Заголовки электронной почты SMTP: обратный путь против отправителя и от

Question

Пожалуйста, помогите мне сделать заказ с заголовками писем.

Что означает каждое из следующего: return-path, sender, from.

Вопрос задается в контексте приложения для получения электронной почты (скажем, клон плакатный ).

• Что можно легко подделать?
• Что можно проверить?
• При каких обстоятельствах три или два из них могут различаться?

Answer 1

Исходя из моего опыта -

• От человека, написавшего письмо.Это может быть установлено почтовым программным обеспечением пользователя.

• Return-Path - это адрес, по которому следует доставлять сообщения о недоставке (недоставленные уведомления и т. Д.).Это может быть установлено отправляющим или получающим почтовым сервером, или иногда почтовым программным обеспечением пользователя.Для обычного сообщения оно обычно совпадает с адресом От.Некоторые сообщения (часто сгенерированные системой сообщения) могут использовать другой путь возврата, а отскок сообщения обычно оставляют его пустым.

• Отправитель - это лицо, отправившее электронное письмо, если оно отличается от От(«Отправлено Отправителем от имени От »).Иногда это устанавливается почтовым программным обеспечением пользователя, а иногда его почтовым сервером.Это, если присутствует, должно отличаться от адреса «От».

Все эти заголовки можно довольно легко подделать, поэтому проверка в значительной степени истощена.

Однако, если в передающем домене есть запись SPF, вы сверяет полученные заголовки со списком утвержденных почтовых серверов для этого домена.Это по крайней мере скажет вам, действительно ли сообщение пришло с этого домена, но это не гарантирует, что конкретный пользователь отправил его (оно могло быть подделано другим пользователем в том же домене).Кроме того, не все домены публикуют записи SPF, поэтому это не всегда возможно.

Answer 2

Заголовок «От» - это лицо, от которого пришло сообщение. От кого почтовый клиент получателя должен отображать сообщение, от кого.

Заголовок Return-Path указывает, куда должны быть доставлены ответы (или отскоки / отчеты о недоставке). Это может отличаться от адреса «От» в случае списков рассылки и многих автоматических сообщений, когда отказов отправляются в систему, которая удаляет недоставленные адреса.

Отправитель может рассматриваться как более конкретная версия заголовка From. Если сообщение было отправлено кем-то или другой системой с фактическим адресом «От». Примерами могут быть gmail, если он настроен для домена, не размещенного в Gmail. В этом случае заголовок From будет содержать «you@yourdomain.com», а отправителем будет «someuser@gmail.com». Многие почтовые клиенты теперь отображают это как''someuser@gmail.com от имени you@yourdomain.com '. Заголовок «Отправитель» должен использоваться для целей проверки подлинности почты (SPF / DKIM), поскольку именно эта система фактически создала сообщение.

Answer 3

Я бы добавил, что по нашему опыту вы не можете проверить, кто отправляет сообщение из заголовков.

По этой причине многие люди используют одноразовые адреса (example+uniquecode@example.com) и присваивают каждому исходящему сообщению адрес для отправки, чтобы проверить, кто отправляет сообщение. Некоторые другие пользователи включают что-то в строку темы.

Постерные FAQ предполагают, что они делают что-то дополнительно, чтобы убедиться, что вы тот, кем вы себя называете. Например, вы можете отслеживать IP / DNS сервера, который доставляет электронную почту на ваш почтовый сервер в первый раз, а затем попросить пользователя подтвердить, если вы подозреваете, что существует проблема. Несмотря на то, что легко подделать заголовки, их нелегко получить их входящую почту.