Die an mich gesendete E-Mail ist an MAIL@MAIL.COM gerichtet. Wie geht das?

103

Vor kurzem wurde mir eine Betrugs-E-Mail gesendet, und ich öffnete sie zum Lesen, um zu kichern. Sehr schlicht und ohne viel Aufwand.

Mir ist etwas Merkwürdiges aufgefallen; Diese E-Mail wurde nicht an mich adressiert. Zuerst vermutete ich ein CC oder ein BCC, aber nirgendwo steht meine Adresse auf der Mail. Ich habe unten ein Bild bereitgestellt. Wie geht das?

email metadata

— tuskiomi
quelle

8

Veröffentlichen Sie die vollständigen Nachrichtenkopfzeilen. Möglicherweise haben Sie auch eine sekundäre SMTP-Adresse auf dem E-Mail-Server, an den diese gesendet wurde. Administratoren von E-Mail-Servern sollten in der Lage sein, Sie zu beraten. Bearbeiten Sie jedoch Ihre Antwort und veröffentlichen Sie auch die vollständigen Kopfzeilendetails dieser Nachricht.

— Pimp Juice IT

55

Sie befanden sich wahrscheinlich im Blindkopiefeld der E-Mail.

— Mokubai

61

Sie werden die BCC-Liste nicht sehen, das ist der "B" -Lind-Teil . ;)

— Donnerstag,

14

@tuskiomi Nein, nicht in Outlook. Google Mail wird angezeigt bcc: me, vielleicht auch andere ... Wenn Sie sich die vollständigen Kopfzeilen der Nachrichten ansehen, sollten Sie Ihre E-Mail-

— Adresse

20

@tuskiomi - Nein, Sie werden niemals jemanden in BCC sehen, nicht einmal Sie. Wenn es sich um Spam handelt, gibt es möglicherweise nicht einmal eine echte BCC-Liste. spamware kann die empfängerliste nach belieben verwalten und letztendlich geht es darum, wie der dialog der spamware mit dem mailserver aussieht - nicht wie der inhalt der mail ist. Die einzige Möglichkeit, Ihre E-Mail-Adresse anzuzeigen, besteht darin, in den Internet-Headern nachzuschauen.

— Jeff Zeitlin

152

Eine Internet-E-Mail-Nachricht besteht aus zwei Teilen. Wir können sie als Umschlag und Nutzlastnachricht oder einfach als Nachricht bezeichnen .

Der Umschlag enthält Routing-Daten: Dies sind in erster Linie die Absenderadresse und eine oder mehrere Empfängeradressen.

Die Nachricht enthält den Inhalt der Nachricht: Betreffzeile, Nachrichtentext, Anhänge usw. Es enthält auch einige technische Informationen wie trace ( Received:) -Header, DKIM-Daten usw. sowie die angezeigten Absender- und Empfängeradressen (was Sie in dem sehen From, Tound CcFelder in Ihrem E - Mail - Client).

Hier ist der springende Punkt: Die beiden müssen sich nicht einigen!

Ein Mailserver prüft anhand der Umschlagdaten, wie die Nachricht gesendet werden soll. Andererseits wird die Nachricht selbst mit wenigen Ausnahmen als reine Daten behandelt. Insbesondere überprüft ein gut funktionierender Mailserver weder die Felder To:und Cc:der Nachricht selbst, um die Liste der Empfänger zu ermitteln, noch das From:Feld, um die Absenderadresse zu ermitteln.

Wenn Sie eine E-Mail verfassen und senden, übernimmt Ihr E-Mail-Client die Eingaben in den Feldern An, Cc und Bcc und übersetzt sie in Umschlag-Routing-Informationen. Dies geschieht hauptsächlich durch Entfernen aller vollständigen Namen (wobei nur E-Mail-Adressen übrig bleiben), kann jedoch auch das Umschreiben von Adressen, die Erweiterung von Aliasnamen usw. umfassen. Das Ergebnis ist eine Liste von E-Mail-Adressen, die dem Mailserver, mit dem Ihr Mail-Client spricht, als Empfängerliste zugewiesen werden. Die To- und Cc-Listen werden in der E-Mail gespeichert, der Bcc wird jedoch nicht an den Server weitergeleitet, sodass er für die Empfänger der Nachricht unsichtbar ist. Die Absenderadresse funktioniert sehr ähnlich.

Wenn die Nachricht ihr endgültiges Ziel erreicht, werden die Umschlagdaten entweder weggeworfen oder in den detaillierten Nachrichtenköpfen aufbewahrt. Dies ist einer der Gründe, warum Spittin 'IT in einem Kommentar zu Ihrer Frage nach den vollständigen Kopfzeilen der Nachrichten gefragt hat.

Bei Internet-E-Mails ist es außerdem möglich, direkt mit einem Mail-Server zu kommunizieren und so eine Nachricht einzuspeisen, bei der die Umschlagdaten nicht mit den Nachrichtendaten übereinstimmen, die ein normaler, gut funktionierender E-Mail-Client nicht hätte lass dich komponieren. Außerdem überprüfen Mailserver die Absenderadresse, die in den Umschlagdaten angegeben ist, in unterschiedlichem Maße. Einige überprüfen es kaum, bis sie sicher sind, dass es sich um eine syntaktisch gültige E-Mail-Adresse handelt. Der From-Header der Nachrichtendaten wird noch weniger geprüft.

Da der empfangende E-Mail-Client nicht die Adressdaten des Umschlags, sondern die in den Kopfzeilen Von, Bis und Cc enthaltenen Daten anzeigt , können Sie alle gewünschten Daten dort ablegen, und der empfangende E-Mail-Client kann sich darauf verlassen ist einigermaßen genau. Für legitime Post ist es normalerweise genau genug; für Spam ist es fast nie.

In der Welt der von uns Menschen bewohnten materiellen Gegenstände entsprechen der Briefumschlagsender und der Briefumschlagempfänger der Absender- bzw. Empfängeradresse , die Sie auf der Außenseite des Briefumschlags angegeben haben. und die From:und To:/ Cc:Überschriften entsprechen dem, was Sie als Ihre und die des Empfängers in dem Brief, den Sie in den Umschlag gelegt haben, angegeben haben.

— ein CVn
quelle

8

Ich wünschte, die Leute würden hier realistischere Analogien anstellen, damit andere verstehen, was das physikalische Äquivalent ist. Der "Absender" einer E-Mail ist wie die Person, die dem Postboten den Umschlag aushändigt. Die "Von" -Adresse ist die, von der sie stammen soll. Als ob Sie eine Sekretärin wären, die im Namen einer anderen Person sendet, usw.

— Mehrdad,

21

@Mehrdad Nein; Die (SMTP-) Absenderadresse des Umschlags entspricht der Absenderadresse auf der Außenseite des Umschlags (an die er gesendet wird, wenn er nicht zugestellt werden kann), während die Adresse in der FromKopfzeile diejenige ist, die Sie auf das aufgeklebte Stück Papier schreiben innerhalb des Umschlags und dass der Postbote nicht einmal weiß.

— ein Lebenslauf

Ich dachte an den Sender: -Header, als ich das schrieb, und es war nur ein Beispiel. Nur zu sagen, dass es schön wäre, Ihrer Antwort ein Beispiel wie dieses hinzuzufügen.

— Mehrdad

91

Das Ausmaß an Fettdruck ist hier bestenfalls wirklich unnötig . Und das ist nur meine Meinung .

— JakeGould

3

@SupremeGrandRuler Da die Empfängerinformationen (im Gegensatz zu einem möglichen Absender oder Return-Path) nicht in der E-Mail enthalten sind. Stellen Sie sich vor, die vollständige Empfängerliste wäre enthalten, einschließlich der Adressen, die die MUA aus dem Feld Bcc erhalten hat (denken Sie daran: SMTP (das Umschlagprotokoll) kennt sich nicht mit Bcc aus, es kennt sich nur mit Empfängern aus) enorme Platzverschwendung) nicht nur auf großen Mailinglisten (funktioniert nach dem gleichen Prinzip wie Bcc).

— Jonas Schäfer

23

tl; dr unten.

Das SMTP-Protokoll kennt keine CC- oder BCC-Empfänger. Dies ist eine Konvention von Mail-Clients. Der SMTP-Server kümmert sich normalerweise nur um die Weiterleitung von Informationen und Daten. Dies ist ein wichtiger Unterschied, da BCC ohne diese Funktion nicht existieren könnte. Berücksichtigen Sie als legitime BCC-Kommunikation das folgende Client-Protokoll:

HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<anonymous@another-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM

This is an important meeting notice. We'll meet tomorrow.

.

In diesem Fall wurde Anonymous eine Nachricht über dieses Meeting gesendet. Diese E-Mail-Version wurde jedoch nicht an Jane Doe weitergeleitet. Sie weiß nichts darüber, dass Anonymous benachrichtigt wird. Im Gegensatz dazu wird Jane Doe die Nachricht mit einem anderen Text und Header gesendet:

HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<jane.doe@to-mail-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM

This is an important meeting notice. We'll meet tomorrow.

.

Da Anonymous im BCC enthalten war, enthielt die an Jane Doe gesendete Nachricht die BCC-Empfängerliste nicht. Aufgrund der BCC-Konvention enthält der E-Mail-Umschlag möglicherweise keine Empfänger, die die Nachricht tatsächlich erhalten haben, und Empfänger, die nicht in den Kopfzeilen der Nachricht aufgeführt sind.

Wie von @JonasWielicki erwähnt , das ich auch mit einbeziehen wollte , ist der MUA (Mail User Agent) in der Regel für das Senden der mehreren E-Mails verantwortlich, die für die Implementierung von BCC erforderlich sind. Da E-Mail-Server nichts über BCC wissen, muss die MUA BCC implementieren, indem mehrere E-Mails mit unterschiedlichen E-Mail-Routen gesendet werden, die in den Briefumschlag-Headern angegeben sind. Aus diesem Grund dauert der Versand von BCCs in der Regel länger als bei normalen E-Mails, da unterschiedliche Nachrichtentexte erstellt und einzeln versendet werden müssen.

Dies hilft auch bei einigen E-Mail-Compliance-Regeln. Auf einem Mailserver können beispielsweise Regeln konfiguriert sein, um einen Archiv-E-Mail-Server automatisch zu blockieren (alle an ihn gesendeten E-Mails werden ebenfalls archiviert). In diesem Fall ist der Mailserver möglicherweise nicht einmal ein echter Empfänger.

HELO from-mail-server.com
MAIL FROM:<john.smith@from-mail-server.com>
RCPT TO:<mail-archive@archive-server.com>
DATA
From: "John Smith" <john.smith@from-mail-server.com>
To: "Jane Doe" <jane.doe@to-mail-server.com>
BCC: "Anonymous" <anonymous@another-mail-server.com>
Subject: Important Meeting Notice
Date: Monday, May 15, 2017 12:20 PM

This is an important meeting notice. We'll meet tomorrow.

.

In diesem Fall ist der Empfänger eine andere Partei, die weder dem Empfänger noch dem Absender bekannt ist. Dies ist eine Funktion des Protokolls, die normalerweise zum Weiterleiten oder Archivieren von Nachrichten verwendet wird.

Diese Spam-Nachricht hat dieses Verhalten ausgenutzt. Es ist eine Standardlücke, die technisch mit jedem kompatiblen Mailserver funktionieren sollte. Natürlich verwenden viele aktualisierte Server "Erweiterungen" wie DKIM, um zu überprüfen, ob eine solche E-Mail authentisch ist, aber es gibt immer noch viele alte Mail-Server, die sich nicht darum kümmern, einfach weil es verlockend ist, nicht beschädigte Dinge zu reparieren.

Beachten Sie auch, wie ich einen Date-Header angegeben habe. Dies kann ein beliebiger (aber gut formatierter) Wert sein. Viele Kunden zeigen gerne alle gesetzlichen Datenbereiche von der fernen Vergangenheit bis in die ferne Zukunft an. Ich habe mir vor Jahren persönlich eine E-Mail gesendet, die noch lange nach meiner Lebenserwartung oben in meinem Briefkasten bleibt, sowie eine E-Mail, die älter ist als mein E-Mail-Konto und meine eigene Geburt.

tl; dr

Zusammenfassend lässt sich sagen, dass der Absender eine E-Mail gefälscht hat, der ursprüngliche E-Mail-Server sie akzeptiert / weitergeleitet hat, dass Ihr E-Mail-Server sie akzeptiert und in Ihrem Posteingang gespeichert hat und dass Ihr Kunde Ihnen die in Ihrem Posteingang enthaltenen Daten originalgetreu und ohne Umgehung angezeigt hat jede Sicherheit. Die Sicherheit beim Senden ist in dieser Hinsicht häufig weniger eingeschränkt als das Empfangen von Sicherheit, da POP3 fast immer einen Benutzernamen und ein Kennwort erfordert, bevor Sie auf eine Mailbox zugreifen können (Sie könnten dies theoretisch umgehen, aber ich kenne keine legitimen Mail-Dienste, die dies tun).

— Phyrfox
quelle

3

Sie sollten beachten, dass das Entfernen von Bcc in der Regel nicht von Mailservern übernommen wird (das von Ihnen angegebene SMTP-Protokoll schlägt etwas anderes vor, da das HELO wie ein Mailserver und kein MUA klingt). Das Versenden einer Kopie mit Bcc-Header an die in diesem Header angesprochene Person erfordert zusätzliche Arbeit durch die MUA, indem zwei separate E-Mails gesendet werden.

— Jonas Schäfer

@ JonasWielicki Das ist ein guter Punkt. Ich habe eine Bearbeitung zu diesem Zweck hinzugefügt.

— Phyrfox

5

Wenn Sie einer zugestellten Mail eine bcc-Zeile hinzufügen, ist diese nicht mehr blind :)

— eckes

1

Tatsächlich ist es falsch, dass der Client im Fall von BCC mehrere Nachrichten senden muss. Es ist perfekt, nur eine einzige Nachricht zu senden. Der SMTP-Client kann mehrere RCPT TOAnweisungen auflisten. Die einzige Voraussetzung ist, dass der empfangende SMTP-Server entweder der autorisierende Server für beide Empfänger ist oder bereit ist, für alle anderen Server eine Weiterleitung durchzuführen.

— Patrick

6

SMTP und E-Mail sind sehr alte Internetdienste aus einer Zeit, in der Sicherheit und Authentifizierung viel weniger ernst genommen wurden (DNS ist ein weiteres Beispiel). Das Design des Protokolls unternimmt keine Anstrengungen, um die Authentizität der Absenderadresse zu überprüfen, und validiert die Empfängeradresse nur, sofern es sicherstellt, dass die Mail zugestellt werden kann.

E-Mails werden über das SMTP-Protokoll übertragen. Das SMTP-Protokoll ist relativ dumm. Es bietet die Möglichkeit, Klartext an eine E-Mail-Adresse zu senden und vieles mehr. Die Struktur dieses Klartextes ist in RFC 5322 festgelegt . Die allgemeine Idee ist, dass der E-Mail-Text Metadaten enthält, die als Header bezeichnet werden, sowie den eigentlichen Textkörper der Nachricht. Dieser E-Mail-Header wird vom Absender generiert (keiner davon kann als vertrauenswürdig eingestuft werden) und enthält Felder wie "bis:", "von:", "Betreff:" usw.

Das SMTP-Protokoll überprüft nicht (und soll es auch nicht), ob die E-Mail-Header mit einer der wenigen im SMTP-Protokoll definierten Angaben übereinstimmen. Dabei handelt es sich im Wesentlichen um Ihre E-Mail-Adresse und eine Absender-E-Mail-Adresse, die in keiner Weise überprüft wird.

Fast alles in einer E-Mail-Nachricht kann gefälscht sein.

Das einzige, was heute an E-Mail-Inhalten noch aus der Ferne vertrauenswürdig ist, sind DKIM-Signaturen, die belegen, dass die E-Mail über einen vom Domain-Registranten genehmigten E-Mail-Server verarbeitet wurde. Wenn Sie genauer hinschauen, werden Sie feststellen, dass diese Betrugs-E-Mail keine DKIM-Signatur hat.

— Wahrsager
quelle

Ich würde Received:den vertrauenswürdigen Teilen den endgültigen Header hinzufügen, den Ihr eigenes System hinzugefügt hat.

— Hagen von Eitzen

3

Die Adresse Toim E-Mail-Header dient Informationszwecken und wird vom E-Mail-Client angezeigt. Die reale Empfängeradresse wird mit RCPT TOin SMTP angegeben. Es ist dasselbe, wenn Sie einen Brief schreiben, einen Umschlag einlegen und Adresse-1 auf den Umschlag schreiben. Dann gehen Sie zum Kurier, geben Sie eine andere Adresse-2. Der Kurier legt Ihren Umschlag mit der Adresse-2 in einen größeren Umschlag und die Sendung geht dorthin. Ihre Sekretärin (E-Mail-Client-Software) legt den externen Umschlag in den Papierkorb und zeigt Ihnen den internen Umschlag mit Adresse-1 an. Sie können dies in der RAW-Ansicht der E-Mail-Nachricht sehen.

— i486
quelle

2

Dies ist ein etwas anderes Aussehen, basierend auf der Prüfung der Überschriften. Die anderen Antworten behandeln die Details von SMTP besser als ich könnte.

Wenn Sie die vollständigen Header Ihrer Nachricht bekommen, so dass sie dann für Ihre Adresse suchen, Sie können es in einem Feld namens finden Envelope-to, Delivered-tooder X-Apparently-to. Der erste wird von meinem E-Mail-Anbieter verwendet, der zweite von Google Mail. Ich habe auch den dritten benutzt gesehen. Dies sind verschiedene Felder, aber für unsere Zwecke bedeutet dies in der Regel dasselbe: das Postfach, in das die Nachricht tatsächlich zugestellt werden soll. Ich habe getestet, indem ich aus Outlook (Desktop-Version) mit dem Empfänger BCCed gesendet habe.

Mein E-Mail-Anbieter verwendet das Delivered-ToFeld auch, jedoch für den Postfachnamen auf seinem Server. Dies ist nicht meine E-Mail-Adresse, obwohl sie wie eine aussieht (denke nach ChrisH-$ACCOUNTNAME@$SERVER.mail.com).

Outlook (in Kombination mit Exchange Server) hingegen enthält in den Kopfzeilen kein einziges Feld mit der E-Mail-Adresse des Empfängers, wenn Sie als BCC aufgeführt sind.

— Chris H
quelle