Tôi đang điều tra một email và trong tiêu đề của nó có tất cả các bước nhảy (Nhận các mục) là địa chỉ riêng (10.X.X.X). Ban đầu, tôi nghĩ rằng điều này đơn giản có nghĩa là email bắt nguồn từ cùng một máy chủ thư (vì vậy nó không bao giờ cần thực hiện bước nhảy công khai). Tuy nhiên, sau khi liên hệ với nhà cung cấp (Intermedia), họ thông báo với tôi rằng nguồn được xác định từ một phần khác của tiêu đề (x-nguồn-ip).
Sau khi thực hiện một số nghiên cứu, tôi thấy rằng nếu địa chỉ IP được tìm thấy bên dưới x-nguồn-ip cũng không được tìm thấy ở đâu đó trong bản gốc (Nhận) hoa bia, sau đó x-nguồn-ip đã bị giả mạo. Hoặc bằng cách nào đó nguồn ban đầu có thể ở trong x-nguồn-ip và không phải trong bước nhảy vọt? Tiêu đề email ở bên dưới.
Đã nhận: từ X-E5-VA-1.x.domain.local (10.219.12.138) bởi
X-E5-VA-1.x.domain.local (10.219.12.138) với Microsoft SMTP
Máy chủ (phiên bản=TLS1_2, mật mã=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521) id
15.1.2375.17 qua Mailbox Transport; Thứ sáu, ngày 10 tháng 12 năm 2021 09:10:41 -0500
Đã nhận: từ X-E5-VA-2.x.domain.local (10.219.12.140) bởi
X-E5-VA-1.x.domain.local (10.219.12.138) với Microsoft SMTP
Máy chủ (phiên bản=TLS1_2, mật mã=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521) id
15.1.2375.17; Thứ sáu, ngày 10 tháng 12 năm 2021 09:10:40 -0500
Đã nhận: từ x-va-1-2.serverpod.net (10.216.74.75) bởi
X-E5-VA-2.x.domain.local (10.219.12.141) với Microsoft SMTP
Máy chủ (phiên bản=TLS1_2, mật mã=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521) id
15.1.2375.17 qua Frontend Transport; Thứ sáu, ngày 10 tháng 12 năm 2021 09:10:40 -0500
Đã nhận: từ x-va-1-3.serverpod.net (x-va-1-3.serverpod.net [10.216.76.86])
(sử dụng TLSv1.3 với mật mã TLS_AES_256_GCM_SHA384 (256/256 bit)
trao đổi khóa ECDHE (P-256) chữ ký máy chủ RSA-PSS (2048 bit) máy chủ tiêu hóa SHA256)
(Không yêu cầu chứng chỉ ứng dụng khách)
bởi x-va-1.serverpod.net (Postfix) với id ESMTPS BA7FE100005
cho <[email protected]>; Thứ sáu, ngày 10 tháng 12 năm 2021 06:10:40 -08:00 (PST)
Đã nhận: từ out.x.serverdata.net (không xác định [10.219.12.138])
(sử dụng TLSv1.2 với mật mã ECDHE-RSA-AES256-SHA384 (256/256 bit))
(Không yêu cầu chứng chỉ ứng dụng khách)
bởi x-va-1.serverpod.net (Postfix) với ESMTPS id 95881100004
cho <[email protected]>; Thứ sáu, ngày 10 tháng 12 năm 2021 06:10:40 -08:00 (PST)
Đã nhận: từ X-E5-VA-1.x.domain.local (10.219.12.138) bởi
X-E5-VA-1.x.domain.local (10.219.12.138) với Microsoft SMTP
Máy chủ (phiên bản=TLS1_2, mật mã=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521) id
15.1.2375.17; Thứ sáu, ngày 10 tháng 12 năm 2021 09:10:40 -0500
Đã nhận: từ X-E5-VA-1.x.domain.local ([10.219.12.138]) bởi
X-E5-VA-1.x.domain.local ([10.219.12.138]) với id mapi
15.01.2375.017; Thứ sáu, ngày 10 tháng 12 năm 2021 09:10:40 -0500
Từ: mycompany.com <[email protected]>
Tới: Đầu tiên Cuối cùng <[email protected]>
Chủ đề: Tài khoản của bạn sắp bị chấm dứt!!!
Chủ đề-Chủ đề: Tài khoản của bạn sắp bị chấm dứt!!!
Chỉ mục chủ đề: AQHX7c+dWsv6PH5mQUqK59FFKaujxQ==
Ngày: Thứ sáu, ngày 10 tháng 12 năm 2021 14:10:40 +0000
ID tin nhắn: <[email protected]>
Ngôn ngữ chấp nhận: en-US
Nội dung-Ngôn ngữ: en-US
X-MS-Has-Đính kèm:
X-MS-TNEF-Tương quan:
dkim-chữ ký: v=1; a=rsa-sha256; c=đơn giản/đơn giản; d=bankomatchik.ru; s=dkim;
t=1639144993; bh=JRc5i07SeJJi7IKmf4kk7YS+u37nZRSWTa9JN4q+GDw=;
h=To:Chủ đề:Ngày:Từ:Từ;
b=VlYQOrD2H6zI5UnWGneQEyqNAPMa9AYQVNeOi+893IPfLfpaEq4ut7VUj338N1UQc
U26YJl80XrFXtwxQ8QPpTmwJpMhg9eeEYN9FkgxR8eqWIbCtwZCbJkxj1WrMIML9V3
FuBXeDZOD60tMaucFBp6PgRy6snRakQjs7E4JJr8=
x-cmae-điểm: 0
phân tích x-cmae: v=2.2 cv=DMz/22Fb c=1 sm=1 tr=0
a=uUzqdBFmwskn7PK6BrDENA==:117 a=uUzqdBFmwskn7PK6BrDENA==:17
a=IOMw9HtfNCkA:10 a=G7ipKTrHp8AA:10 a=r77TgQKjGQsHNAKrUKIA:9 a=07qlFErKAAAA:8
a=EQh1O3JVudHgXb9kck8A:9 a=QEXdDO2ut3YA:10 a=1O92t69KAAAA:8
a=lpIj0mRyDt8dnHIlFYYA:9 a=lNjrS4_qGLc71qEN:21 a=m7PwTm9v_g-j7EjRtLGg:22
a=Ol1NtEL7n3yPw0winTxy:22
x-nguồn-ip: 46.36.222.102
trạng thái x-spf: vượt qua
x-rdns-status: vượt qua
spam-stopper-id: cd2e25c5-1d15-4d0f-8a52-bc5fceb90982
x-spam-category: HỢP PHÁP
x-spam-reasons: {'verdict': 'sạch', 'spamcause':
'gggruggvucftvghtrhhoucdtuddrgedvuddrkedvgdeiudcutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfkpffvgfftoffgfffktedpggftfghnshhusghstghrihgsvgenuceurghilhhouhhtmecufedttdenucgoufhushhpvggtthffohhmrghinhculdegledmnecujfgurhepvffufffhkfggtgfgsegrkehjphdttdejnecuhfhrohhmpedfphgrghgvjhhonhgvshdrtghomhdfuceoshhuphhpohhrthessggrnhhkohhmrghttghhihhkrdhruheqnecuggftrfgrthhtvghrnhepudevjeehlefhhfehkeeifeefveegkedujedtkeffjeelfeduvddvffeifeetffeinecuffhomhgrihhnpeifvggsrdgrphhpnecukfhppeegiedrfeeirddvvddvrddutddvnecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehinhgvthepgeeirdefiedrvddvvddruddtvddpmhgrihhlfhhrohhmpehsuhhpphhorhhtsegsrghnkhhomhgrthgthhhikhdrrhhupdhrtghpthhtohepphhmohhrghgrnhesphgrghgvjhhonhgvshdrtghomh',
'nội bộ': ['[email protected]', 'From="mycompany.com"
<[email protected]>'], 'đã qua': '17ms'}
x-aes-category: HỢP PHÁP
x-spam-điểm: 49
x-ms-exchange-transport-endtoendlatency: 00:00:00.1949891
thư mục x-ms-exchange-xử lý bởi bcc: 15.01.2375.017
xử lý x-armorblox: CÓ
x-spf-từ-trạng thái: not_checked
x-dkim: Bộ lọc OpenDKIM v2.6.8 mail.microgenius.ru 5A7E599FB6
x-origin-ip: [10.232.212.161]
Loại nội dung: nhiều phần/thay thế;
ranh giới="_000_50ef8cf96073a3a05bd6a6b1f8985875bankomatchikru_"
Phiên bản MIME: 1.0
Spam-Stopper-Id: 2f55156e-4535-43bc-8950-d9b2bb44a4ba
Spam-Stopper-v2: Có
X-Armorblox-Processed: CÓ
Đường dẫn trả về: [email protected]
X-MS-Exchange-Organization-Network-Message-Id: 8ad1c7e6-d9ca-43b1-292b-08d9bbe6d919
X-MS-Exchange-Organization-AuthSource: X-E5-VA-2.x.domain.local
X-MS-Exchange-Organization-AuthAs: Ẩn danh
X-MS-Exchange-Processed-By-BccFoldering: 15.01.2375.017
