Справочный центр
Справочный центр: Возможные ошибки
Технические заголовки (RFC-заголовки) писем
Отправлено Инна Соломка в 21 July 2015 10:23

Технические заголовки (они же RFC заголовки) письма - это служебная информация о маршруте прохождения писем. В заголовках представлены данные о том, когда, откуда и по какому маршруту пришло письмо, а также информацию, добавляемую к письму различными служебными программами.

Анализ этих заголовков может помочь разобраться в том, почему письмо попадает в СПАМ или отследить, кто его отправил, выяснить причины задержки писем и помочь в решении других проблем.

Как получить технический заголовок

Outlook Express или Windows Live Mail
Microsoft Outlook 2007 или более ранней версии
Microsoft Outlook 2010 и 2013
Mozilla Thunderbird
The Bat!
Apple Mail
Яндекс.Почта
Gmail
Mail.ru

Какую информацию можно получить из технических заголовков

Стандартные служебные заголовки электронной почты
X-заголовки
Подробнее о заголовке Received

Как получить технический заголовок

Outlook Express или Windows Live Mail:

Выберите письмо правой кнопкой мыши и в появившемся контекстном меню выберите пункт «Свойства», в открывшемся окне перейдите на вкладку «Подробно».

Microsoft Outlook 2007 или более ранней версии:

Выберитеь письмо правой кнопкой мыши и в появившемся контекстном меню выберите пункт «Параметры сообщения».

 

Microsoft Outlook 2010 и 2013:

Открыть письмо (дважды щелкнув мышью), в открывшемся окне перейти в меню «Файл», нажмите «Свойства» (заголовки письма представлены в поле «Заголовки Интернета»).

 

Mozilla Thunderbird:

Выберите письмо и перейдите к меню «Вид», в нем найдите пункт «Исходный текст» (или нажмите комбинацию клавиш Ctrl+U).

The Bat!

Выберите письмо и перейдите к меню «Специальное», в нем найдите пункт «Исходный текст письма» (или нажмите клавишу F9).

Apple Mail:

Выберите письмо и перейдите к меню «Вид» - «Сообщение» и выберите пункт «Длинные заголовки».

Яндекс.Почта:

Выберите письмо, далее найдите меню «подробнее» и перейдите по ссылке «Свойства письма».

Gmail:

Выберите письмо и перйдите к меню «Еще» (стрелка-треугольник вниз), далее выберите пункт «Показать оригинал».

Mail.ru

Выберите письмо и перйдите к меню «Еще», далее выбрать пункт «Служебные заголовки».

 

Какую информацию можно получить из технических заголовков

Стандартные служебные заголовки электронной почты:

Apparently-To: Сообщения с большим количеством получателей иногда имеют длинный список заголовков вида "Apparently-To: rth@bieberdorf.edu" (по одной строчке на получателя). Эти заголовки нетипичны для нормальных сообщений, они обычно являются признаком массовой рассылки.

Cc: (CarbonCopy - копия) Этот заголовок является расширением поля "To:", он указывает дополнительных получателей письма. Некоторые почтовые программы рассматривают «To:» и «Cc:» по-разному, генерируя ответ на сообщение.

Bcc: (BlindCarbonCopy - слепая копия) Если вы видите этот заголовок в полученном сообщении - значит, что-то не так. Этот заголовок используется так же, как и "Cc:", но не появляется в списке заголовков. Основная идея этого заголовка заключается в возможности посылать копии письма людям, которые не хотят получать ответы или появляться в заголовках. Слепые копии очень популярны среди спамеров, поскольку многие неопытные пользователи оказываются сбитыми с толку, получив письмо, которое вроде бы не было им адресовано.

Content-Transfer-Encoding: MIME-заголовок, не имеет отношения к доставке почты, отвечает за то, как программа-получатель интерпретирует содержимое сообщения.

MIME — стандартный метод помещения в письмо нетекстовой информации (см. в Википедии).

Content-Type: MIME-заголовок, сообщающий почтовой программе о типе данных, хранящихся в сообщении.

Date: Назначение этого заголовка очевидно: он указывает дату создания и отправления сообщения. Если этот заголовок не был создан на компьютере отправителя, то, возможно, его добавит почтовый сервер или какой-нибудь другой компьютер, через который пройдет письмо. Не стоит принимать на веру из-за возможности подделки или ошибки во времени у отправителя.

From (без двоеточия) — конвертный заголовок «From» формируется на базе информации, полученной от команды MAILFROM. Например, если отправляющая машина говорит MAILFROM: 123@123.com, получающая машина сгенерирует строчку следующего вида: «From 123@123.com»

Важно! Конвертный заголовок создается не отправителем сообщения, а компьютером, через который прошло это сообщение.

From: (с двоеточием) информация об адресе отправителя, указанная самим отправителем.

Message-Id: — более или менее уникальный идентификатор, присваиваемый каждому сообщению, чаще всего первым почтовым сервером, который встретится у него на пути. Обычно он имеет форму «blablabla@domen.ru», где «blablabla» может быть абсолютно чем угодно, а вторая часть — имя машины, присвоившей идентификатор. Иногда, но редко, «blablabla» включает в себя имя отправителя.

Если структура идентификатора нарушена (пустая строка, нет знака @) или вторая часть идентификатора не является реальным интернет-сайтом, значит письмо — вероятная подделка.

In-Reply-To: Заголовок Usenet, который иногда появляется и в письмах. "In-Reply-To:" указывает идентификатор некоего сообщения, на которое данное сообщение является ответом. Этот заголовок нетипичен для писем, если только письмо действительно не является ответом на сообщение в Usenet. Спаммеры иногда им пользуются, возможно, чтобы обойти фильтрующие программы.

Organization: Свободный заголовок, обычно содержащий название организации, через которую отправитель сообщения получает доступ к сети.

Priority: Свободный заголовок, устанавливающий приоритет сообщения. Большинство программ его игнорируют. Часто используется спаммерами в форме «Priority: urgent» с целью привлечения внимания к сообщению.

Received: Содержит информацию о прохождении письма через почтовый сервер. Анализируя заголовок «Received:», мы видим, кто его отправил и какой путь оно проделало, попав в наш ящик.

Reply-To: — указывает адрес, на который следует посылать ответы. Несмотря на то, что этот заголовок имеет множество способов цивилизованного применения, он также используется спаммерами для отведения гневных ответов получателей спама от себя.

Return-Path: — адрес возврата в случае неудачи, когда невозможно доставить письмо по адресу назначения. Обычно совпадает с MAILFROM. Но может и отличаться.

Sender: Нетипичен для писем (обычно используется «X-Sender:»), иногда появляется в копиях Usenet-сообщений. Предполагает идентификацию отправителя, в случае с Usenet-сообщениями является более надежным, чем строчка «From:».

Subject: — тема сообщения.

To: — адрес получателя (или адреса). При этом поле «To:» может не содержать адреса получателя, так как прохождение письма базируется на конвертном заголовке «To», а не на заголовке сообщения «To:».

Префикс Resent - может быть добавлен при пересылке письма. Например, «Resent-From:» или «Resent-To:». Такие поля содержат информацию, добавленную тем, кто переслал сообщение:

Поле «From:» содержит адрес первоначального отправителя. «Resent-From:» — адрес переславшего.

 

X-заголовки

Это отдельный набор заголовков, начинающихся с заглавной X с последующим дефисом. Существует договоренность, согласно который X-заголовки являются нестандартными и добавляются только для дополнительной информации. Поэтому нестандартный информативный заголовок должен иметь имя, начинающееся на «X-«. Эта договоренность, однако, часто нарушается.

X-Confirm-Reading-To: — заголовок запрашивает автоматическое подтверждение того, что письмо было получено или прочитано. Предполагается соответствующая реакция почтовой программы, но обычно он игнорируется.

X-Errors-To: — заголовок указывает адрес, на который следует отсылать сообщения об ошибках. Он реже соблюдается почтовыми серверами.

X-Mailer: или X-mailer: — свободное поле, в котором почтовая программа, с помощью которой было создано данное сообщение, идентифицирует себя (в рекламных или подобных целях). Поскольку спам часто рассылается специальными почтовыми программами, это поле может служить ориентиром для фильтров.

X-Priority: — еще одно поле для приоритета сообщения.

X-Sender: — почтовый аналог Usenet-заголовка «Sender:». Предполагалось, что он будет доставлять более надежную информацию об отправителе, чем поле «From:», однако в действительности его так же легко подделать.

X-UIDL: — уникальный идентификатор, используемый в POP-протоколе при получении сообщений с сервера. Обычно он добавляется между почтовым сервером получателя и собственно почтовой программой получателя. Если письмо пришло на почтовый сервер уже с заголовком «X-UIDL:», это скорее всего спам — очевидной выгоды в использовании заголовка нет, но спаммеры иногда его добавляют.

 

Подробнее о заголовке Received:

Заголовок "Received" имеет ключевую роль при анализе письма, так как он содержит информацию, полученную получающим узлом от отправляющего. Отправитель, например, может замаскировать свой спам под обычное безобидное письмо указав в HELO (SMTP-команда, идентифицирующая машину отправителя) некорректную информацию о себе.

Рассмотрим этот вариант подробнее: машина spamer.com, IP-адрес которой 202.132.11.48, посылает сообщение машине mail.simpleuser.ru, но пытается ее обмануть, отправив команду HELOfbi.gov. В таком случае заголовок "Received:" получится следующим:

Received: from fbi.gov ([202.132.11.48]) by mail.simpleuser.ru (8.8.5)...

То есть по заголовку видно, что компьютер mail.simpleuser.ru протоколирует настоящий IP-адрес отправителя. В таком случае, легко можно убедиться, действительно ли IP принадлежит fbi.gov или у письма был другой отправитель.

Многие современные почтовые программы умеют делать обратный запрос DNS. Если mail.simpleuser.ru использует подобное программное обеспечение, то строчка "Received" будет начинаться примерно так:

Received: from fbi.gov (spamer.com[202.132.11.48]) by mail.simpleuser.ru...

В таком случае подделку будет обнаружить совсем просто.

Также спамер может попробовать замаскировать свое письмо путем добавления ложных заголовков "Received:" перед отправлением письма. Например, если подобным образом желает схитрить наш старый знакомый spamer.com, то заголовки "Received:" могут выглядеть так:

Received: from fbi.gov ([202.132.11.48]) by mail.simpleuser.ru (8.8.5)...

Received: from yourPC ([1.1.1.1]) by meil.ry (8.8.3/8.7.2)...

Received: reliablesource, 100% non-spam

Так как заголовки "Received:" всегда добавляются сверху, то поддельные строки обязательно окажутся внизу списка. Это означает, что, читая строки сверху вниз, отслеживая историю сообщения, можно спокойно отбросить все, что находится ниже первой поддельной строки. Даже если все последующие строчки "Received:" выглядят правдоподобно, они, несомненно, являются подделкой.

 

Полезные ссылки:

Инструмент для анализа почтовых заголовков;

Справка от GMail;

Стандарты.

(7 голосов)

Если в статье вы не нашли ответ на свой вопрос или обнаружили ошибку, пожалуйста, сообщите нам в комментарии.
Ваш отзыв поможет нам улучшить Справочный Центр
Комментарий к статье появится после проверки модератором
 
 
Если вам нужна помощь, пожалуйста, напишите запрос из своей Панели управления panel.infobox.ru
Имя:
E-mail:
Комментарий:
© 2002—2017 ООО «Национальные телекоммуникации»