en-têtes de courrier électronique smtp: retour-chemin vs. expéditeur vs. De
Merci de m'aider à faire un peu d'ordre avec les en-têtes d'e-mail.
que signifie chacune des expressions suivantes: Return-path, sender, from.
la question est posée dans le contexte d'une application de réception d'e-mail (disons un posterous clone).
- Ce qui peut être facilement truquées?
- que peut-on Vérifier?
- dans quelles circonstances les trois ou deux d'entre eux diffèrent-ils?
3 réponses
d'après mon expérience -
est la personne qui a écrit l'e-mail. Il peut être défini par l'utilisateur du logiciel de messagerie.
Return-Path est l'adresse où les messages de rebond (notifications non livrables, etc.) doivent être livrés. Il peut être défini par le serveur de messagerie d'envoi ou de réception, ou parfois par le logiciel de messagerie de l'utilisateur. Pour un message normal, il est généralement le même que l'adresse De l'expéditeur. Certains messages (souvent générés par le système messages) peuvent utiliser un chemin de retour différent, et les messages de rebond généralement laisser vide.
L'expéditeur est la personne qui a envoyé l'e-mail, si différent de celui de ("Envoyé par Expéditeur au nom de "). Parfois, cela est défini par le logiciel de messagerie de l'utilisateur, et parfois par son serveur de messagerie. Ceci, s'il est présent, doit être différent de L'adresse de.
Ces en-têtes peuvent tous être falsifiée assez facilement, donc la vérification est presque terminée.
Toutefois, si le domaine d'envoi a un enregistrement SPF, vous vérifier les en-têtes reçus par rapport à la liste des serveurs de messagerie approuvés pour ce domaine. Cela vous indiquera au moins si oui ou non le message provient réellement de ce domaine, mais cela ne garantit pas que l'utilisateur particulier l'a envoyé (il pourrait être mystifié par un autre utilisateur sur le même domaine). De plus, tous les domaines ne publient pas des notices SPF, donc ce n'est pas toujours option.
L'en-tête "From" il s'agit de la personne d'où provient le message. C'est qui le destinataire de l'email du client doit afficher le message.
l'en-tête Return-Path spécifie où les réponses (ou bounces/NDR) doivent être livrées. Cela peut être différent de l'adresse" de " dans le cas des listes de diffusion, et de nombreux messages automatisés où des rebonds sont envoyés à un système qui supprime les adresses non livrables.
L'expéditeur peut être considérée comme un plus version spécifique de l'en-tête. Si le message a été émis par quelqu'un ou quelque autre système que le véritable adresse. Des exemples peuvent être gmail lorsqu'il est configuré pour un domaine non hébergé par Gmail. Dans ce cas, L'en-tête From contiendra "you@yourdomain.com', mais L'expéditeur sera 'someuser@gmail.com". De nombreux clients de messagerie rendent maintenant cela comme 'someuser@gmail.com au nom de you@yourdomain.com". L'en-tête "Sender" doit être utilisé pour l'authentification du courrier (SPF / DKIM) depuis c'est le système qui provient en fait le message.
j'ajouterais que dans notre expérience, vous ne pouvez pas vérifier qui envoie le message des en-têtes.
pour cette raison beaucoup de gens vont implémenter des adresses jetables (exemple+uniquecode@example.com) et de donner à chaque message sortant une adresse à envoyer comme un moyen de valider qui envoie le message. Certains autres utilisateurs inclure quelque chose dans la ligne objet.
Le Posterous FAQ suggèrent qu'ils font quelque chose en plus de faire je suis sûr que vous êtes qui vous dites être. Vous pouvez par exemple suivre L'IP/DNS du serveur qui délivre le courrier électronique à votre serveur de messagerie la première fois et ensuite demander à un utilisateur de confirmer si vous soupçonnez qu'il ya un problème. Bien que son simple de falsifier les en-têtes de ses pas facile de recevoir leur courrier entrant.