Investigez un e-mail și în antetele lui toate hopurile (Primit intrări) sunt adrese private (10.X.X.X). Inițial am crezut că acest lucru însemna pur și simplu că e-mailul provine de la același server de e-mail (deci nu a fost nevoie să facă un hop public). Cu toate acestea, după ce am contactat furnizorul (Intermedia), m-au informat că sursa este determinată dintr-o altă secțiune a antetului (x-sursa-ip).
După ce am făcut câteva cercetări mi se pare că dacă adresa IP găsită sub x-sursa-ip nu se găsește nici undeva în original (Primit) hamei, apoi x-sursa-ip a fost falsificat. Sau este cumva posibil ca sursa originală să fie înăuntru x-sursa-ip si nu in hamei? Antetele de e-mail sunt mai jos.
Primit: de la X-E5-VA-1.x.domain.local (10.219.12.138) de
X-E5-VA-1.x.domain.local (10.219.12.138) cu Microsoft SMTP
ID server (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521)
15.1.2375.17 prin Transport cutie poștală; Vineri, 10 Dec 2021 09:10:41 -0500
Primit: de la X-E5-VA-2.x.domain.local (10.219.12.140) de
X-E5-VA-1.x.domain.local (10.219.12.138) cu Microsoft SMTP
ID server (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521)
15.1.2375.17; Vineri, 10 Dec 2021 09:10:40 -0500
Primit: de la x-va-1-2.serverpod.net (10.216.74.75) de
X-E5-VA-2.x.domain.local (10.219.12.141) cu Microsoft SMTP
ID server (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521)
15.1.2375.17 prin Transport Frontend; Vineri, 10 Dec 2021 09:10:40 -0500
Primit: de la x-va-1-3.serverpod.net (x-va-1-3.serverpod.net [10.216.76.86])
(folosind TLSv1.3 cu cifrul TLS_AES_256_GCM_SHA384 (256/256 biți)
schimb de chei ECDHE (P-256) semnătură server RSA-PSS (2048 biți) digest server SHA256)
(Nu este solicitat certificat de client)
de x-va-1.serverpod.net (Postfix) cu ID-ul ESMTPS BA7FE100005
pentru <[email protected]>; Vineri, 10 decembrie 2021 06:10:40 -0800 (PST)
Primit: de la out.x.serverdata.net (necunoscut [10.219.12.138])
(folosind TLSv1.2 cu cifrul ECDHE-RSA-AES256-SHA384 (256/256 biți))
(Nu este solicitat certificat de client)
de x-va-1.serverpod.net (Postfix) cu ID-ul ESMTPS 95881100004
pentru <[email protected]>; Vineri, 10 decembrie 2021 06:10:40 -0800 (PST)
Primit: de la X-E5-VA-1.x.domain.local (10.219.12.138) de
X-E5-VA-1.x.domain.local (10.219.12.138) cu Microsoft SMTP
ID server (versiunea=TLS1_2, cifr=TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521)
15.1.2375.17; Vineri, 10 Dec 2021 09:10:40 -0500
Primit: de la X-E5-VA-1.x.domain.local ([10.219.12.138]) de
X-E5-VA-1.x.domain.local ([10.219.12.138]) cu mapi id
15.01.2375.017; Vineri, 10 Dec 2021 09:10:40 -0500
De la: mycompany.com <[email protected]>
Către: First Last <[email protected]>
Subiect: Contul tau este programat pentru incetare!!!
Subiect: Contul dvs. este programat pentru reziliere!!!
Index de fire: AQHX7c+dWsv6PH5mQUqK59FFKaujxQ==
Data: Vineri, 10 Dec 2021 14:10:40 +0000
ID-ul mesajului: <[email protected]>
Limba de acceptare: ro-SUA
Limbă de conținut: ro-US
X-MS-Atașează:
X-MS-TNEF-corelator:
dkim-semnătură: v=1; a=rsa-sha256; c=simplu/simplu; d=bankomatchik.ru; s=dkim;
t=1639144993; bh=JRc5i07SeJJi7IKmf4kk7YS+u37nZRSWTa9JN4q+GDw=;
h=Către:Subiect:Data:De la:De la;
b=VlYQOrD2H6zI5UnWGneQEyqNAPMa9AYQVNeOi+893IPfLfpaEq4ut7VUj338N1UQc
U26YJl80XrFXtwxQ8QPpTmwJpMhg9eeEYN9FkgxR8eqWIbCtwZCbJkxj1WrMIML9V3
FuBXeDZOD60tMaucFBp6PgRy6snRakQjs7E4JJr8=
Scorul x-cmae: 0
x-cmae-analiza: v=2,2 cv=DMz/22Fb c=1 sm=1 tr=0
a=uUzqdBFmwskn7PK6BrDENA==:117 a=uUzqdBFmwskn7PK6BrDENA==:17
a=IOMw9HtfNCkA:10 a=G7ipKTrHp8AA:10 a=r77TgQKjGQsHNAKrUKIA:9 a=07qlFErKAAAA:8
a=EQh1O3JVudHgXb9kck8A:9 a=QEXdDO2ut3YA:10 a=1O92t69KAAAA:8
a=lpIj0mRyDt8dnHIlFYYA:9 a=lNjrS4_qGLc71qEN:21 a=m7PwTm9v_g-j7EjRtLGg:22
a=Ol1NtEL7n3yPw0winTxy:22
x-source-ip: 46.36.222.102
x-spf-status: trece
x-rdns-status: trece
spam-stopper-id: cd2e25c5-1d15-4d0f-8a52-bc5fceb90982
x-spam-categoria: LEGIT
x-spam-reasons: {'verdict': 'curat', 'spamcause':
'gggruggvucftvghtrhhoucdtuddrgedvuddrkedvgdeiudcutefuodetggdotefrodftvfcurfhrohhfihhlvgemucfkpffvgfftoffgfffktedpggftfghnshhusghstghrihgsvgenuceurghilhhouhhtmecufedttdenucgoufhushhpvggtthffohhmrghinhculdegledmnecujfgurhepvffufffhkfggtgfgsegrkehjphdttdejnecuhfhrohhmpedfphgrghgvjhhonhgvshdrtghomhdfuceoshhuphhpohhrthessggrnhhkohhmrghttghhihhkrdhruheqnecuggftrfgrthhtvghrnhepudevjeehlefhhfehkeeifeefveegkedujedtkeffjeelfeduvddvffeifeetffeinecuffhomhgrihhnpeifvggsrdgrphhpnecukfhppeegiedrfeeirddvvddvrddutddvnecuvehluhhsthgvrhfuihiivgeptdenucfrrghrrghmpehinhgvthepgeeirdefiedrvddvvddruddtvddpmhgrihhlfhhrohhmpehsuhhpphhorhhtsegsrghnkhhomhgrthgthhhikhdrrhhupdhrtghpthhtohepphhmohhrghgrnhesphgrghgvjhhonhgvshdrtghomh',
'intern': ['[email protected]', 'From="mycompany.com"
<[email protected]>'], 'elapsed': '17ms'}
x-aes-categoria: LEGIT
scor x-spam: 49
x-ms-exchange-transport-endtoendlatency: 00:00:00.1949891
x-ms-exchange-procesat-de-bccfoldering: 15.01.2375.017
x-armorblox-procesat: DA
x-spf-from-status: not_checked
x-dkim: OpenDKIM Filter v2.6.8 mail.microgenius.ru 5A7E599FB6
x-originar-ip: [10.232.212.161]
Tip de conținut: mai multe părți/alternativ;
boundary="_000_50ef8cf96073a3a05bd6a6b1f8985875bankomatchikru_"
Versiunea MIME: 1.0
Spam-Stopper-Id: 2f55156e-4535-43bc-8950-d9b2bb44a4ba
Spam-Stopper-v2: Da
X-Armorblox-Processed: DA
Calea de întoarcere: [email protected]
X-MS-Exchange-Organization-Network-Message-Id: 8ad1c7e6-d9ca-43b1-292b-08d9bbe6d919
X-MS-Exchange-Organization-AuthSource: X-E5-VA-2.x.domain.local
X-MS-Exchange-Organization-AuthAs: Anonim
X-MS-Exchange-Procesat-de-BccFoldering: 15.01.2375.017
