2025年信息系统安全专家邮件头信息分析与发件人伪造识别技术专题试卷及解析.pdfVIP

2025年信息系统安全专家邮件头信息分析与发件人伪造识别技术专题试卷及解析1

2025年信息系统安全专家邮件头信息分析与发件人伪造识

别技术专题试卷及解析

2025年信息系统安全专家邮件头信息分析与发件人伪造识别技术专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在邮件头信息中，用于标识邮件原始发件人服务器的字段是？

A、From

B、To

C、Received

D、Subject

【答案】C

【解析】正确答案是C。Received字段记录了邮件传输过程中经过的每个MTA（邮

件传输代理）服务器信息，可以追溯到原始发件人服务器。From字段容易被伪造，To

字段是收件人信息，Subject是邮件主题。知识点：邮件头字段功能。易错点：容易误

选From，因为From字段显示的发件人地址最直观，但这个字段可以被轻易伪造。

2、以下哪种技术可以有效防止邮件发件人地址被伪造？

A、SSL/TLS加密

B、SPF记录

C、BASE64编码

D、MIME类型

【答案】B

【解析】正确答案是B。SPF（SenderPolicyFramework）通过DNS记录指定哪些

IP地址可以代表域名发送邮件，是防止发件人伪造的关键技术。SSL/TLS只保证传输

加密，BASE64是编码方式，MIME是邮件格式标准。知识点：邮件安全认证技术。易

错点：容易混淆加密技术与认证技术的作用。

3、DKIM签名验证失败最可能表明什么？

A、邮件内容被篡改

B、邮件传输延迟

C、收件人地址错误

D、邮件附件过大

【答案】A

【解析】正确答案是A。DKIM（DomainKeysIdentifiedMail）通过数字签名验证邮

件完整性和发件人身份，签名失败通常意味着邮件内容在传输过程中被修改。其他选项

与DKIM验证无关。知识点：DKIM工作机制。易错点：容易忽略DKIM同时验证身

份和完整性两个功能。

2025年信息系统安全专家邮件头信息分析与发件人伪造识别技术专题试卷及解析2

4、DMARC策略中，“p=reject”表示什么处理方式？

A、接受邮件

B、隔离邮件

C、拒绝邮件

D、标记邮件

【答案】C

【解析】正确答案是C。DMARC的p=reject策略要求接收方直接拒绝不符合SPF

和DKIM验证的邮件。p=none是接受，p=quarantine是隔离。知识点：DMARC策略

配置。易错点：容易混淆quarantine和reject的区别。

5、邮件头中的”ReturnPath”字段通常指向什么？

A、原始发件人

B、邮件列表地址

C、退信地址

D、抄送地址

【答案】C

【解析】正确答案是C。ReturnPath（也称为EnvelopeSender）指定邮件无法投递时

的退信地址，可能与From字段不同。知识点：邮件头字段含义。易错点：容易与From

字段混淆，两者可能不同。

6、以下哪种情况最可能是钓鱼邮件的迹象？

A、邮件包含公司logo

B、邮件头显示多个Received字段

C、发件人域名与显示名称不匹配

D、邮件使用HTML格式

【答案】C

【解析】正确答案是C。钓鱼邮件常伪造显示名称但域名可疑，如”service@appI（用”

大写I代替小写l）。其他选项本身不是异常迹象。知识点：钓鱼邮件识别。易错点：容

易被伪造的视觉元素迷惑。

7、SPF验证失败但DKIM验证通过时，DMARC如何处理？

A、直接拒绝

B、根据DMARC策略处理

C、自动接受

D、要求人工审核

【答案】B

【解析】正确答案是B。DMARC会综合SPF和DKIM结果，根据域名所有者设置

的策略（none/quarantine/reject）处理邮件。知识点：DMARC验证逻辑。易错点：误

2025年信息系统安全专家邮件头信息分析与发件人伪造识别技术专题试卷及解析3

以为单一验证失败就必然拒绝。

8、邮件头中的”Mes