Główna » jak » Jak mogę się dowiedzieć, skąd e-mail rzeczywiście pochodzi?

    Jak mogę się dowiedzieć, skąd e-mail rzeczywiście pochodzi?

    To, że e-mail pojawił się w Twojej skrzynce odbiorczej o nazwie [email protected], nie oznacza, że ​​Bill naprawdę miał z tym coś wspólnego. Czytaj dalej, gdy odkrywamy, jak zagłębić się i zobaczyć, skąd pochodzi podejrzany e-mail.

    Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - podsekcji Stack Exchange, grupy dyskusyjnej poświęconej tematyce społecznościowej.

    Pytanie

    Czytnik SuperUser Sirwan chce wiedzieć, skąd się biorą e-maile:

    Skąd mogę wiedzieć, skąd naprawdę pochodzi e-mail?
    Czy istnieje sposób, aby to znaleźć?
    Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu.

    Rzućmy okiem na te nagłówki e-maili.

    Odpowiedzi

    Pomocnik SuperUser Tomas oferuje bardzo szczegółową i wnikliwą odpowiedź:

    Zobacz przykład oszustwa, który został mi wysłany, udając, że jest od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową. Zmieniłem nazwy - przypuśćmy, że jestem Billem, oszust wysłał e-mail do [email protected], udając, że jest [email protected]. Zwróć uwagę, że Bill przekazał dalej [email protected].

    Najpierw w Gmailu użyj Pokaż oryginał:

    Następnie otworzy się pełny e-mail i jego nagłówki:

    Dostarczono do: [email protected] Otrzymano: przez 10.64.21.33 z identyfikatorem SMTP s1csp177937iee; Pon., 8 lipca 2013 04:11:00 -0700 (PDT) X-Received: do 10.14.47.73 z identyfikatorem SMTP s49mr24756966eeb.71.1373281860071; Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) przez mx.google.com z ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Otrzymano-SPF: neutralny (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domena [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected] ) [email protected] Otrzymano: przez maxipes.logix.cz (Postfix, od ID użytkownika 604) id C923E5D3A45; Pon., 8 lipca 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: opóźniony 00:06:34 autor: SQLgrey-1.8.0-rc1 Otrzymano: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) autorstwa maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST) Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (koperta z ) id 1Uw98w-0006KI-6y dla adresu [email protected]; Pon., 08 Jul 2013 06:58:06 -0400 Od: "Alicja" Temat: Okropny problem z podróżowaniem ... Prosimy o odpowiedź ASAP To: [email protected] Typ treści: multipart / alternatywa; granica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Data: Mon, 08 lipca 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Odciąłem pocztę elektroniczną ...] 

    Nagłówki należy odczytywać chronologicznie od dołu do góry - najstarsze są na dole. Każdy nowy serwer po drodze doda własną wiadomość - zaczynając od Odebrane. Na przykład:

    Otrzymano: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) przez mx.google.com z identyfikatorem ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pon., 08 lipca 2013 04:11:00 -0700 (PDT) 

    To mówi tak mx.google.com otrzymał pocztę od maxipes.logix.cz w Pon., 08 lipca 2013 04:11:00 -0700 (PDT).

    Teraz, aby znaleźć real nadawcy wiadomości e-mail, Twoim celem jest znalezienie ostatniej zaufanej bramy - ostatniej, gdy czytasz nagłówki od góry, tj. najpierw w porządku chronologicznym. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu wyszukujesz rekord MX dla domeny. Możesz użyć niektórych narzędzi online lub w Linuksie możesz wysłać zapytanie do niego w wierszu poleceń (zwróć uwagę na prawdziwą nazwę domeny zmienioną na domain.com):

    ~ $ host -t MX domena.com domena MX 10 broucek.logix.cz domena.com MX 5 maxipes.logix.cz 

    Więc widzisz serwer pocztowy domeny domain.com maxipes.logix.cz lub broucek.logix.cz. Stąd ostatni (pierwszy chronologicznie) zaufany "hop" - lub ostatni zaufany "Received record" lub jakkolwiek go nazwiesz - jest ten:

    Otrzymano: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) przez maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST) 

    Możesz zaufać temu, ponieważ zostało to zarejestrowane przez serwer pocztowy Billa dla domain.com. Ten serwer to dostał 209,86.89.64. Może to być i bardzo często jest prawdziwym nadawcą wiadomości e-mail - w tym przypadku oszustem! Możesz sprawdzić to IP na czarnej liście. - Zobacz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:

    Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y dla [email protected]; Pon., 08 Jul 2013 06:58:06 -0400 

    ale nie możesz tak naprawdę ufać temu, ponieważ to może zostać dodane przez oszusta, aby zniszczyć jego ślady i / lub połóż fałszywy ślad. Oczywiście nadal istnieje możliwość, że serwer 209,86.89.64 jest niewinny i działał tylko jako przekaźnik dla prawdziwego napastnika 168.62.170.129, ale wtedy przekaźnik jest często uważany za winnego i bardzo często jest na czarnej liście. W tym przypadku, 168.62.170.129 jest czysty, więc możemy być prawie pewni, że atak został wykonany 209,86.89.64.

    I oczywiście, jak wiemy, że Alicja używa Yahoo! i elasmtp-curtail.atl.sa.earthlink.netnie jest na Yahoo! (możesz chcieć ponownie sprawdzić swoje informacje IP Whois), możemy bezpiecznie wywnioskować, że ten e-mail nie pochodzi od Alice, i że nie powinniśmy wysyłać jej żadnych pieniędzy na jej wakacje na Filipinach.

    Dwóch innych współpracowników, Ex Umbris i Vijay, polecili odpowiednio następujące usługi do pomocy w dekodowaniu nagłówków wiadomości e-mail: SpamCop i narzędzie Google Header Analysis.


    Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.