1 votes

Renato Bonfanti avatar

Comment puis-je détecter la falsification d'un courriel en regardant l'en-tête ?

Demandé el 25 de Septembre, 2017
Quand la question a-t-elle été
2210 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

On m'a demandé de vérifier deux courriels provenant de gmail.com et bol.com.br, apparemment de deux entreprises, et j'ai besoin de vérifier s'ils sont légitimes, et s'il est possible de savoir s'ils proviennent de la même source. Je ne suis pas familier avec le protocole de courrier difficile, ils ont été envoyés au même compte gmail :

Delivered-To: XXXX@gmail.com
Received: by 10.100.170.5 with SMTP id i5csp2396916pjd;
        Thu, 21 Sep 2017 11:22:10 -0700 (PDT)
X-Google-Smtp-Source: AOwi7QBEZqkl8wJDZ7obTe6gyOyEG9u6q5XnTB2r72YoOaw/m/IXHPZ93WGOCNpngiPLzOWbl/hn
X-Received: by 10.55.212.28 with SMTP id l28mr4236850qki.259.1506018130061;
        Thu, 21 Sep 2017 11:22:10 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1506018130; cv=none;
        d=google.com; s=arc-20160816;
        b=FQqMHXXegopvOr8UQ/uG1GE8EKXHjYITnrVQqgQbeCMUHj1jHD30LhV2Rjgge75zTt
         1M2kEG44er5ERzATnWSjdd4b6Yhn9tKa+660tyh3RW3WCcpEmkJXgJYpgqvR4BfNJ06k
         eqDCsRMPHZmz/HZ4Hez9C+GkWk/rElxmzjnwp6TrRIqRTJqRnydyYNnU6DhPdIP2oGlC
         tspDmeWkdAEGTLPwB1VbHWIoadiOjw9yWigve35Wk1Fa5XrX+lq5rngKhmCf+3FNMk5H
         GM8xUqtL2hY94dZ9pl21r31ho/QFehajv8Y191wE3MeZmQ/aQTBb841Tq4v5ke9ECkyG
         rLdA==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=content-transfer-encoding:mime-version:subject:references
         :in-reply-to:message-id:to:from:date:dkim-signature
         :arc-authentication-results;
        bh=HMpsDDGEKNiGVAeThTTH4PXumG5F50lCG2rnFuk/+/I=;
        b=PD62Cr78VN/7nUekoJ7LJrf0KEF6TPEJMN+SlB19UBDhRL1ToVaM3myWIVxQNOcM2f
         wEmxsBOlANtpGocmqvpob0iZJSBkTTHtohKkkTGQdLFzV1KL7kJVn4CwttjT0RHup7Os
         +zqyzfSXLqjyNbqbyQUZO6X+ummzwh1oPXQinaYtiE9CBxwJrwb4zUgZXX2z18DWUOhF
         YBYl3Vh7zYaNSoT3frBbR0OpTmCbgIAFPnpfQ+0X5DJ5MulsHQo8S132C5g7c0Kv67Vd
         S4hQtBKug3huEVp3gcqgflMm7r0RqfjUMQL/fLMF1Wq8f472U+1oTGydYPdTaLbcrX4m
         iinw==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass (test mode) header.i=@bol.com.br header.s=afl header.b=nXKH7bsA;
       spf=pass (google.com: domain of YYYY@bol.com.br designates 200.147.97.220 as permitted sender) smtp.mailfrom=YYYY@bol.com.br
Return-Path: <YYYY@bol.com.br>
Received: from a4-salsa1.bol.com.br (a4-salsa1-1.bol.com.br. [200.147.97.220])
        by mx.google.com with ESMTP id f6si1675754qtb.466.2017.09.21.11.22.08
        for <XXXX@gmail.com>;
        Thu, 21 Sep 2017 11:22:09 -0700 (PDT)
Received-SPF: pass (google.com: domain of YYYY@bol.com.br designates 200.147.97.220 as permitted sender) client-ip=200.147.97.220;
Authentication-Results: mx.google.com;
       dkim=pass (test mode) header.i=@bol.com.br header.s=afl header.b=nXKH7bsA;
       spf=pass (google.com: domain of YYYY@bol.com.br designates 200.147.97.220 as permitted sender) smtp.mailfrom=YYYY@bol.com.br
Received: from localhost (localhost.localdomain [127.0.0.1])
    by a4-salsa1.bol.com.br (Postfix) with ESMTP id 0D4B6380008A
    for <XXXX@gmail.com>; Thu, 21 Sep 2017 15:22:08 -0300 (BRT)
Received: from a4-salsa1.host.intranet (localhost.localdomain [127.0.0.1])
    by a4-salsa1.bol.com.br (Postfix) with ESMTP id C0DF73800089
    for <XXXX@gmail.com>; Thu, 21 Sep 2017 15:22:07 -0300 (BRT)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=bol.com.br; s=afl;
    t=1506018127; bh=HMpsDDGEKNiGVAeThTTH4PXumG5F50lCG2rnFuk/+/I=;
    h=Date:From:To:In-Reply-To:References:Subject;
    b=nXKH7bsAv1rx9J5QmyVDwgHWzmYZi1oPkZaEEPrG11YFu0IbHo9rffS6MjIr/UVs/
     4rHAEeHBqOo3hkW9bRP/4WR8WRvuuPXx5cdRyJMJH4gr/YU3iyTrfU08JNFQJF4EGC
     v59X0llNrXN022t1ACXQKRHBIRf9h6IlePNQ6LCU=
Received: from localhost (a4-winter20.host.intranet [10.131.133.147])
    by a4-salsa1.host.intranet (Postfix) with ESMTP id 9131F3800083
    for <XXXX@gmail.com>; Thu, 21 Sep 2017 15:22:07 -0300 (BRT)
Date: Thu, 21 Sep 2017 15:22:07 -0300
From: "YYYY@bol.com.br" <YYYY@bol.com.br>
To: XXXX@gmail.com
Message-ID: <59c4034f85eff_55be3f8adc1651384310@a4-winter20.mail>
In-Reply-To: 
References: 
Subject: ATESTADO
Mime-Version: 1.0
Content-Type: multipart/mixed;
 boundary="--==_mimepart_59c4034f82e01_55be3f8adc1651384293d";
 charset=utf-8
Content-Transfer-Encoding: 7bit
X-SenderIP: 187.67.89.176
X-SIG5: 8030fe2b24c06fb6a61d8f2a6a113e0c

MAIL 2

Delivered-To: XXXX@gmail.com
Received: by 10.100.170.5 with SMTP id i5csp2364805pjd;
        Thu, 21 Sep 2017 10:51:01 -0700 (PDT)
X-Received: by 10.129.159.147 with SMTP id w141mr2102519ywg.11.1506016261823;
        Thu, 21 Sep 2017 10:51:01 -0700 (PDT)
ARC-Seal: i=1; a=rsa-sha256; t=1506016261; cv=none;
        d=google.com; s=arc-20160816;
        b=wxtjwb3EPjUb11jPK6YYnKcbg8p3/gRWem0yhpUCMywIaMj7hqYhvm/ODBNA3zb20C
         CKnxbmxqvhZLcYOVn2dyiBbrXVmc3GMWLYmtMAfC2Vrm85n+LgeH3rCDiAmwp8Upl1MM
         H/eoDYi774tqnfSLxojzMboVRTUWWsoa48hmh2TDfFKZn3c2rg82hp3aYrXVNK+RicAB
         xFkQOK2uaXYDCyohBE3PR2+ISYWUy/xtJZurbUfmII7mO/14LQIfIIJkRCA0O50qwhhk
         4uRsyn81XVc2FO72nUI1z8YU0tM3NM3H4OI7F0FerzXwTX1aoR84htVVZsoYdKjJUd4N
         lt+g==
ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;
        h=to:subject:message-id:date:from:mime-version:dkim-signature
         :arc-authentication-results;
        bh=V9BwbsP4SGXLIud2rj2NIdd8O4GXXIPz16hg/2fc6E4=;
        b=l63lew5qOPNP0j5yFF5JKHRLRvQY8tN0vAZVtpEyFiczKdXoWX+Zctwz32MwKf81cL
         fRcUIfcCQ/ulb68gY24GT0Kc7OxOvgvAkN/RtqC2tmAbF6HMpoSf1M6TlW9VIf5SSaS0
         ySQqdLOrm8yZzlaWwAwjMTbzIBhPO9wlD4K99eicUkhEWbjF8QHLTwVfDuSD12jpdyp3
         5v9uCc7/eekIjoCC1pMJi36l85RMW142qdYjIGb5UdMk44m8KzVGVbWbCtqL03MelDAz
         TrndV1xWl9+22fmmWlIiYek/6wjzOItrGJikjskwbW7hmJ2bVqhPWcCOCHq2csvW12KE
         +kxQ==
ARC-Authentication-Results: i=1; mx.google.com;
       dkim=pass header.i=@gmail.com header.s=20161025 header.b=hstp6qBK;
       spf=pass (google.com: domain of ZZZZ@gmail.com designates 209.85.220.41 as permitted sender) smtp.mailfrom=ZZZZ@gmail.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=gmail.com
Return-Path: <ZZZZ@gmail.com>
Received: from mail-sor-f41.google.com (mail-sor-f41.google.com. [209.85.220.41])
        by mx.google.com with SMTPS id t8sor856255ywi.217.2017.09.21.10.51.01
        for <XXXX@gmail.com>
        (Google Transport Security);
        Thu, 21 Sep 2017 10:51:01 -0700 (PDT)
Received-SPF: pass (google.com: domain of ZZZZ@gmail.com designates 209.85.220.41 as permitted sender) client-ip=209.85.220.41;
Authentication-Results: mx.google.com;
       dkim=pass header.i=@gmail.com header.s=20161025 header.b=hstp6qBK;
       spf=pass (google.com: domain of ZZZZ@gmail.com designates 209.85.220.41 as permitted sender) smtp.mailfrom=ZZZZ@gmail.com;
       dmarc=pass (p=NONE sp=NONE dis=NONE) header.from=gmail.com
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=gmail.com; s=20161025;
        h=mime-version:from:date:message-id:subject:to;
        bh=V9BwbsP4SGXLIud2rj2NIdd8O4GXXIPz16hg/2fc6E4=;
        b=hstp6qBKWtkByX+jxlXkuFMBW8aBsgalPza+aZsTM3gCHGrJp5+ZQF+MAHtSWGrddu
         Bd7sBWtOKI973N5cpvpBmyW2QqtJSSFOyyjM9YkgEPgUBpiwTXBVWI1PQZ4+6KxUAv7M
         jhxqrlSe5TXGrL/mJJa0mJUbewkFIXnDXc5N+tp0ibiEQzksU27mTYrwRJm9X6ft99Gv
         L9lRA1klQVOC8w0t2VwzTQIVX55VO/+gc4HdNmXcgKQKwQuprV9FIHeG46lX+bH2mNWb
         XFi8kcJln63K0CCvwdkw4fe/cskNybmon8cKc1yi/wFTuatI/n2dqF6roPIpbbiDfnvN
         qvPg==
X-Google-DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=1e100.net; s=20161025;
        h=x-gm-message-state:mime-version:from:date:message-id:subject:to;
        bh=V9BwbsP4SGXLIud2rj2NIdd8O4GXXIPz16hg/2fc6E4=;
        b=EwQboXycQIKqcognqoHpYyxH10U8TASsdzzdtfeeGBW34Pz4rPcPt43IQmqGicvlbB
         kSL0TNNPHOnwgGvSU+bzaEiOKIYBbe87bjDNOXozzChNp/zyjiGmA1SWvP2+RC7FG0Ep
         TQZ8+UZg7DzRFaR/fMSmNa3VpiItzqSB59u11RUvYow2UI1zq/z3f9g27XbGj0crxL5Q
         0NkcvKzzH5fpnRs89OTIFyjM9sSTA36uovfvZZJ7ZzqQggF1mMVNL4Tu+YscrIiF9oui
         XgJfBY0Lfi9adYUeQ3f1DZOoFpHF/n4SXN+FUif4am83yEJ0XFjNzXbfbwCkTwnTO/Qh
         mP6g==
X-Gm-Message-State: AHPjjUiP1W19v1WPztjqyb1LzM23e2wgKcc8eyVNIz6A4fmIqR5xpx+5
    olJsvouEGCTUOmbPOGb1CvQzXDgUt4enstnRL8M=
X-Google-Smtp-Source: AOwi7QDrkmK06qzh1F7+6JxgB53+Z6dJ4xqiHTGj4yQUrDN8UBB7x/bFutYtvH/haAsJfI6h7PuXPMlSNbugEgr3uEc=
X-Received: by 10.129.160.130 with SMTP id x124mr922804ywg.510.1506016260905;
 Thu, 21 Sep 2017 10:51:00 -0700 (PDT)
MIME-Version: 1.0
Received: by 10.13.208.2 with HTTP; Thu, 21 Sep 2017 10:51:00 -0700 (PDT)
From: Act Ipsus <ZZZZ@gmail.com>
Date: Thu, 21 Sep 2017 14:51:00 -0300
Message-ID: <CAH4=1pMnt4Yf8+_DmSOxbcv6UqdAZhEV8YqAq+gbduyai8nhAg@mail.gmail.com>
Subject: IMPEDIMENTO DE LICITAR >> FENIX... CNPJ 18.963.664/0001-11
To: =?UTF-8?Q?Arsenal_de_Guerra_S=C3=A3o_Paulo?= <XXXX@gmail.com>
Content-Type: multipart/mixed; boundary="94eb2c08590c421e820559b6bc8a"

J'ai l'en-tête et le corps complet des emails.

Demandé el 25 de Septembre, 2017 par Renato Bonfanti

1 votes

Avatar de ryekayo

Ajoutez l'en-tête complet de l'email à votre question C'est généralement là que l'on peut savoir s'il s'agit d'un mauvais courriel.

Commenté el 25 de Septembre, 2017 par ryekayo

1 votes

Avatar de LeSnip3R

Oui. Ajoutez les en-têtes complets dans votre question pour chaque courriel. Toutefois, il convient d'assainir les adresses électroniques qui y figurent. Ne les supprimez pas dans leur intégralité. Bloquez simplement quelques caractères.

Commenté el 25 de Septembre, 2017 par LeSnip3R

Réponse

Trop de publicités?

1voto

James Shewey avatar
James Shewey Points 182

Vous voudrez examiner quelques champs. Tout d'abord éventuellement identifier s'ils proviennent de la même source, regardez les Received: from domaine. Habituellement (bien que cela soit configurable), chaque serveur ajoute son IP et l'IP d'où le message a été reçu dans ce champ. Cela laisse un fil d'Ariane que vous pouvez suivre jusqu'à la source.

Par exemple, en regardant ces fichiers, je peux voir que le MAIL 2 a été envoyé par un utilisateur de Gmail à un utilisateur de Gmail et que l'e-mail n'a jamais quitté le réseau de Gmail - il est resté interne. Ce message provient d'un compte Gmail réel (mais, espérons-le, non compromis).

En regardant le même champ sur MAIL 1, je peux voir que ce message a été acheminé par le biais de a4-salsa1.bol.com.br, mais il est possible qu'il s'agisse d'un relais ouvert - je ne peux pas être sûr qu'il ne s'agit pas d'un message usurpé. Pour vérifier cela, j'aimerais savoir que a4-winter20.host.intranet [10.131.133.147] appartient effectivement à bol.com.br. Cela est toutefois implicite dans les informations disponibles. Bien que ce serveur dit il fait partie d'un intranet, vous pouvez définir votre nom d'hôte comme vous le souhaitez. Ce que vous ne pourrez pas faire, en revanche, c'est envoyer des courriers électroniques à partir d'une adresse non routable. Dans ce cas, nous pouvons voir que l'IP interne est 10.131.133.147. Cela fait partie du blocs IP non routables réservés - dans ce cas, le 10.0.0.0/8 signifie qu'il ne pouvait pas provenir d'une source externe - il devait provenir d'un compte bol.com.br légitime (et, espérons-le, non compromis).

D'autres choses à surveiller sont le manque d'harmonisation. FROM: y REPLY-TO: des champs ou des noms d'affichage qui ne correspondent pas à l'adresse électronique (ex : From: President of The United States <clearlyimaspammer@aol.com> )

Répondu el 25 de Septembre, 2017 par James Shewey (182 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X