Wie können Sie eine E-Mail-Adresse fälschen?

77435
Bram Vanroy

Kürzlich hat mich jemand gefragt, ob es sich bei einer E-Mail um Spam handelt. Es schien aus einer bekannten Bank (Belfius.be) in Belgien zu stammen. Einige Informationen seien veraltet und müssten überarbeitet werden. Das erste, was mir einfällt, ist natürlich, dass es sich um Spam handelt. Warum?

  • Jede Menge Fehler in der Sprache, schlechte Sätze ...
  • Der Link, der zur Verfügung gestellt wurde, war ein böser Link: Es schien, als ob er auf die Website von belfius (so etwas wie belfius.be/revision1285 ) führte. Wenn Sie jedoch darüber schweben, können Sie feststellen, dass es sich tatsächlich um eine komplett andere Website handelt. Eine .ca Domain sogar.

Jetzt sagte ich sofort, klicken Sie nicht auf diesen Link, aber etwas wunderte mich. Die E-Mail- Adresse des Absenders lautet noreply@belfius.be und belfius.be ist die offizielle Website der Bank. Wie kann das sein? Wie können sie gefälschte ihre E - Mailadresse?

55
Diese Art von E-Mails wird im Allgemeinen als Phishing bezeichnet, was als Spam betrachtet werden kann. Ich denke jedoch, dass Spam harmloser ist und versucht, Ihnen Sachen zu verkaufen und nicht auf Ihre Konten zuzugreifen. R-D vor 11 Jahren 2
Ich kann Ihnen einen Brief mit der Post schicken, der besagt, dass er vom Weihnachtsmann ist. Das einzige Werbegeschenk wäre der kalifornische Poststempel. Das Gleiche gilt für E-Mail mehr oder weniger. David Schwartz vor 11 Jahren 37
Sowohl der MAIL FROM-Befehl von SMTP als auch das Mail-Header-Feld von IMF können gefälschte Adressen enthalten. james.garriss vor 11 Jahren 1
Probieren Sie es selbst aus: http://deadfake.com/Send.aspx Mark E. Haase vor 10 Jahren 1

2 Antworten auf die Frage

76
Manishearth

Simple. By editing the From: header while sending the mail. This is known as "Email spoofing". The From: header is easily editable if you're sending the mail via PHP or something, no fancy tricks required. What is not editable, though is the IP address/domain name of the site from which it originated. If you check the plaintext email (in Gmail, go to the menu next to the reply button, and "show original message"), the Received: headers carries all the information about its path (The deeper down the Received: header is, the further back in the email chain it is). Note that an email passing through multiple hops can have some of the deeper headers spoofed as well. You need to go downwards, seeing which headers (i.e. sites) you trust. Each header will say something like Received: from abc.com (IP address) by something.google.com (IP) (assuming you have Gmail -- otherwise the by will be different). Now, this header was written by the by part. Start at the top, the first few Received: headers won't have a from/by. Find the first one with those. Its by will be belonging to your email provider -- which you trust. See if you trust the from, and if you do, go on to the next Received: header (which you now trust), and so on. If you don't trust a header in between, all the ones below it cannot be trusted -- those may have been spoofed.

Gmail generally detects spoofing, though, and puts a "abc@def.com via ghi@jkl.com" sort of hatnote on the email. Note that there are perfectly legitimate uses of email spoofing -- many mailing lists spoof emails for a smoother experience. So do certain fora/message boards. Here, they send the email to make it look like it came from the original poster. The Reply-To: header is set to the list/webapp/whatever email id, so replying to it will by default go to the list(/etc). The list can then deal with it as it sees fit -- it can check for spam, maybe put on hold for moderation, etc. When it wants to send it, it will spoof your address and send it to everyone on the list (which is exactly what you wanted -- to be able to have email-based discussions without using "Reply to All" and keeping a list of contacts to copy-paste).

What some "legitimate" spoofers do is that they set the Sender: header to their own id. This is supposed to mean "Sent by Sender on behalf of From". Note that the presence of a Sender: header doesn't mean anything when it comes to "illegitimate" spoofing -- that header is spoofable as well. Like I said, the only way to check is via the Received headers.

Vielen Dank! Und danke auch für den letzten rechtmäßigen Gebrauch. Sehr informativ! Bram Vanroy vor 11 Jahren 5
Wie soll das Spoofing die Erfahrung verbessern? Der einzige Einfluss, den ich davon erlebt habe, ist negativ. Outlook lässt mich die Nachrichten (für den automatischen Download von Bildern) nicht auf die Whitelist setzen, da jede Nachricht von einer anderen Adresse aus mailist@randomnumber.maillistcompany.com stammt. Dan Neely vor 11 Jahren 0
@ DanNeely: Nun, ohne Spoofing scheinen alle E-Mails von list@domain.com zu kommen. Es wird verwirrend, wenn Sie jemanden per PM verschicken möchten, und es ist schwierig, den Überblick zu behalten, mit wem Sie sprechen. Das Spoofing lässt den Anschein erwecken, als ob Sie nur ein Gespräch mit einer Reihe von Personen führen würden, mit der Ausnahme, dass die Mailingliste eine Zwischenentität ist (für Archivierung und Moderation erforderlich). Was meinst du damit, dass jeder von einer anderen Mailingliste kommt? Das ist wahrscheinlich nur eine bestimmte Liste. Manishearth vor 11 Jahren 1
@Manishearth Ich dachte an Despair.coms "Wailing List" (technisch gesehen eine Marketing-Mail, aber ich unterschreibe sie für den Humorwert). Ich bin bei der Arbeit, also kann ich nicht kopieren, was ich zu Hause erhalte. aber gmail zeigt es als ex "The Wailing List" über mail17.us2.mcsv.net an. Die Mail-Adresse und die US-Subdomain variieren von Nachricht zu Nachricht. Ich habe mehrere andere Abonnements mit ähnlichen Problemen von ihren Drittanbieter-Mailing-Diensten. Dan Neely vor 11 Jahren 0
@DanNeely normalerweise benutzt man Spoofing wie `Alice über liste @ example2.com` OrangeDog vor 11 Jahren 0
Empfangene Header werden genauso leicht gefälscht wie die Absenderadresse. Zoredache vor 11 Jahren 0
@zore siehe letzte Zeilen, Absatz 1. Ich habe es erwähnt - Sie gehen von oben nach unten und sehen, welche Kopfzeilen Sie erhalten haben und denen Sie auf der Basis von from folgen. Manishearth vor 11 Jahren 0
Es gibt auch ein anderes "From:", nämlich den Umschlag, der in einer SMTP-Konversation verwendet wird. Sie können das getrennt von den Inhalten der E-Mail-Nachricht nachahmen. In der SMTP-Konversation können Sie "mail from: a-user @ b-domain" ausgeben und dann im Befehl "data", der die Nachricht selbst ausgibt, einen anderen Header "From: c-user @ d-domain" generieren. Kaz vor 11 Jahren 0
Könnten Sie etwas zur Rolle des `Sender:` -Header hinzufügen? gerrit vor 11 Jahren 0
@gerrit: Ein wenig hinzugefügt (nicht allzu vertraut damit, aber verbessern Sie es), sowie ein paar weitere Informationen darüber, wie Sie über den Header "Received:" prüfen, ob eine E-Mail vertrauenswürdig ist. Vielen Dank :) Manishearth vor 11 Jahren 0
"Was nicht editierbar ist, obwohl die IP-Adresse ist" - IP-Adresse ist auch editierbar. Aber es ist ein anderes Thema mit dem Namen [IP address spoofing] (http://en.wikipedia.org/wiki/IP_address_spoofing) Jet vor 10 Jahren 0
@Jet Ich gehe davon aus, dass die ISPs nicht an dem Spoofing beteiligt sind. Das Spoofing von IP-Adressen wirkt sich nur auf die E-Mail-Ablaufverfolgung aus, wenn sich die ISPs selbst spoofieren, was innerhalb des lokalen Subnetzes eines ISP kaum eine Rolle spielt. Manishearth vor 10 Jahren 0
11
Peter Jenkins

It's trivial to use a fake 'from' address. The beginners way is simply to edit the settings in your mail client and change default from address. Many service providers will send an email with a fake from field because the email server doesn't know what the real one is.

The spammers use dedicated custom software and always use fake from addresses.