Ist es möglich, das Feld "Erhalten" in der E-Mail zu fälschen?
Ich habe kürzlich eine seltsame E-Mail erhalten. Die E-Mail enthält verschiedene Felder From und Reply-To. Es hat auch To auf Undisclosed recipients Gesetzt, aber es ist nicht entscheidend.
Zuerst dachte ich, es sei eine Fälschung, aber dann habe ich this post gelesen, in dem erwähnt wird, dass das Feld Received nicht gefälscht werden kann. Es scheint, dass der Empfang im Falle der E-Mail, über die ich spreche, richtig ist:
Received: (wp-smtpd mx.tlen.pl 14490 invoked from network); 2 Oct 2018 07:19:36 +0200
Received: from mx.beniculturali.it ([194.242.241.200])
(envelope-sender <[email protected]>)
by mx.tlen.pl (WP-SMTPD) with ECDHE-RSA-AES256-GCM-SHA384 encrypted SMTP
for <[email protected]>; 2 Oct 2018 07:19:36 +0200
Received: from sea2.mail.beniculturali.it (localhost.localdomain [127.0.0.1])
by localhost (Email Security Appliance) with SMTP id 15EE31ECEEA_BB2FFE8B;
Tue, 2 Oct 2018 05:19:36 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (mb2.mail.beniculturali.it [192.168.123.122])
(using TLSv1.2 with cipher ECDHE-RSA-AES256-SHA384 (256/256 bits))
(Client CN "email.beniculturali.it", Issuer "Actalis Authentication CA G3" (not verified))
by sea2.mail.beniculturali.it (Sophos Email Appliance) with ESMTPS id 1C9BD1E9E28_BB2FFE7F;
Tue, 2 Oct 2018 05:19:35 +0000 (GMT)
Received: from MB2.mail.beniculturali.it (192.168.123.122) by
MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
id 15.0.1395.4; Tue, 2 Oct 2018 07:19:30 +0200
Received: from ca4.mail.beniculturali.it (192.168.123.144) by
MB2.mail.beniculturali.it (192.168.123.122) with Microsoft SMTP Server (TLS)
id 15.0.1395.4 via Frontend Transport; Tue, 2 Oct 2018 07:19:29 +0200
Received: from MDC.mail.beniculturali.it ([192.168.123.171]) by
ca4.mail.beniculturali.it ([192.168.123.144]) with mapi; Tue, 2 Oct 2018
07:19:29 +0200
Ist es möglich, das Feld Received irgendwie zu fälschen, vielleicht mit fortgeschrittenen Techniken?
Es ist möglich, der Mail beliebige Felder hinzuzufügen, einschließlich Received -Header. Jeder ordnungsgemäße Mail-Transport-Server fügt jedoch einen neuen Received - Header über die Mail ein, was bedeutet, dass der Angreifer abhängig von der genauen Zustellungsinfrastruktur höchstens alle bis auf die oberste Received Header. In Ihrem speziellen Beispiel scheint der oberste Received-Header ein interner Server zu sein, und der nächste Received-Header ist der von Ihrem Mailserver am Umfang, der E-Mails von außen akzeptiert. Alle anderen Received -Header sind möglicherweise gefälscht.
Und selbst der vom Server am Umfang hinzugefügte Header Received enthält möglicherweise gefälschte Informationen. Es ist üblich, dass der vom SMTP-Client beanspruchte Hostname im Befehl EHLO oder HELO enthalten ist. In Ihrem speziellen Beispiel mx.beniculturali.it könnte vom Angreifer gefälscht werden, während ([194.242.241.200]) wird vom empfangenden Mailserver hinzugefügt, um anzuzeigen, von welcher Quell-IP die Mail empfangen wurde und nicht gefälscht werden kann.