Úvodná » ako » Ako môžem zistiť, odkiaľ pochádza e-mail?

    Ako môžem zistiť, odkiaľ pochádza e-mail?

    Len preto, že e-mail sa zobrazí vo vašej doručenej pošte s názvom [email protected], neznamená to, že Bill skutočne s tým má čo robiť. Čítajte ďalej, keď skúmame, ako vykopať a zistiť, odkiaľ skutočne pochádza podozrivý e-mail.

    Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok typu Q & A.

    Otázka

    Čítač SuperUser Sirwan chce vedieť, ako zistiť, odkiaľ pochádzajú e-maily:

    Ako môžem vedieť, odkiaľ naozaj pochádza e-mail?
    Existuje nejaký spôsob, ako to zistiť?
    Počul som o hlavičkách e-mailov, ale neviem, kde môžem vidieť hlavičky e-mailov napríklad v službe Gmail.

    Poďme sa pozrieť na tieto hlavičky e-mailu.

    Odpovede

    Príspevok SuperUser Tomas ponúka veľmi podrobnú a dôkladnú odpoveď:

    Pozrite si príklad podvodu, ktorý mi bol poslaný, predstierajúc, že ​​je od môjho priateľa, a tvrdí, že bola okradaná a požiadala ma o finančnú pomoc. Zmenil som mená - predpokladám, že som Bill, podvodník poslal e-mail [email protected], predstierať, že je [email protected]. Všimnite si, že Bill postúpil [email protected].

    Najprv v službe Gmail použite zobraziť originál:

    Potom sa otvorí úplný e-mail a jeho hlavičky:

    Doručené: [email protected] Prijaté: 10.64.21.33 s ID SMTP s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Prijaté: do 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Pondelok, 08 Júl 2013 04:11:00 -0700 (PDT) Cesta návratu: Prijaté: od maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) pomocou mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pre (verzia = TLSv1 cipher = RC4-SHA bity = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Prijaté SPF: neutrálne (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie je povolené ani odmietnuté doména [email protected]) klient-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentifikácia-Výsledky: mx.google.com; spf = neutrálna (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie je ani povolená ani popretá najlepším záznamom pre doménu [email protected] ) [email protected] Prijaté: maxipes.logix.cz (Postfix, z userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: oneskorené 00:06:34 od SQLgrey-1.8.0-rc1 Prijaté: z elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podľa maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pre; Po, 8 Júl 2013 23:10:48 +1200 (NZST) Prijaté: z [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka od ) id 1Uw98w-0006KI-6y pre [email protected]; Pondelok, 08 Júl 2013 06:58:06 -0400 Od: "Alice" Predmet: Hrozné Travel Issue ... Láskavo odpovedať čo najskôr na: [email protected] Content-Type: multipart / alternative; hranica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME Verzia: 1,0 Reply-To: [email protected] Dátum Po, 8 Jul roku 2013 10:58:06 0000 ID správy: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... som znížil telo e-mailu ...] 

    Hlavičky sa čítajú chronologicky zhora - najstaršie sú v spodnej časti. Každý nový server na ceste pridá vlastnú správu - od začiatku obdržané. Napríklad:

    Prijaté: z maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) od mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 pre (verzia = šifra TLSv1 = RC4-SHA bity = 128/128); Pondelok, 08 Júl 2013 04:11:00 -0700 (PDT) 

    To hovorí to mx.google.com mail dostal od maxipes.logix.cz na Pondelok, 08 Júl 2013 04:11:00 -0700 (PDT).

    Teraz, nájsť reálny odosielateľom e-mailu je vaším cieľom nájsť poslednú dôveryhodnú bránu - posledný pri čítaní hlavičiek hore, t. j. najskôr v chronologickom poradí. Začnime tým, že nájdeme poštový server Billa. Za týmto účelom vyhľadávate záznam MX pre danú doménu. Môžete použiť niektoré online nástroje, alebo v Linuxe môžete ho na príkazovom riadku prečítať (poznamenajte, že skutočný názov domény bol zmenený na domain.com):

    ~ $ host -t MX doména.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Takže vidíte poštový server pre domain.com je maxipes.logix.cz alebo broucek.logix.cz. Preto je posledný (prvý chronologicky) dôveryhodný "hop" - alebo naposledy dôveryhodný "Prijatý záznam" alebo čo ho nazývate - to je toto:

    Prijaté: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podľa maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pre; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) 

    Môžete tomu veriť, pretože to bol zaznamenaný poštovým serverom spoločnosti Bill domain.com. Tento server to získal od 209.86.89.64. To by mohlo byť a veľmi často je skutočným odosielateľom e-mailu - v tomto prípade podvodník! Môžete skontrolovať túto IP adresu na čiernom zozname. - Pozri, je uvedený v 3 čiernych zoznamoch! Je tu ešte ďalší záznam:

    Prijaté: z [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka-z) id 1Uw98w-0006KI-6y pre [email protected]; Pondelok, 08 Júl 2013 06:58:06 -0400 

    ale nemôžete naozaj veriť tomu, pretože to by mohlo byť len pridané scammer zničiť jeho stopy a / alebo položiť falošnú stopu. Samozrejme, stále existuje možnosť, že server 209.86.89.64 je nevinný a konal len ako relé pre skutočného útočníka na 168.62.170.129, ale potom sa štafeta často považuje za vinného a často je na čiernej listine. V tomto prípade, 168.62.170.129 je čistá, takže môžeme byť takmer istí, že útok bol vykonaný 209.86.89.64.

    A samozrejme, keďže vieme, že Alice používa Yahoo! a elasmtp-curtail.atl.sa.earthlink.netnie je na Yahoo! (možno budete chcieť opätovne skontrolovať informácie o IP Whois), môžeme bezpečne dospieť k záveru, že tento e-mail nebol od Alice a že by sme jej nemali posielať žiadne peniaze na jej nárokovanú dovolenku na Filipínach.

    Dvaja ďalší prispievatelia, Ex Umbris a Vijay, odporúčali nasledujúce služby na pomoc pri dekódovaní hlavičiek e-mailov: SpamCop a Google Header Analysis Tool.


    Máte niečo doplniť vysvetlenie? Vyjadrite sa v komentároch. Chcete sa dozvedieť viac odpovedí od iných používateľov technickej úrovne Stack Exchange? Pozrite sa na celý diskusný príspevok tu.