Główna » jak » Jak mogę się dowiedzieć, skąd e-mail rzeczywiście pochodzi?

    Jak mogę się dowiedzieć, skąd e-mail rzeczywiście pochodzi?

    To, że e-mail pojawił się w Twojej skrzynce odbiorczej o nazwie [email protected], nie oznacza, że ​​Bill naprawdę miał z tym coś wspólnego. Czytaj dalej, gdy odkrywamy, jak zagłębić się i zobaczyć, skąd pochodzi podejrzany e-mail.

    Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - podsekcji Stack Exchange, grupy dyskusyjnej poświęconej tematyce społecznościowej.

    Pytanie

    Czytnik SuperUser Sirwan chce wiedzieć, skąd się biorą e-maile:

    Skąd mogę wiedzieć, skąd naprawdę pochodzi e-mail?
    Czy istnieje sposób, aby to znaleźć?
    Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu.

    Rzućmy okiem na te nagłówki e-maili.

    Odpowiedzi

    Pomocnik SuperUser Tomas oferuje bardzo szczegółową i wnikliwą odpowiedź:

    Zobacz przykład oszustwa, który został mi wysłany, udając, że jest od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową. Zmieniłem nazwy - przypuśćmy, że jestem Billem, oszust wysłał e-mail do [email protected], udając, że jest [email protected]. Zwróć uwagę, że Bill przekazał dalej [email protected].

    Najpierw w Gmailu użyj Pokaż oryginał:

    Następnie otworzy się pełny e-mail i jego nagłówki:

    Dostarczono do: [email protected] Otrzymano: przez 10.64.21.33 z identyfikatorem SMTP s1csp177937iee; Pon., 8 lipca 2013 04:11:00 -0700 (PDT) X-Received: do 10.14.47.73 z identyfikatorem SMTP s49mr24756966eeb.71.1373281860071; Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) przez mx.google.com z ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Otrzymano-SPF: neutralny (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domena [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected] ) [email protected] Otrzymano: przez maxipes.logix.cz (Postfix, od ID użytkownika 604) id C923E5D3A45; Pon., 8 lipca 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: opóźniony 00:06:34 autor: SQLgrey-1.8.0-rc1 Otrzymano: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) autorstwa maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST) Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (koperta z ) id 1Uw98w-0006KI-6y dla adresu [email protected]; Pon., 08 Jul 2013 06:58:06 -0400 Od: "Alicja" Temat: Okropny problem z podróżowaniem ... Prosimy o odpowiedź ASAP To: [email protected] Typ treści: multipart / alternatywa; granica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Data: Mon, 08 lipca 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Odciąłem pocztę elektroniczną ...]

    Nagłówki należy odczytywać chronologicznie od dołu do góry - najstarsze są na dole. Każdy nowy serwer po drodze doda własną wiadomość - zaczynając od Odebrane. Na przykład:

    Otrzymano: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) przez mx.google.com z identyfikatorem ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pon., 08 lipca 2013 04:11:00 -0700 (PDT)

    To mówi tak mx.google.com otrzymał pocztę od maxipes.logix.cz w Pon., 08 lipca 2013 04:11:00 -0700 (PDT).

    Teraz, aby znaleźć real nadawcy wiadomości e-mail, Twoim celem jest znalezienie ostatniej zaufanej bramy - ostatniej, gdy czytasz nagłówki od góry, tj. najpierw w porządku chronologicznym. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu wyszukujesz rekord MX dla domeny. Możesz użyć niektórych narzędzi online lub w Linuksie możesz wysłać zapytanie do niego w wierszu poleceń (zwróć uwagę na prawdziwą nazwę domeny zmienioną na domain.com):

    ~ $ host -t MX domena.com domena MX 10 broucek.logix.cz domena.com MX 5 maxipes.logix.cz

    Więc widzisz serwer pocztowy domeny domain.com maxipes.logix.cz lub broucek.logix.cz. Stąd ostatni (pierwszy chronologicznie) zaufany "hop" - lub ostatni zaufany "Received record" lub jakkolwiek go nazwiesz - jest ten:

    Otrzymano: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) przez maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST)

    Możesz zaufać temu, ponieważ zostało to zarejestrowane przez serwer pocztowy Billa dla domain.com. Ten serwer to dostał 209,86.89.64. Może to być i bardzo często jest prawdziwym nadawcą wiadomości e-mail - w tym przypadku oszustem! Możesz sprawdzić to IP na czarnej liście. - Zobacz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:

    Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y dla [email protected]; Pon., 08 Jul 2013 06:58:06 -0400

    ale nie możesz tak naprawdę ufać temu, ponieważ to może zostać dodane przez oszusta, aby zniszczyć jego ślady i / lub połóż fałszywy ślad. Oczywiście nadal istnieje możliwość, że serwer 209,86.89.64 jest niewinny i działał tylko jako przekaźnik dla prawdziwego napastnika 168.62.170.129, ale wtedy przekaźnik jest często uważany za winnego i bardzo często jest na czarnej liście. W tym przypadku, 168.62.170.129 jest czysty, więc możemy być prawie pewni, że atak został wykonany 209,86.89.64.

    I oczywiście, jak wiemy, że Alicja używa Yahoo! i elasmtp-curtail.atl.sa.earthlink.netnie jest na Yahoo! (możesz chcieć ponownie sprawdzić swoje informacje IP Whois), możemy bezpiecznie wywnioskować, że ten e-mail nie pochodzi od Alice, i że nie powinniśmy wysyłać jej żadnych pieniędzy na jej wakacje na Filipinach.

    Dwóch innych współpracowników, Ex Umbris i Vijay, polecili odpowiednio następujące usługi do pomocy w dekodowaniu nagłówków wiadomości e-mail: SpamCop i narzędzie Google Header Analysis.

    Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.

    Jak mogę zachować hasła niewidoczne podczas uruchamiania polecenia jako argumentu SSH?
    Jak zrobić Ctrl + Alt + Del Przejdź w prawo do Menedżera zadań w systemie Windows 7?
    Jak mogę pobrać całą witrynę sieci Web?
    Następny artykuł
    Jak mogę uzyskać lepszy odbiór Wi-Fi na zewnątrz?
    Poprzedni artykuł
    Jak skutecznie przeprowadzić test wydajności połączenia internetowego?