Nedanstående är ett autentiskt exempel på en fråga om epost. Jag har här avidentifierat viss information och ersatt den med **DELETED**, i övrigt är texten exakt så som originalet.
>At 09:18 1999-05-10 ,**DELETED**:
>Hej!
>Häromdagen fick jag två e-postbrev i retur. Det var brev som hade mig
>som avsändare och två killar på jmk som mottagare.
>Brevets innehöll några flirtiga formuleringar till de här killarna.
>
>Det som förbryllar mig är att jag faktiskt aldrig skrivit dessa brev.
>Mina tonåriga barn har egna e-postadresser och inga egna kontakter med
>några elever på jmk.
>Hur är detta möjligt? Hur kan jag förebygga att personer som jag inte
>känner till använder sig av min domän?
>
>Tacksam för tips.
>
> **DELETED**
Hej
Det är trivialt att ”förfalska” ett e-brevs avsändaradress. Viktigt är alltså att vara medveten om att e-brev ej med säkerhet kommer från den som påstår sig vara avsändare.
(detta är inget nytt, samma sak har gällt/gäller även för fax)
Det är ganska enkelt att se om ett brev ”kommer från den som utger sig för att vara avsändaren” om man tittar efter i e-brevets sk ”Received-rader”. Received-raderna kan man enklast jämställa med ”poststämplar som visar vilken väg brevet gått”. Här kan man oftast också spåra varifrån brevet egenligen kommer.
Bästa skyddet mot denna typ av ”förfalskningar” är att konsekvent använda signerade e-brev. Signera kan man göra med t.ex. PGP.
Få personer upplever dock, ej heller förstår de behovet av, att signera e-brev.
(Vilket även gäller, enligt min uppfattning, vad kryptering beträffar).
Du har dock råkat ut för ett tydligt exempel på behovet… 😉
mvh
**DELETED**
Nedan exempel på ”received-rader/poststämplarna i det brev du skickade till listan. Efter detta exempel kommer samma sak men med kommentarer/förklaringar.
X-Persona: <DELETED>
Received: from mailf.telia.com (root@mailf.telia.com [194.22.194.25])
by d1o27.telia.com (8.8.8/8.8.5) with ESMTP id JAA24958;
Mon, 10 May 1999 09:18:37 +0200 (MET DST)
Received: from vic20.globalcom.se (majordomo@vic20.globalcom.se [195.84.148.62])
by mailf.telia.com (8.8.8/8.8.8) with ESMTP id JAA02528;
Mon, 10 May 1999 09:18:34 +0200 (CEST)
Received: (from majordomo@localhost)
by vic20.globalcom.se (8.8.7/8.8.7) id JAA10326
for trenchcoat-list; Mon, 10 May 1999 09:18:26 +0200
Received: from mb04.swip.net (mb04.swip.net [193.12.122.208])
by vic20.globalcom.se (8.8.7/8.8.7) with ESMTP id JAA10323
for <trenchcoat@blipp.com>; Mon, 10 May 1999 09:18:25 +0200
Received: from **DELETED** (dialup77-2-41.swipnet.se [130.244.77.105])
by mb04.swip.net (8.8.8/8.8.8) with ESMTP
id JAA02835;
Mon, 10 May 1999 09:18:00 +0200 (MET DST)
Message-ID: <37368830.43F216BA@lukacs.pp.se>
Date: Mon, 10 May 1999 09:18:08 +0200
From: **DELETED** <DELETED@DELETED.PP.SE>
X-Mailer: Mozilla 4.03 [sv] (Win95; I)
MIME-Version: 1.0
To: Trenchcoat <trenchcoat@blipp.com>, Media <omf@lsv.pi.se>,
Snackbar <snackbar@lsv.pi.se>
Subject: e-postintrång
Content-Type: text/plain; charset=iso-8859-1
Content-Transfer-Encoding: 8bit
Sender: owner-trenchcoat@vic20.globalcom.se
Precedence: bulk
Reply-To: trenchcoat@blipp.com
X-UIDL: 7cf94b78b63f92e90866a7331b840409
********* Poststämplar med förklaringar. Observera att jag ändrat ordningen på Received-raderna i förhållande till ovanstående originalexempel.
>Received: from **DELETED**.pp.se (dialup77-2-41.swipnet.se [130.244.77.105])
> by mb04.swip.net (8.8.8/8.8.8) with ESMTP
> id JAA02835;
**DELETED**.pp.se är vad din dator presenterar sig som till nästa led i kedjan dvs swipnets modempool (dialup77-2-41.swipnet.se som har IP-adressen [130.244.77.105]).
Received from …. by mb04.swip.net innebär att din dator/ditt mailprogram har skickat ett brev till datorn mb04.swip.net (namnet på denna dator kan vara vad som helst men swipnet anser säkert att mb = mailbox)
Ett annat sätt att uttrycka sig är att jämföra med hur man gör när man går iväg och lägger ett brev på posten.
Här har du alltså skrivit ett brev. Lagt det i ett kuvert samt knallat iväg och lagt det på närmsta brevlåda. Brevlådan är mb04.swip.net.
>Received: from mb04.swip.net (mb04.swip.net [193.12.122.208])
> by vic20.globalcom.se (8.8.7/8.8.7) with ESMTP id JAA10323
> for <trenchcoat@blipp.com>; Mon, 10 May 1999 09:18:25 +0200
Nästa steg i kedjan är att ”brevbäraren har tömt brevlådan och tagit med sig brevet till närmsta postkontor/postsorteringscentral”. I detta fall har alltså datorn mb04.swip.net konstaterat att detta brev ska till mottagaradressen <trenchcoat@blipp.com> och därefter skickat brevet vidare till datorn vic20.globalcom.se
(Observera att när jag skriver datorn skickat vidare betyder det egenligen att datorn xxx kör en ”postkonstorsprogramvara” som hanterar posten. I fallet ovan står det (8.8.7/8.8.7) vilket innebär programmet Sendmail)
>Received: (from majordomo@localhost)
> by vic20.globalcom.se (8.8.7/8.8.7) id JAA10326
> for trenchcoat-list; Mon, 10 May 1999 09:18:26 +0200
Här har ditt brev/inlägg i listan kommit fram till den dator som ”kör trenchcoat-listan”.
>Received: from vic20.globalcom.se (majordomo@vic20.globalcom.se [195.84.148.62])
> by mailf.telia.com (8.8.8/8.8.8) with ESMTP id JAA02528;
> Mon, 10 May 1999 09:18:34 +0200 (CEST)
Här kan man se att vic20.globalcom.se (dvs Trenchcoatlistan) har skickat ditt brev vidare till mailf.telia.com.
>Received: from mailf.telia.com (root@mailf.telia.com [194.22.194.25])
> by d1o27.telia.com (8.8.8/8.8.5) with ESMTP id JAA24958;
> Mon, 10 May 1999 09:18:37 +0200 (MET DST)
Slutligen kommer brevet fram till mottagande brevlåda.
Det går att ”förfalska” dessa Received-rader. Någonstans på vägen lämnar dock mailet den avsändande personens kontroll och därefter stämmer informationen. Detta kan man använda för att spåra brevet tillbaka i kedjan och se varifrån det skickades och när.
>Mon, 10 May 1999 09:18:00 +0200 (MET DST)
>Message-ID: <37368830.43F216BA@**DELETED**.pp.se>
>Date: Mon, 10 May 1999 09:18:08 +0200
>From: **DELETED**<**DELETED@**DELETED**.pp.se>
From-rader kan man byta ut nästan hur som helst. T.ex. skulle du ha kunnat skriva att detta brev kom från ”kalle.kula@universum.net”
>X-Mailer: Mozilla 4.03 [sv] (Win95; I)
Detta talar om vilken programvara du skapat brevet i (går sjävfallet att förvanska om man vill)
>MIME-Version: 1.0
>To: Trenchcoat <trenchcoat@blipp.com>, Media <omf@lsv.pi.se>,
> Snackbar <snackbar@lsv.pi.se>
Detta säger vart brevet ska skickas. Behöver inte nödvändigtvis vara sant…
>Subject: e-postintrång
>Sender: owner-trenchcoat@vic20.globalcom.se
Vem har skickat? (kan förvanskas enkelt)
>Reply-To: trenchcoat@blipp.com
Vart ska ett ev svar skickas. Som ovan, möjligt att ”förvanska”.