一位同事收到了一封不请自来的电子邮件,内容如下:
亲爱的史密斯女士
请点击以下链接接收关于项目 Y 的文档 X。
你的,
夏娃没人
eve.nobody@company.com
我建议我的同事回复 Eve Nobody,并询问该电子邮件是否合法。请注意,我们输入了 Eve Nobody 的地址,因为可能会篡改回复标题。
我假设三种可能的情况:
在所有可能的情况下,我们只与 company.com 互动,而不与任何潜在的欺骗者互动。因此,我认为这种做法是安全的。
我的建议是否合理,还是有其他方面需要考虑?
对于上下文:
您专注于现有的人而不是帐户。考虑到 Eve 存在,但没有发送电子邮件,但有权访问她帐户的人发送了电子邮件,并且已输入电子邮件规则以防止您的电子邮件进入收件箱。您可以与该帐户进行对话,但不能与 Eve 本人对话。
所以我要补充:
在这两种情况下,如果您回复,您可能会回复恶意行为者而不是 Eve。
最好的回应是通过电子邮件以外的其他方式(电话、其他联系信息等)联系 Eve
如果你不认识夏娃,我认为没有理由跟进。
如果您与她声称代表的公司开展业务,您可以联系您在该公司使用的常规联系人。不要尝试直接使用该帐户,因为它可能不是看起来的那样(例如,被盗帐户或欺骗您的电子邮件客户端的欺骗技巧)。
您还可以检查邮件上的DMARC、SPF和/或DKIM以查看它是否合法。首先,检查 From 域是否正确。然后在消息中查找Authentication-Results标题。仅当它被您的电子邮件基础设施(您的公司用来接收邮件的系统)添加的标头包围时才信任它。它会告诉你 DMARC、SPF 和 DKIM 通过了什么。您正在寻找DMARC 对齐(一个 DKIM 标头,其d=值与From标头的域或 SPF 批准相匹配,这意味着查找From域的 SPF 记录并验证连接到您的 MX 记录的系统的 IP 是否已获得批准)。有类似的工具G Suite Toolbox Messageheader可以为您查找(但它将以 Google 为中心)。如果 SPF 或 DKIM 对齐通过,则该邮件可能是由该域的基础设施合法发送的(但您不知道它是否是由受感染的帐户发送的)。
很久以前,当我刚刚穿上短裤并作为系统管理员开始我的第一次工作时,我回复了一封垃圾邮件,要求他们停止向我发送垃圾邮件。
原来 FROM 地址实际上是垃圾邮件分发列表,成千上万的人收到了我发来的电子邮件,要求他们停止向我发送垃圾邮件。然后他们回邮件给我说他们没有发送垃圾邮件——我怎么会这么想。
从那以后,我只是将它们传递给我的贝叶斯过滤器。