Proč mi chodí maily od lidí, kteří mi je neposlali

Velmi oblíbenou metodou virů šířících se e-maily je posílání e-mailů, které vypadají, jako by došly od někoho jiného. Není to pro ně nic složitého, ale řadu uživatelů tím zmatou. Jak to tedy funguje?
Samotná e-mailová zpráva nehledě na obsažené soubory, obrázky či barevné formátování putuje internetem jako běžný čitelný text ve speciálním formátu. Tento formát je již řadu let standardizován a mezi jeho přednosti patří například používání srozumitelných slov pro označování jednotlivých parametrů. I když tedy nemáte grafický program pro čtení mailů, dokážete zprávy přečíst a pochopit i v jejich původním textovém formátu.

Tento formát má v základu jednu důležitou vlastnost, můžete tam totiž uvést adresu odesílatele, která může být jiná než vaše. Napíšete tam například odesílatele From:prezident@hrad.cz a e-mail bude potom vypadat, jako by jej poslal samotný prezident. Spousta e-mailových serverů, které mají na starosti odesílání pošty, kontroluje, zda se shoduje adresa odesílatele s těmi, které server může odesílat. Často vás tedy e-mailový server při takovém pokusu odmítne. Viry to ale řeší vlastní miniaturní verzí e-mailového serveru, který tuto kontrolu záměrně nemá a tak si posílají maily jménem libovolného člověka.

Maily nejsou tím, čím se zdají být

Ukážeme si modelový příklad, který může spáchat téměř kdokoli. Viry pochopitelně nejdou touto uživatelskou cestou, ale e-mail si vytvoří samy po svém, ve výsledku tedy u příjemce to ale vyjde nastejno.

Například v Outlook Expressu si může kdokoli nastavit výchozí profil na jméno Václav Klaus s emailovou adresou prezident@hrad.cz. Sice si žádné e-maily odeslané zpět na tuto adresu nepřečte, o to mu ale vůbec nejde. Pak nastaví POP3 a SMTP server jako obvykle, přihlašovací jméno je nezávislé na e-mailové adrese.

Nyní odešle běžnou cestou e-mail, například tento:

Klepněte pro větší obrázek

Do schránky pak uživateli dojde e-mail, který napohled vypadá, že mu jej poslal skutečně pan prezident:

Klepněte pro větší obrázek

Protože je ale příjemce nevěřící Tomáš, pro jistotu si zkontroluje, zda je odesílatel skutečně tím, za koho se vydává. Nejjednodušší je podívat se do detailního pohledu na hlavičku e-mailu, tedy na ten původní čistě textový formát. V Outlooku je to například v nabídce Zobrazit/Možnosti v části Internetová záhlaví (zde Internet headers):

Klepněte pro větší obrázek

To, co nás tam zajímá:

Received: from itb0969 (mail.cpress.cz [80.95.114.161]) by mail05.cpress.cz with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2656.59)

Vidíme, že odesílatel je sice vyplněn jako Václav Klaus, ale zpráva dorazila z počítače itb0969 přes výchozí mailserver mail.cpress.cz na cílový server mail05.cpress.cz. Takže to asi neposlal Vašek, ale někdo, kdo sedí na tom uvedeném počítači – itb0969 a zprávu poslal přes mail.cpress.cz a zpráva ani neputovala internetem, jen po lokální síti.

Poslal jsi mi vira?

Nyní se podívejme na případ z praxe. Podobnou metodu využívá dnes velmi rozšíření červ Ganda a tak jsem během psaní článku dostal například následující zprávu:

Klepněte pro větší obrázek

Všimněte si, že antivirová ochrana již zavirovanou přílohu eliminovala.

Martin je zkušený programátor a viry nespouští, je tedy opravdu možné, že se nakazil a měl bych ho proto upozornit? Podívám se pro jistotu do hlavičky zprávy a tam najdu toto (tučně jsem zvýraznil pár důležitých věcí):

Received: from fw7.inet.cpress.cz (192.168.3.1 [192.168.3.1]) by mail05.cpress.cz with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2656.59)
id 2781C67G; Tue, 15 Apr 2003 14:00:03 +0200
Received: from [195.146.100.42] (helo=smtpb-out-1.tiscali.cz)
by fw7.inet.cpress.cz with esmtp (Exim 4.10)
id 195P8Z-0002qg-00
for tomas.holcik@cpress.cz; Tue, 15 Apr 2003 14:02:07 +0200
Received: from WinProxy.anywhere (s-0.PonM-160.net.tiscali.cz [195.146.108.118])
by smtpb-out-1.tiscali.cz (Postfix) with SMTP id 9863FC7057
for <tomas.holcik@cpress.cz>; Tue, 15 Apr 2003 13:59:40 +0200 (MEST)
Received: from 172.16.111.12 by 172.16.100.1 (WinProxy); Tue, 15 Apr 2003 13:46:08 +0100
To: <tomas.holcik@cpress.cz>
From: <martin.jaluvka@cpress.cz>
Subject: Disgusting propaganda.
MIME-Version: 1.0

A dále to pokračuje popisem samotné zprávy…

Ve zprávě je několik částí začínajících Received:. Každý uzel, který tuto zprávu přijal a přeposlal dál, si na začátek přidal vlastní Received cestu. Proto můžeme vysledovat, kudy zpráva putovala. Nejprve byla vytvořena na počítači s IP adresou 172.16.111.12, putovala přes WinProxy do SMTP serveru Tiscali, aby nakonec prošla naším firemním firewallem na náš Exchange server.

Z toho lze usoudit, že zprávu poslal někdo připojený přes Tiscali, což Martin nebude, ten sedí v práci a maily posílá přes naše servery.

Jak ověřit, že jsem to skutečně já?

Jak vidíte, poslat e-mail jménem někoho jiného je až hloupě jednoduché a opatrnost je na místě. Naštěstí podobné podvrhy nejsou moc časté a hrubý odhad věrohodnosti lze získat pohledem na kompletní hlavičku e-mailu. To často podporují i webové emailové služby pod odkazem na zdroj zprávy, zdrojový kód zprávy a podobně. 

Protože pohled na hlavičku je skutečně jen hrubým odhadem (těžko třeba zjistíte, že vám to posílá franta@kruzitka.cz a ne ve zprávě uvedený karel@kruzitka.cz - jejich hlavička bude stejná). Právě kvůli problémům s ověřením pravosti je tak oblíbené téma elektronického podpisu a osobních certifikátů. S nimi totiž dokážete e-mail podepsat tak, že podobné podvrhy budou nemyslitelné. Každý si bude moci ověřit, že jste to skutečně vy, kdo tu zprávu poslal. Pokud vás to tedy děsí, jděte do elektronického podpisu.

Nevěřte ničemu a zvláště ne virům

Pokud vám někdo z Čech posílá anglicky psaný e-mail s přílohou, je to na 99 procent virus. Viry ale ví, že příjemci často upozorní adresáta na jeho zavirovaný počítač, a ten díky této zpětné vazbě rychle virus odstraní. Proto volí jméno odesílatele jiné, aby tuto zpětnou identifikaci co nejvíce ztížily. V případě pochybností tedy využívejte všechny informace v došlé zprávě, ne jen to čistě orientační jméno odesílatele.

Diskuze (21) | IPEX nabízí řešení pro nefunkční FTP na ADSL

Témata článku: Microsoft, Internet, President, E-mailová adresa, Podobný vir, Mail, Chod, Opatrnost, Propaganda, From

Určitě si přečtěte


Aktuální číslo časopisu Computer

Zachraňte nefunkční Windows

Jak nakupovat a prodávat kryptoměny

Otestovali jsme konvertibilní notebooky

Velký test 14 herních myší