分类: 网络与安全
2008-05-31 20:31:38
当你收到一封传统邮件的时候,你能够看到上面的邮戳。如果电子邮件也有同样的邮戳,你就能够在打开邮件之前了解到它的来源。加密电子邮件可以解决这个问题,但是绝大部分的电子邮件都是以明文方式传递的。
电子邮件标头以倒叙的方式显示出邮件传递的路径,它并不能够最终确定发件人。所以大量的电子邮件仍然在蚕食我们的互联网带宽就毫不另人吃惊了。
我见过的所有的电子邮件程序都能够显示邮件标头。查看标头的方法取决于你所使用的电子邮件程序。你可以对一些程序进行设定,让它总是显示电子邮件标头。比如在Mutt(一款UNIX电子邮件程序)中,你可以按[H]键,让它总是显示电子邮件标头。在微软的Outlook中,如果要显示电子邮件标头,用鼠标右键点击电子邮件,选择“选项”,然后在选项对话窗口的底部选择互联网标头。对于OutlookExpress,用鼠标右键点击电子邮件,选择“属性”,然后选择“详细信息”表单。如果你使用的是其他的电子邮件程序,你可以在帮助中找到相关的指示。
下面是我收到过的一封伪造的UCE(unsolicitedcommerciale-mail,不请自来的商务电子邮件)的标头。内容里唯一的改变是用somebody@someplace.com替代了我自己真实的电子邮件地址:
Fromcollegebabe@aol.comMonMar2716:54:122006
Return-Path:collegebabe@aol.com
Received:fromtrademeca.co.kr(unknown[211.219.20.86])
bymail.someplace.com(Postfix)withSMTPid2304964253A
for;Mon,27Mar200616:54:10-0500(EST)
Received:fromsmtp0422.mail.yahoo.com(80.237.200.67)
bytrademeca.co.kr(211.219.20.86)with[NmailV3.120010905(S)]
forfrom;
Thu,23Mar200615:55:00+0900
Date:Thu,23Mar200611:34:52GMT
From:"Prendawen"collegebabe@aol.com
Subject:Heybuddie!What'sgoingon?
结论:标头内容显示出这是一封手法拙劣的伪造邮件,但是你还需要再做一些检查以了解详细信息。这封电子邮件之所以被我鉴别为伪造邮件是因为一个拥有AOL电子邮件帐户的人没有任何理由使用Yahoo的电子邮件服务器,并通过在一个。kr顶级域中的服务器进行邮件中继。。kr代表的是韩国。其次,DNS查找不能发现smtp0422.mail.yahoo.com,所以这个IP地址并不存在。即使这个地址存在,80.237.200.67的IP地址也是属于某个德国的网络,我是从AmericanRegistryforInternetNumbers(ARIN,美国网络地址注册管理组织)数据库中查明这一点的。所以不要浪费时间回复这封邮件了,因为collegebabe@aol.com与此毫无关系。
既然检查电子邮件标头如此重要,为什么所有的商业电子邮件程序都不是默认地显示标头呢?这是个好问题,但是我没有答案。在UCE大肆横行的今天,公司应该自动显示电子邮件标头。尽管有很多电子邮件过滤工具可供选择,都不太可能实现电子邮件的完美过滤——除非你有详细的标头信息。
由于邮件伪造正在变得越来越难以识别,了解如何查看电子邮件标头能够帮助你识别邮件的真假。这些知识能够帮助你向ISP或者跟踪垃圾邮件的代理报告垃圾邮件的情况。例如,JulianHaight的SpamCopservice能够扫描电子邮件标头,并识别伪造的电子邮件,通知ISP垃圾邮件的来源。SpamCop起码能够帮助你更好的了解电子邮件标头的内容。
