Simples. Editando o From:
cabeçalho enquanto envia o email. Isso é conhecido como "falsificação de email" . O cabeçalho From: é facilmente editável se você estiver enviando correio via PHP ou algo assim, sem truques sofisticados. O que não é editável, porém, é o endereço IP / nome de domínio do site de onde ele se originou. Se você verificar o email em texto sem formatação (no Gmail, vá para o menu ao lado do botão de resposta e "mostre a mensagem original"), os Received:
cabeçalhos transportarão todas as informações sobre o caminho (quanto mais fundo Received:
estiver o cabeçalho, mais adiante no cadeia de e-mail). Observe que um email que passa por vários saltos também pode ter alguns dos cabeçalhos mais profundos falsificados. Você precisa ir para baixo, vendo em quais cabeçalhos (ou seja, sites) você confia.Received: from abc.com (IP address) by something.google.com (IP)
(supondo que você tenha o Gmail - caso contrário by
, será diferente). Agora, este cabeçalho foi escrito pela by
parte. Comece no topo, os primeiros Received:
cabeçalhos não terão um from
/ by
. Encontre o primeiro com esses. Sua by
serão pertencente ao seu provedor de e-mail - que você confia. Veja se você confia no from
e, se o fizer, vá para o próximo Received:
cabeçalho (no qual você confia agora) e assim por diante. Se você não confiar em um cabeçalho intermediário, todos os itens abaixo não serão confiáveis - eles podem ter sido falsificados.
No entanto, o Gmail geralmente detecta falsificações e coloca uma espécie de nota de rodapé "abc@def.com via ghi@jkl.com" no email. Observe que há usos perfeitamente legítimos de falsificação de email - muitas listas de email falsificam emails para uma experiência mais suave. O mesmo acontece com certos fóruns / quadros de mensagens. Aqui, eles enviam o e-mail para parecer que veio do pôster original. O Reply-To:
cabeçalho está definido como list / webapp / qualquer ID de email, portanto, responder a ele, por padrão, vai para a lista (/ etc). A lista pode, então, lidar com ela como achar melhor - pode verificar se há spam, talvez suspender a moderação etc. é exatamente o que você queria - poder ter discussões por email sem usar "Responder a todos"
O que alguns spoofers "legítimos" fazem é definir o Sender:
cabeçalho para seu próprio ID. Supõe-se que isso significa "Enviado por Sender
em nome de From
". Observe que a presença de um Sender:
cabeçalho não significa nada quando se trata de falsificação "ilegítima" - esse cabeçalho também é falsificado. Como eu disse, a única maneira de verificar é através dos Received
cabeçalhos.