Proč mi chodí maily od lidí, kteří mi je neposlali

Velmi oblíbenou metodou virů šířících se e-maily je posílání e-mailů, které vypadají, jako by došly od někoho jiného. Není to pro ně nic složitého, ale řadu uživatelů tím zmatou. Jak to tedy funguje?
Samotná e-mailová zpráva nehledě na obsažené soubory, obrázky či barevné formátování putuje internetem jako běžný čitelný text ve speciálním formátu. Tento formát je již řadu let standardizován a mezi jeho přednosti patří například používání srozumitelných slov pro označování jednotlivých parametrů. I když tedy nemáte grafický program pro čtení mailů, dokážete zprávy přečíst a pochopit i v jejich původním textovém formátu.

Tento formát má v základu jednu důležitou vlastnost, můžete tam totiž uvést adresu odesílatele, která může být jiná než vaše. Napíšete tam například odesílatele From:prezident@hrad.cz a e-mail bude potom vypadat, jako by jej poslal samotný prezident. Spousta e-mailových serverů, které mají na starosti odesílání pošty, kontroluje, zda se shoduje adresa odesílatele s těmi, které server může odesílat. Často vás tedy e-mailový server při takovém pokusu odmítne. Viry to ale řeší vlastní miniaturní verzí e-mailového serveru, který tuto kontrolu záměrně nemá a tak si posílají maily jménem libovolného člověka.

Maily nejsou tím, čím se zdají být

Ukážeme si modelový příklad, který může spáchat téměř kdokoli. Viry pochopitelně nejdou touto uživatelskou cestou, ale e-mail si vytvoří samy po svém, ve výsledku tedy u příjemce to ale vyjde nastejno.

Například v Outlook Expressu si může kdokoli nastavit výchozí profil na jméno Václav Klaus s emailovou adresou prezident@hrad.cz. Sice si žádné e-maily odeslané zpět na tuto adresu nepřečte, o to mu ale vůbec nejde. Pak nastaví POP3 a SMTP server jako obvykle, přihlašovací jméno je nezávislé na e-mailové adrese.

Nyní odešle běžnou cestou e-mail, například tento:

Klepněte pro větší obrázek

Do schránky pak uživateli dojde e-mail, který napohled vypadá, že mu jej poslal skutečně pan prezident:

Klepněte pro větší obrázek

Protože je ale příjemce nevěřící Tomáš, pro jistotu si zkontroluje, zda je odesílatel skutečně tím, za koho se vydává. Nejjednodušší je podívat se do detailního pohledu na hlavičku e-mailu, tedy na ten původní čistě textový formát. V Outlooku je to například v nabídce Zobrazit/Možnosti v části Internetová záhlaví (zde Internet headers):

Klepněte pro větší obrázek

To, co nás tam zajímá:

Received: from itb0969 (mail.cpress.cz [80.95.114.161]) by mail05.cpress.cz with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2656.59)

Vidíme, že odesílatel je sice vyplněn jako Václav Klaus, ale zpráva dorazila z počítače itb0969 přes výchozí mailserver mail.cpress.cz na cílový server mail05.cpress.cz. Takže to asi neposlal Vašek, ale někdo, kdo sedí na tom uvedeném počítači – itb0969 a zprávu poslal přes mail.cpress.cz a zpráva ani neputovala internetem, jen po lokální síti.

Poslal jsi mi vira?

Nyní se podívejme na případ z praxe. Podobnou metodu využívá dnes velmi rozšíření červ Ganda a tak jsem během psaní článku dostal například následující zprávu:

Klepněte pro větší obrázek

Všimněte si, že antivirová ochrana již zavirovanou přílohu eliminovala.

Martin je zkušený programátor a viry nespouští, je tedy opravdu možné, že se nakazil a měl bych ho proto upozornit? Podívám se pro jistotu do hlavičky zprávy a tam najdu toto (tučně jsem zvýraznil pár důležitých věcí):

Received: from fw7.inet.cpress.cz (192.168.3.1 [192.168.3.1]) by mail05.cpress.cz with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2656.59)
id 2781C67G; Tue, 15 Apr 2003 14:00:03 +0200
Received: from [195.146.100.42] (helo=smtpb-out-1.tiscali.cz)
by fw7.inet.cpress.cz with esmtp (Exim 4.10)
id 195P8Z-0002qg-00
for tomas.holcik@cpress.cz; Tue, 15 Apr 2003 14:02:07 +0200
Received: from WinProxy.anywhere (s-0.PonM-160.net.tiscali.cz [195.146.108.118])
by smtpb-out-1.tiscali.cz (Postfix) with SMTP id 9863FC7057
for <tomas.holcik@cpress.cz>; Tue, 15 Apr 2003 13:59:40 +0200 (MEST)
Received: from 172.16.111.12 by 172.16.100.1 (WinProxy); Tue, 15 Apr 2003 13:46:08 +0100
To: <tomas.holcik@cpress.cz>
From: <martin.jaluvka@cpress.cz>
Subject: Disgusting propaganda.
MIME-Version: 1.0

A dále to pokračuje popisem samotné zprávy…

Ve zprávě je několik částí začínajících Received:. Každý uzel, který tuto zprávu přijal a přeposlal dál, si na začátek přidal vlastní Received cestu. Proto můžeme vysledovat, kudy zpráva putovala. Nejprve byla vytvořena na počítači s IP adresou 172.16.111.12, putovala přes WinProxy do SMTP serveru Tiscali, aby nakonec prošla naším firemním firewallem na náš Exchange server.

Z toho lze usoudit, že zprávu poslal někdo připojený přes Tiscali, což Martin nebude, ten sedí v práci a maily posílá přes naše servery.

Jak ověřit, že jsem to skutečně já?

Jak vidíte, poslat e-mail jménem někoho jiného je až hloupě jednoduché a opatrnost je na místě. Naštěstí podobné podvrhy nejsou moc časté a hrubý odhad věrohodnosti lze získat pohledem na kompletní hlavičku e-mailu. To často podporují i webové emailové služby pod odkazem na zdroj zprávy, zdrojový kód zprávy a podobně. 

Protože pohled na hlavičku je skutečně jen hrubým odhadem (těžko třeba zjistíte, že vám to posílá franta@kruzitka.cz a ne ve zprávě uvedený karel@kruzitka.cz - jejich hlavička bude stejná). Právě kvůli problémům s ověřením pravosti je tak oblíbené téma elektronického podpisu a osobních certifikátů. S nimi totiž dokážete e-mail podepsat tak, že podobné podvrhy budou nemyslitelné. Každý si bude moci ověřit, že jste to skutečně vy, kdo tu zprávu poslal. Pokud vás to tedy děsí, jděte do elektronického podpisu.

Nevěřte ničemu a zvláště ne virům

Pokud vám někdo z Čech posílá anglicky psaný e-mail s přílohou, je to na 99 procent virus. Viry ale ví, že příjemci často upozorní adresáta na jeho zavirovaný počítač, a ten díky této zpětné vazbě rychle virus odstraní. Proto volí jméno odesílatele jiné, aby tuto zpětnou identifikaci co nejvíce ztížily. V případě pochybností tedy využívejte všechny informace v došlé zprávě, ne jen to čistě orientační jméno odesílatele.

Diskuze (21) Další článek: IPEX nabízí řešení pro nefunkční FTP na ADSL

Témata článku: Microsoft, Internet, Výchozí profil, Opatrnost, Mail, E-mailová adresa, From, President, Chod, Propaganda, Podobný vir, Firemní firewall


Určitě si přečtěte

Astronomové objevili daleko za Plutem objekt s extrémní dráhou. Může ukazovat na existenci planety Devět

Astronomové objevili daleko za Plutem objekt s extrémní dráhou. Může ukazovat na existenci planety Devět

** Astronomové objevili daleko za Neptunem těleso 2015 TG387 ** Okolo Slunce se pohybuje po extrémně protáhlé dráze ** Jeho dráha může ukazovat na existenci planety Devět

Petr Kubala | 10

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

Porno insider: Jak virtuální realita vstupuje do filmů pro dospělé

** Pornografie údajně představuje třetinu internetové obsahu a je technologický tahounem ** Do erotického obsahu postupně zasahuje i virtuální realita ** Kromě vizuálního vjemu se pracuje také na virtuálním uspokojení toho hmatového

Jan Dudek | 29

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

PortraitPro: Vyzkoušeli jsme program, který prý udělá z každé „žáby“ krasavici

** V digitálním světě nemůžete věřit všemu ** Nová generace 3D fotoeditorů zvládne divy ** Vyzkoušeli jsme PortraitPro, který vám změní i kontaktní čočky

Jakub Čížek | 10

Dell XPS 13: Když vás ostatní doženou až za tři roky

Dell XPS 13: Když vás ostatní doženou až za tři roky

** XPS 13 nastartoval trend notebooků bez rámečků ** Letošní model kompletně přechází na USB-C ** Navzdory malému tělu se řadí výkon ke špičce

Tomáš Holčík | 34


Aktuální číslo časopisu Computer

Jak vytvořit a spravovat vlastní web

Velký test herních klávesnic a DVB-T2 tunerů

Vše o formátu RAW

Vybíráme nejlepší základní desku