Ako môžem zistiť, odkiaľ pochádza e-mail?
Len preto, že e-mail sa zobrazí vo vašej doručenej pošte s názvom [email protected], neznamená to, že Bill skutočne s tým má čo robiť. Čítajte ďalej, keď skúmame, ako vykopať a zistiť, odkiaľ skutočne pochádza podozrivý e-mail.
Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.
Otázka
Čítač SuperUser Sirwan chce vedieť, ako zistiť, odkiaľ pochádzajú e-maily:
Ako môžem vedieť, odkiaľ naozaj pochádza e-mail?
Existuje nejaký spôsob, ako to zistiť?
Počul som o hlavičkách e-mailov, ale neviem, kde môžem vidieť hlavičky e-mailov napríklad v službe Gmail.
Poďme sa pozrieť na tieto hlavičky e-mailu.
Odpovede
Príspevok SuperUser Tomas ponúka veľmi podrobnú a dôkladnú odpoveď:
Pozrite si príklad podvodu, ktorý mi bol poslaný, predstierajúc, že je od môjho priateľa, a tvrdí, že bola okradaná a požiadala ma o finančnú pomoc. Zmenil som mená - predpokladám, že som Bill, podvodník poslal e-mail
[email protected]
, predstierať, že je[email protected]
. Všimnite si, že Bill postúpil[email protected]
.Najprv v službe Gmail použite
zobraziť originál
:Potom sa otvorí úplný e-mail a jeho hlavičky:
Doručené: [email protected] Prijaté: 10.64.21.33 s ID SMTP s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Prijaté: do 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Pondelok, 08 Júl 2013 04:11:00 -0700 (PDT) Cesta návratu: Prijaté: od maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) pomocou mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pre (verzia = TLSv1 cipher = RC4-SHA bity = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Prijaté SPF: neutrálne (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie je povolené ani odmietnuté doména [email protected]) klient-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentifikácia-Výsledky: mx.google.com; spf = neutrálna (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie je ani povolená ani popretá najlepším záznamom pre doménu [email protected] ) [email protected] Prijaté: maxipes.logix.cz (Postfix, z userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: oneskorené 00:06:34 od SQLgrey-1.8.0-rc1 Prijaté: z elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podľa maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pre; Po, 8 Júl 2013 23:10:48 +1200 (NZST) Prijaté: z [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka od ) id 1Uw98w-0006KI-6y pre [email protected]; Pondelok, 08 Júl 2013 06:58:06 -0400 Od: "Alice" Predmet: Hrozné Travel Issue ... Láskavo odpovedať čo najskôr na: [email protected] Content-Type: multipart / alternative; hranica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME Verzia: 1,0 Reply-To: [email protected] Dátum Po, 8 Jul roku 2013 10:58:06 0000 ID správy: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... som znížil telo e-mailu ...]
Hlavičky sa čítajú chronologicky zhora - najstaršie sú v spodnej časti. Každý nový server na ceste pridá vlastnú správu - od začiatku
obdržané
. Napríklad:Prijaté: z maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) od mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 pre (verzia = šifra TLSv1 = RC4-SHA bity = 128/128); Pondelok, 08 Júl 2013 04:11:00 -0700 (PDT)
To hovorí to
mx.google.com
mail dostal odmaxipes.logix.cz
naPondelok, 08 Júl 2013 04:11:00 -0700 (PDT)
.Teraz, nájsť reálny odosielateľom e-mailu je vaším cieľom nájsť poslednú dôveryhodnú bránu - posledný pri čítaní hlavičiek hore, t. j. najskôr v chronologickom poradí. Začnime tým, že nájdeme poštový server Billa. Za týmto účelom vyhľadávate záznam MX pre danú doménu. Môžete použiť niektoré online nástroje, alebo v Linuxe môžete ho na príkazovom riadku prečítať (poznamenajte, že skutočný názov domény bol zmenený na
domain.com
):~ $ host -t MX doména.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Takže vidíte poštový server pre domain.com je
maxipes.logix.cz
alebobroucek.logix.cz
. Preto je posledný (prvý chronologicky) dôveryhodný "hop" - alebo naposledy dôveryhodný "Prijatý záznam" alebo čo ho nazývate - to je toto:Prijaté: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podľa maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pre; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Môžete tomu veriť, pretože to bol zaznamenaný poštovým serverom spoločnosti Bill
domain.com
. Tento server to získal od209.86.89.64
. To by mohlo byť a veľmi často je skutočným odosielateľom e-mailu - v tomto prípade podvodník! Môžete skontrolovať túto IP adresu na čiernom zozname. - Pozri, je uvedený v 3 čiernych zoznamoch! Je tu ešte ďalší záznam:Prijaté: z [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka-z) id 1Uw98w-0006KI-6y pre [email protected]; Pondelok, 08 Júl 2013 06:58:06 -0400
ale nemôžete naozaj veriť tomu, pretože to by mohlo byť len pridané scammer zničiť jeho stopy a / alebo položiť falošnú stopu. Samozrejme, stále existuje možnosť, že server
209.86.89.64
je nevinný a konal len ako relé pre skutočného útočníka na168.62.170.129
, ale potom sa štafeta často považuje za vinného a často je na čiernej listine. V tomto prípade,168.62.170.129
je čistá, takže môžeme byť takmer istí, že útok bol vykonaný209.86.89.64
.A samozrejme, keďže vieme, že Alice používa Yahoo! a
elasmtp-curtail.atl.sa.earthlink.net
nie je na Yahoo! (možno budete chcieť opätovne skontrolovať informácie o IP Whois), môžeme bezpečne dospieť k záveru, že tento e-mail nebol od Alice a že by sme jej nemali posielať žiadne peniaze na jej nárokovanú dovolenku na Filipínach.
Dvaja ďalší prispievatelia, Ex Umbris a Vijay, odporúčali nasledujúce služby na pomoc pri dekódovaní hlavičiek e-mailov: SpamCop a Google Header Analysis Tool.
Máte niečo doplniť vysvetlenie? Vyjadrite sa v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.