Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 6/2/2014
Spam-mails kan slippe igennem spamfiltre ved at angive, at de kommer fra firmaer på hvidlister.Sikkerhedsfirmaet Trustwave har observeret teknikken ved en række spam-mails for nylig. Teknikken udnytter, at afsenderen kan angives to steder i en mail: I headeren From og i headeren Return-Path.
Oplysningen i From-feltet er den, som mail-programmet viser modtageren. Den er nem at forfalske. Her kan afsenderen skrive, hvad det skal være.
Oplysningen i Return-Path vises ikke til modtageren. Det udnytter spam-bagmændene ved at angive en afsender, som det er sandsynligt, at modtageren gerne vil have mails fra. Den adresse vil ofte optræde på hvidlisten i spam-filteret.
Derfor angiver en række spam-mails afsenderen i Return-Path til at være et kendt kreditkortselskab. Men i From-feltet står der en lang række forskellige falske afsendere: USA's postvæsen, private pakkepostselskaber, banker og LinkedIn.
Man kan opdage svindlen ved at se, om mailen oprindelig kommer fra en IP-adresse, der tilhører den organisation, der er angivet som afsender.
Anbefaling
Tjek jeres hvidlister, hvis mange spam-mails slipper igennem. Undgå at hvidliste et helt domæne, men hold jer til specifikke adresser.