转发并转移到不同的MTA时幸免。 SPF无法执行的操作。电子邮件管理员可以利用此优势来防止欺骗。


问题出在SPF仅检查RFC2821信封,而不检查Display From。由于大多数人都关心电子邮件中显示的“显示来源”,而不是返回路径NDR,因此我们需要一种解决方案来保护和保护此作品。

这是DMARC的用处。DMARC允许您使用修改的SPF检查或DKIM的组合来验证“显示自”。 DKIM允许您在SPF与“显示来源”不匹配时(经常发生)对RFC2822“显示来源”进行加密签名。


是的,尽管网络钓鱼是许多供应商正在关注的重要安全问题。即Paypal,AOL,Google,Yahoo和其他公司正在实施DMARC来解决这一非常网络钓鱼的问题。


一些服务器管理员尚未实施最新技术来阻止此类事情的发生。阻止采用这些技术的主要因素之一是“电子邮件转发服务”,例如邮件列表软件,自动转发器或学校校友转发器(.forwarder)。即:


未配置SPF或DKIM。
未设置DMARC策略。
电子邮件客户端未显示验证结果“显示自”和“ Resent- *”或“发件人”字段。


贝宝在做什么?


贝宝正在使用发件人标头指示已将其邮寄。这是此标头的正确和预期用途。


GMail做错了什么?


Gmail不能清楚地表明正在使用Sender标头,它们没有验证显示发件人地址以一种用户友好的方式,并且不能区分显示发件人和发件人。

#8 楼



多年来,我们许多人已经收到了各种形式的副本,特别是“告诉朋友”类型的形式,例如以编程方式,标识“用户发件人”的“发件人”地址不是来自发送邮件服务器的地址,尽管它是合法邮件,而不是通过用于中继的开放邮件服务器发送的。

论坛或访客留言簿程序可能内部“联系用户”电子邮件“发件人:”标识另一个用户而不是主站点。

设置电子邮件客户端时,我们可以设置默认的“发件人:”地址通常与实际的邮件服务器。

换句话说,定义的“发件人”地址实际上与执行实际邮件的机器无关。

对于“垃圾邮件级别评分”,(服务器端)从非原始域/计算机的地址“以编程方式”使用是危险的,我们应将“发件人:地址仅是人类消费的标识符。

评论


作者最初的问题与“欺骗”电子邮件的发件人有关。电子邮件,除非其签名或加密为纯文本,否则每个字段都可以填写任何您想要的内容。当然,将保留用于接收和传输电子邮件的实际信息。

–猎犬
2012年7月19日在11:48