فرستنده پنهان در ایمیل

آشنایی با MFrom و From

بیشتر افراد تصور می‌کنند یک پیام ایمیل دارای یک “فرستنده”، یک یا چند “دریافت‌کننده”، متن پیام و در صورت وجود یک یا چند فایل پیوست با فرمت‌های مختلف است.

این باور در مورد ایمیل کامل نیست. پیغام‌های ایمیل حاوی اطلاعات دیگری هم هستند که معمولا توسط ارائه‌دهندگان خدمات ایمیل در بدنه پیام قرار داده می‌شوند و از دید کاربران پنهان هستند.

پیغام ایمیل دو آدرس “فرستنده” دارد.

یکی از مهمترین نکته‌هایی که در مورد ایمیل وجود دارد این است که هر پیغام ایمیل حاوی دو آدرس “فرستنده” است که یکی از آنها در معرض دید قرار دارد و دیگری در قسمت Header یا سر پیام ایمیل پنهان است. پیغام ایمیل زیر را در نظر بگیرید:

قسمت Header یا سرپیام در این ایمیل حاوی اطلاعاتی است که سرورهای ارائه دهنده خدمات ایمیل برای انتقال ایمیل ازآن استفاده می‌کنند. این اطلاعات حاوی جزئیاتی است که از دید پنهان است. در شکل زیر جزئیات پنهان در هدر یک ایمیل نشان داده شده است:

آدرس فرستنده اول “Header Sender”یا “فرستنده سر پیام”  (یا Friendly Sender) است. آدرس فرستنده دوم “Sender Envelope”  یا “فرستنده پوششی” است  که تحت عنوان  MFrom هم شناخته می‌شود.

“فرستنده پوششی” یا MFrom آدرس برگشت است – که به سرورهای ایمیل اعلام می‌کند پیام ایمیل را به کجا برگردانده یا در صورت عدم ارسال صحیح ایمیل، پیغام خطا را به آن آدرس برگشت بزند. این فرستنده بصورت پنهان در ابتدای پیام ایمیل قرار دارد و حاوی جزئیات فنی است که سرورها به کمک آن تشخیص دهند پیام از طرف چه کسی ارسال شده، از چه نرم‌افزاری برای ایجاد آن استفاده شده و حاوی چه اطلاعات دیگری از این دست است.

آدرس فرستنده دوم “فرستنده هدر Header” است که در قسمت From یک پیام ایمیل قرار دارد و برای همه کاربران ایمیل قابل مشاهده است.

تفاوت‌های فرستنده Mfrom و فرستنده ایمیل شامل این موارد است:

• دامنه‌ای که آدرس فرستنده ایمیل دارد می‌تواند با دامنه آدرس MFrom متفاوت باشد.
• در فرایند تائید اعتبار ایمیل، SFP یا Sender Policy Framework دامنه مریوط به آدرس MFrom را مورد بررسی قرار میدهد.
• این دو آدرس فرستنده ممکن است در جاهای مختلف یک ایمیل قرار گرفته باشند.
• آدررس فرستنده MFrom همچنین به عنوان آدرس “مسیر ارجاع” یا Return-Path، “فرستنده پوششی” یا Envelope-Sender شناخته می‌شود.

نمونه‌هایی از سرپیام یا Email Header

پیغام‌های ایمیل زیر را به عنوان نمونه در نظر بگیرید.

مثال اول:

در این مثال هر دو آدرس فرستنده که در جاهای مختلف سرپیام قرار گرفته‌اند با رنگ قرمز مشخص شده‌اند.

X-Apparently-To: example@exampledomain.com; Wed, 20 Jan 2016 11:11:10 +0000
Return-Path: <assurance@returnpath.net>
Received-SPF: pass (domain of returnpath.net designates 67.217.228.241 as permitted sender)
MIME-Version: 1.0
Content-Disposition: inline
Content-Transfer-Encoding: binary
Content-Type: text/html; charset=utf-8
X-Mailer: MIME::Lite 3.027 (F2.74; A2.03; B3.07; Q3.07)
Date: Wed, 20 Jan 2016 04:11:09 -0700
From: Return Path Monitor <assurance@returnpath.net>
Reply-To: Return Path Monitor <assurance@returnpath.net>
To: example@exampledomain.com
Subject: Here’s why your mail is getting filtered…
X-Rpaspmid: 1453288262
X-Rptags: Newsletter 1453288262
Message-Id: <20160120111109.BFB1E7E004@tools-d1.lan.returnpath.net>
Content-Length: 14716

 مثال دوم:

در این مثال دو آدرس فرستنده Mfrom و آدرس فرستنده با هم متفاوت هستند:

Delivered-To:Received: by 10.50.110.41 with SMTP id hx9csp12093igb;

Wed, 19 Sep 2012 01:36:43 -0700 (PDT)Received: by 10.229.137.133 with SMTP id w5mr1607897qct.21.1348043802480;

Wed, 19 Sep 2012 01:36:42 -0700 (PDT)

Return-Path: <noreply@github.com>

Received: from smtp1-ext.rs.github.com (smtp1-ext.rs.github.com. [207.97.227.250])

by mx.google.com with ESMTP id 5si930058qcy.70.2012.09.19.01.36.42;

Wed, 19 Sep 2012 01:36:42 -0700 (PDT)

Received-SPF: pass (google.com: domain of noreply@github.com designates 207.97.227.250 as permitted sender)

client-ip=207.97.227.250;Authentication-Results: mx.google.com;

spf=pass (google.com: domain of noreply@github.com designates 207.97.227.250 as permitted sender)

smtp.mail=noreply@github.comDate: Wed, 19 Sep 2012 01:36:41 -0700

From: Louis <notifications@github.com>

Reply-To: rg3/youtube-dl <reply+i-4883054-e3dc1a39bd6fec305e5564ef8b3375860908afb5-105314@reply.gi…>

To: rg3/youtube-dl <youtube-dl@noreply.github.com>

Message-Id: <rg3/youtube-dl/issues/355/8684287@github.com>In-Reply-To: <rg3/youtube-dl/issues/355@github.com>

References: <rg3/youtube-dl/issues/355@github.com>

Subject: Re: [youtube-dl] Youtube Download Slows Down after 10 seconds (#355)

Mime-Version: 1.0Content-Type: multipart/alternative;

boundary=mimepart_50598419db896_3241ecda741010

Precedence: listList-Archive: https://github.com/rg3/youtube-dlList-Id: rg3/youtube-dl <youtube-dl.rg3.github.com>List-Post: <  “>mailto:unsub+i-4883054-e3dc1a39bd6fec305e5564ef8b3375860908afb5-105314@r…

–mimepart_50598419db896_3241ecda741010Content-Type: text/plain;

charset=utf-8Content-Transfer-Encoding: Quoted-printableContent-Disposition: inline

تشخیص ایمیل‌های فیشینگ یا تقلبی

تا اینجا یاد گرفتیم که ایمیل تمام آن چیزی نیست که در ظاهر دیده می‌شود. بنابراین برای جلوگیری از به خطر افتادن حساب ایمیل خود باید جزئیات بیشتری از یک ایمیل را بررسی نمائیم.

اولین قدم برای دیدن جزئیات ایمیل دیدن اطلاعات موجود در Header آن است. این اطلاعات را بسته به ابزاری که با آن ایمیل را مشاهده می‌کنیم، با روش‌های مختلفی می‌توانیم دریافت کنیم.

در مثال اول این مقاله، با یک ایمیل فیشینگ روبرو هستیم. در صورتی‌که با حملات فیشینگ آشنا نیستید مقاله “فیشینگ چیست” را مطالعه کنید.

حال یک بار دیگر با دقت به جزئیات هدر ایمیل در شکل زیر توجه کنید:

قسمت Header این ایمیل که از دید پنهان است حاوی اطلاعتی است که نشان میدهد این ایمیل با آدرسی متفاوت از آنجا در قسمت From قرار دارد و از دامنه‌ای ناامن ارسال شده است و به همین دلیل نباید به آن اعتماد کرد.