5

我公司中有人受到网络钓鱼攻击。我的第一个建议只是更改密码。但是过了一会儿,我又收到了一封来自她地址的假邮件。

查看电子邮件的原始来源,我发现 X-Sender-ID 中有另一个人的电子邮件,我想知道那可能是谁。是发送电子邮件的人还是被劫持的帐户?(我用“somebody@host.com”替换了电子邮件)

X-Virus-Scanned: OK
Received: by smtp5.relay.iad3a.emailsrvr.com (Authenticated sender: somebody-AT-host.com) with ESMTPA id DF2788019C;
    Fri, 21 Nov 2014 07:54:42 -0500 (EST)
X-Sender-Id: somebody@host.com
Received: from smtp.emailsrvr.com ([UNAVAILABLE]. [2.133.148.211])
    by 0.0.0.0:587 (trex/5.3.2);
    Fri, 21 Nov 2014 12:54:46 GMT

什么是 X-Sender-ID?它包含的电子邮件是什么?

4

3 回答 3

5

我的审议基于RFC,该 RFC 描述了您显然正在使用的电子邮件隐私增强。

基本上它说的是 X-Sender-ID:

[...] 所有增强隐私的消息都需要的封装头字段标识消息的发送者并提供发送者的 IK 标识组件。

这是什么意思?

首先,您必须检查邮件是否正确签名。如果是这种情况,您可以确定someone@host.com拥有证书。并且您可以确定您收到的邮件是从这个邮件地址发出的。

我无法告诉您这一事实导致的后果,因为我不知道您的公司如何部署证书等......邮件地址/证书也可能被黑客入侵并因此被滥用。

我希望这对您的进一步研究有所帮助。

于 2014-11-24T18:27:39.043 回答
0

x-sender-id一起x-recipient-id用于指定在消息广播中使用了哪个交换密钥。

X-Sender-ID entity_id : issuing_authority : version
X-Recipient-ID entity_id : issuing_authority : version

  1. 第一个字段包含发送者或接收者的身份。第一个字段是强制性的,必须是唯一的,并且必须格式化为user@host而主机是完全限定的主机地址。

  2. 第二个标识颁发交换密钥的机构的名称。

  3. 第三个字段指定所使用的交换密钥的特定类型。这由颁发机构定义的字母数字字符串表示,以标记和组织该机构颁发的众多交换密钥。建议他们使用时间戳,但并非总是如此。

如果x-sender-id第二个和第三个字段的字段值相同,则x-recipient-id它们可能只列出在最后定义的字段中。

延伸阅读

于 2014-12-01T09:57:44.103 回答
0

虽然@LMF 的回答是有用的技术信息,但我想提供一个可能的替代解释。

当涉及到电子邮件标头时,不熟悉电子邮件的垃圾邮件发送者(以及没有其他恶意意图的 PHP 程序员)往往会屈服于货物狂热的编程。换句话说,如果他们不理解某些东西,他们可能会认为它做了一些有用的事情,并将其包含在他们的消息模板中。

如果不了解您的电子邮件基础架构或您的其他消息进行比较,我会简单地假设最顶部Received:标题下方的所有内容都是伪造的,并且基本上没有意义。

如果您有一个运行名为trex(也许是这个?)的系统并且它确实设法编写了Received:这样的标题,我可能是错的。该格式在一些地方不必要地偏离了事实上的标准 Sendmail 模板,但在技术上并没有错(该格式基本上是自由格式的,但引入 ad-hoc 语法使得猜测字段的含义变得更加困难)。

再次,关于您的典型电子邮件(以及您的通讯员的典型邮件)的更多信息,这对猜测很重要。

于 2014-11-28T23:30:42.223 回答