Comment cet e-mail a-t-il répertorié un faux destinataire?

Lorsque le courrier est envoyé via SMTP, il existe deux endroits distincts pour ce type d'informations, l'enveloppe (les éléments définis avec les commandes SMTP) et l'en-tête (le premier bloc de texte sous la commande SMTP Data, se terminant par une ligne vierge) . Ainsi, par exemple, voici une transaction SMTP où l'enveloppe n'est pas d'accord avec les en-têtes. Le message sera livré par l'enveloppe, mais le destinataire verra les en-têtes.

mail from: <[email protected]>
250 2.1.0 Ok
rcpt to: <[email protected]>
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
From: "Apple Store" <[email protected]>
To: [email protected]
Subject: We just received your purchase...

Mail body goes here.
.
250 2.0.0 Ok: queued as C5E251FFE2
quit
221 2.0.0 Bye
Connection closed by foreign Host.

Le faux destinataire va dans la ligne d'en-tête "To:", mais le courrier est remis selon la valeur définie dans la commande SMTP "RCPT TO". Et en effet, le destinataire voit l'en-tête que l'attaquant voulait qu'ils voient:

Maintenant, il y a une certaine protection contre cela. Si vous dites à votre client de messagerie que vous souhaitez afficher les en-têtes de messagerie complets, vous remarquerez que le serveur de messagerie a injecté plusieurs en-têtes qui racontent la véritable histoire:

From [email protected] Fri Jul 27 14:45:21 2018
Return-Path: <[email protected]>
X-Original-To: [email protected]
Delivered-To: [email protected]

Mais, bien sûr, les clients de messagerie masquent toujours ce niveau de détail par défaut, et interpréter correctement les en-têtes peut être difficile. La clé à retenir est qu'ils sont ajoutés par les serveurs au fur et à mesure, donc ceux que le haut est mis par votre serveur; si vous voyez "Return-Path" dans le bas des en-têtes, il est probable que l'attaquant ait falsifié pour essayer de vous mal orienter ... Puisque le message d'origine 'data' contient des en-têtes conçus par l'envoi client, ils peuvent y mettre tout ce qu'ils veulent avant que les serveurs ne commencent à ajouter.

Selon comment le faire -

La première règle de la falsification de destinataire de courrier électronique est de s'attendre à ce qu'elle échoue lamentablement.

La deuxième règle est, utilisez Cci: pour les destinataires que vous souhaitez obtenir, et Pour: pour les destinataires que vous souhaitez voir apparaître. C'est la façon standard de le faire avec un client de messagerie, et en général fonctionne avec tout, de mailx à gmail.

Mais le kilométrage peut varier de façon imprévisible. Par exemple, si vous laissez À: vide, de nombreux serveurs de messagerie remplissent le contenu de Cci: dans À: pour compenser cela. Il y a 20 ans, j'ai spammé des milliers de "destinataires cachés" avec les adresses des uns et des autres, envoyant une mise à jour du concours à la liste des candidats. OOPS.

Cela ressemble à l'utilisation de l'en-tête Bcc standard. Le message a très probablement été envoyé à l'adresse To affichée, mais aussi à votre ami (et, très probablement, à de nombreuses autres personnes) en utilisant l'en-tête Bcc.

Bcc les en-têtes sont uniquement dans enveloppe SMTP , donc votre client de messagerie ne les affichera pas par défaut. (Et, sous le capot, s'il y a plusieurs en-têtes Bcc, il est divisé par le serveur d'envoi en plusieurs e-mails distincts, donc même si vous affichez l'enveloppe, vous ne verrez que votre propre adresse, pas quelqu'un d'autre.)