Различия
Здесь показаны различия между двумя версиями данной страницы.
mail:технические_заголовки_письма [2017/05/16 18:31] v.sabinich создано |
mail:технические_заголовки_письма [2020/03/10 22:01] |
||
---|---|---|---|
Строка 1: | Строка 1: | ||
- | Технические заголовки письма содержат в себе полную информацию не только об отправителе или получателе, но и о всех почтовых серверах, через которое оно прошло. \\ | ||
- | Так же, в заголовках отображается уникальный номер (идентификатор), формат и кодировка содержимого письма, а так же другие заголовки, которые позволяют получить информацию технического плана. | ||
- | В качестве примера используется реальные заголовки спам-письма, отправленного с помощью спам-скрипта, загруженного на сайт через уязвимость. Из примера убрана вся лишняя информация и для удобства восприятия произведена замена всех реальных значений на понятные. \\ | ||
- | Обратите внимание, что заголовки читаются сверху - вниз, от получателя к отправителю. | ||
- | |||
- | * MAILBOX@DST-DOMAIN - почтовый ящик получателя | ||
- | * MAILBOX@SRC-DOMAIN - почтовый ящик отправителя | ||
- | * SRC-DOMAIN - почтовый домен отправителя | ||
- | * 10.10.10.1 SRC-IP - IP-адрес сервера-отправителя | ||
- | * SRC-HOST- доменное имя сервера-отправителя | ||
- | * John Doe - имя отправителя | ||
- | * SRC-USERNAME - имя пользователя (владельца сайта) на сервере | ||
- | * DOMAIN.MAIL.TRANSITx - доменное имя транзитного почтового сервера | ||
- | * DST-DOMAIN - доменное имя почтового сервера-полечателя | ||
- | * 192.168.0.1 IP-MAIL-TRx - IP-адрес транзитного почтового сервера | ||
- | |||
- | Ключевые моменты выделены и описаны ниже под примером технических заголовков письма | ||
- | <file> | ||
- | [ Offending message ] | ||
- | >>1> Delivered-To: MAILBOX@DST-DOMAIN | ||
- | Return-Path: <MAILBOX@DOMAIN> | ||
- | Delivered-To: MAILBOX@DST-DOMAIN | ||
- | >>2> Received: from DOMAIN.MAIL.TRANSIT3 ([172.31.157.6]) | ||
- | by DST-DOMAIN (Dovecot) with LMTP id CBM1CFGLE1nsdAAAglA2ZQ | ||
- | for <MAILBOX@DST-DOMAIN>; Wed, 10 May 2017 17:51:13 -0400 | ||
- | >>3> Received: from DOMAIN.MAIL.TRANSIT2 ([172.27.129.26]) | ||
- | by DOMAIN.MAIL.TRANSIT3 (Dovecot) with LMTP id JF4uNbseE1mkdQAAaisozw | ||
- | ; Wed, 10 May 2017 17:51:13 -0400 | ||
- | >>4> Received: from DOMAIN.MAIL.TRANSIT1 ([172.27.255.58]) | ||
- | (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)) | ||
- | by DOMAIN.MAIL.TRANSIT2 (Dovecot) with LMTP id m+iRJ8GKE1k/KQAAhn5joQ | ||
- | ; Wed, 10 May 2017 17:51:13 -0400 | ||
- | Return-Path: <MAILBOX@DOMAIN> | ||
- | X-Spam-Threshold: 95 | ||
- | X-Spam-Score: 100 | ||
- | X-MS-Exchange-Organization-SCL: 9 | ||
- | Precedence: junk | ||
- | X-Spam-Flag: YES | ||
- | X-Virus-Scanned: OK | ||
- | X-MessageSniffer-Scan-Result: 57 | ||
- | X-MessageSniffer-Rules: 57-8096348-1336-1414-m | ||
- | 57-8062039-3853-3956-m | ||
- | 57-8062040-3958-4024-m | ||
- | 57-8096348-0-4845-f | ||
- | X-CMAE-Scan-Result: 100 | ||
- | X-CNFS-Analysis: v=2.2 cv=PL1NwriC c=1 sm=1 tr=0 p=2d-YaYf_ZgOYOoXe9EwA:9 p=eXT_RbU9tNoA:10 a=6rQn32JDHC5sOLZUvI6G6A==:117 a=6rQn32JDHC5sOLZUvI6G6A==:17 a=_Vl9FXJp7ecA:10 a=tJ8p9aeEuA8A:10 a=0V20hevtAAAA:8 a=CjuIK1q_8ugA:10 a=vs5Tm_Oc2EoA:10 a=_W_S_7VecoQA:10 a=hgfeASsxMpdrz9XU3H7z:22 | ||
- | X-Orig-To: MAILBOX@DST-DOMAIN | ||
- | X-Originating-Ip: [SRC-IP] | ||
- | Authentication-Results: DOMAIN.MAIL.TRANSIT1; iprev=pass policy.iprev="SRC-IP"; spf=neutral smtp.mailfrom="MAILBOX@SRC-DOMAIN" smtp.helo="SRC-HOST"; dkim=none (message not signed) header.d=none; dmarc=none (p=nil; dis=none) header.from=SRC-DOMAIN | ||
- | X-Classification-ID: c7ea1d24-35ca-11e7-8599-bc305bf58d14-1-1 | ||
- | >>5> Received: from [SRC-IP] ([SRC-IP:33387] helo=SRC-HOST) | ||
- | by DOMAIN.MAIL.TRANSIT1 (envelope-from <MAILBOX@SRC-DOMAIN>) | ||
- | (ecelerity 4.2.1.56364 r(Core:4.2.1.14)) with ESMTPS (cipher=DHE-RSA-AES256-GCM-SHA384) | ||
- | id 7A/CE-02492-05B83195; Wed, 10 May 2017 17:51:13 -0400 | ||
- | >>6> Received: from SRC-USERNAME by SRC-HOST with local (Exim 4.72) | ||
- | (envelope-from <MAILBOX@SRC-DOMAIN>) | ||
- | id 1d8ZVj-0002fE-UZ | ||
- | for MAILBOX@DST-DOMAIN; Wed, 10 May 2017 21:51:07 +0000 | ||
- | >>7> To: MAILBOX@DST-DOMAIN | ||
- | Subject: <ТЕМА ПИСЬМА> | ||
- | >>8> X-PHP-Originating-Script: 511:blog38.php(1937) : eval()'d code | ||
- | >>9> Date: Thu, 11 May 2017 00:51:07 +0300 | ||
- | >>10> From: USERNAME <MAILBOX@SRC-DOMAIN> | ||
- | Message-ID: <3a8c________________________eb45@SRC-DOMAIN> | ||
- | X-Priority: 3 | ||
- | MIME-Version: 1.0 | ||
- | Content-Type: multipart/alternative; | ||
- | boundary="b1_3a8c2ade0cc7c877cf504b145e1deb45" | ||
- | Content-Transfer-Encoding: 8bit | ||
- | |||
- | <СОДЕРЖИМОЕ> | ||
- | </file> | ||
- | |||
- | 10. Почтовый адрес отправителя (поддельный) \\ | ||
- | 9. Дата отправки письма \\ | ||
- | 8. Скрипт, с помощью которого было отправлено письмо \\ | ||
- | 7. Почтовый адрес получателя \\ | ||
- | 6. Поле Received указывает на то, откуда было принято письмо. В самом первом поле отмечается локальный почтовый сервер. В этой же строке указан пользователь, под которым это письмо было отправлено. \\ | ||
- | 5-2 - серверы получателя, которые обработали письмо и добавили различные заголовки, которые говорят о различных проверках (наличие домена и IP в спам-базах и тому подобное) \\ | ||
- | 1. Сообщение доставлено. \\ | ||
- | |||
- | === Дополнительная информация === | ||
- | * [[mail:Как увидеть технические заголовки письма]] | ||
- | * [[linux:Как найти файл на сервере через консоль]] | ||
- | * [[ispmanager:как найти файл|Как найти файл в ISPmanager]] | ||
- | * [[cpanel:как найти файл|Как найти файл в cPanel]] | ||
- | * [[ispconfig:как найти файл|Как найти файл в ISPconfig]] |