Jak mogę się dowiedzieć, skąd e-mail rzeczywiście pochodzi?
To, że e-mail pojawił się w Twojej skrzynce odbiorczej o nazwie [email protected], nie oznacza, że Bill naprawdę miał z tym coś wspólnego. Czytaj dalej, gdy odkrywamy, jak zagłębić się i zobaczyć, skąd pochodzi podejrzany e-mail.
Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - podsekcji Stack Exchange, grupy dyskusyjnej poświęconej tematyce społecznościowej.
Pytanie
Czytnik SuperUser Sirwan chce wiedzieć, skąd się biorą e-maile:
Skąd mogę wiedzieć, skąd naprawdę pochodzi e-mail?
Czy istnieje sposób, aby to znaleźć?
Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu.
Rzućmy okiem na te nagłówki e-maili.
Odpowiedzi
Pomocnik SuperUser Tomas oferuje bardzo szczegółową i wnikliwą odpowiedź:
Zobacz przykład oszustwa, który został mi wysłany, udając, że jest od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową. Zmieniłem nazwy - przypuśćmy, że jestem Billem, oszust wysłał e-mail do
[email protected]
, udając, że jest[email protected]
. Zwróć uwagę, że Bill przekazał dalej[email protected]
.Najpierw w Gmailu użyj
Pokaż oryginał
:Następnie otworzy się pełny e-mail i jego nagłówki:
Dostarczono do: [email protected] Otrzymano: przez 10.64.21.33 z identyfikatorem SMTP s1csp177937iee; Pon., 8 lipca 2013 04:11:00 -0700 (PDT) X-Received: do 10.14.47.73 z identyfikatorem SMTP s49mr24756966eeb.71.1373281860071; Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) przez mx.google.com z ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Otrzymano-SPF: neutralny (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domena [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected] ) [email protected] Otrzymano: przez maxipes.logix.cz (Postfix, od ID użytkownika 604) id C923E5D3A45; Pon., 8 lipca 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: opóźniony 00:06:34 autor: SQLgrey-1.8.0-rc1 Otrzymano: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) autorstwa maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST) Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (koperta z ) id 1Uw98w-0006KI-6y dla adresu [email protected]; Pon., 08 Jul 2013 06:58:06 -0400 Od: "Alicja" Temat: Okropny problem z podróżowaniem ... Prosimy o odpowiedź ASAP To: [email protected] Typ treści: multipart / alternatywa; granica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Data: Mon, 08 lipca 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Odciąłem pocztę elektroniczną ...]
Nagłówki należy odczytywać chronologicznie od dołu do góry - najstarsze są na dole. Każdy nowy serwer po drodze doda własną wiadomość - zaczynając od
Odebrane
. Na przykład:Otrzymano: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) przez mx.google.com z identyfikatorem ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pon., 08 lipca 2013 04:11:00 -0700 (PDT)
To mówi tak
mx.google.com
otrzymał pocztę odmaxipes.logix.cz
wPon., 08 lipca 2013 04:11:00 -0700 (PDT)
.Teraz, aby znaleźć real nadawcy wiadomości e-mail, Twoim celem jest znalezienie ostatniej zaufanej bramy - ostatniej, gdy czytasz nagłówki od góry, tj. najpierw w porządku chronologicznym. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu wyszukujesz rekord MX dla domeny. Możesz użyć niektórych narzędzi online lub w Linuksie możesz wysłać zapytanie do niego w wierszu poleceń (zwróć uwagę na prawdziwą nazwę domeny zmienioną na
domain.com
):~ $ host -t MX domena.com domena MX 10 broucek.logix.cz domena.com MX 5 maxipes.logix.cz
Więc widzisz serwer pocztowy domeny domain.com
maxipes.logix.cz
lubbroucek.logix.cz
. Stąd ostatni (pierwszy chronologicznie) zaufany "hop" - lub ostatni zaufany "Received record" lub jakkolwiek go nazwiesz - jest ten:Otrzymano: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) przez maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST)
Możesz zaufać temu, ponieważ zostało to zarejestrowane przez serwer pocztowy Billa dla
domain.com
. Ten serwer to dostał209,86.89.64
. Może to być i bardzo często jest prawdziwym nadawcą wiadomości e-mail - w tym przypadku oszustem! Możesz sprawdzić to IP na czarnej liście. - Zobacz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y dla [email protected]; Pon., 08 Jul 2013 06:58:06 -0400
ale nie możesz tak naprawdę ufać temu, ponieważ to może zostać dodane przez oszusta, aby zniszczyć jego ślady i / lub połóż fałszywy ślad. Oczywiście nadal istnieje możliwość, że serwer
209,86.89.64
jest niewinny i działał tylko jako przekaźnik dla prawdziwego napastnika168.62.170.129
, ale wtedy przekaźnik jest często uważany za winnego i bardzo często jest na czarnej liście. W tym przypadku,168.62.170.129
jest czysty, więc możemy być prawie pewni, że atak został wykonany209,86.89.64
.I oczywiście, jak wiemy, że Alicja używa Yahoo! i
elasmtp-curtail.atl.sa.earthlink.net
nie jest na Yahoo! (możesz chcieć ponownie sprawdzić swoje informacje IP Whois), możemy bezpiecznie wywnioskować, że ten e-mail nie pochodzi od Alice, i że nie powinniśmy wysyłać jej żadnych pieniędzy na jej wakacje na Filipinach.
Dwóch innych współpracowników, Ex Umbris i Vijay, polecili odpowiednio następujące usługi do pomocy w dekodowaniu nagłówków wiadomości e-mail: SpamCop i narzędzie Google Header Analysis.
Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.