4Sep
Jen proto, že e-mail se objeví ve vaší doručené poště s názvem Bill. [email protected], neznamená to, že Bill skutečně měl co do činění s tím. Přečtěte si, jak prozkoumáme, jak se vydat a zjistit, odkud skutečně pochází podezřelý e-mail.
dnešní otázka &Odpověď na odpověď nám přichází s laskavým svolením SuperUser - rozdělení Stack Exchange, seskupení webových serverů Q & A na úrovni komunity.
Otázka
Reader SuperUser Sirwan chce vědět, jak zjistit, odkud pocházejí e-maily:
Jak mohu vědět, odkud skutečně přišel e-mail?
Existuje nějaký způsob, jak to zjistit?
Slyšel jsem o hlavičkách e-mailů, ale nevím, kde můžu vidět hlavičky e-mailů například v Gmailu.
Podívejme se na tyto hlavičky e-mailu.
Odpovědi
přispěvatel SuperUser Tomas nabízí velmi podrobnou a důvtipnou odpověď:
Podívejte se na příklad podvodu, který mi byl zaslán, předstírat, že je od mého přítele, prohlašovat, že byla okrádána a požádala mě o finanční pomoc. Jména jsem změnila - předpokládám, že jsem Bill, podvodník poslal e-mail na adresu [email protected] a předstíral, že je [email protected]. Všimněte si, že Bill poslal na adresu [email protected].
Nejdříve v Gmailu použijte ukázat originál:
Pak se otevře úplný e-mail a jeho záhlaví:
Záhlaví je nutno číst chronologicky odspodu nahoru - nejstarší jsou na dně.Každý nový server na cestě přidá vlastní zprávu - počínaje příjemcem. Například:
Nyní, abyste našli skutečného odesílatele vašeho e-mailu, je vaším cílem najít poslední důvěryhodnou bránu - poslední, když čtete hlavičky shora, tj. Nejprve v chronologickém pořadí.Začněme tím, že najdeme poštovní server Billa. Za tímto účelem dotaz MX záznam pro doménu. Můžete použít některé online nástroje nebo na Linuxu jej můžete dotazovat na příkazovém řádku( poznamenejte si, že skutečný název domény byl změněn na domain.com):
Takže vidíte, že poštovní server domény.com je maxipes.logix.cz nebo broucek.logix.cz. Proto je poslední( nejprve chronologicky) důvěryhodný "hop" - nebo naposledy důvěryhodný "přijatý záznam" nebo jakkoli jej nazýváte - toto je:
přijata: z elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podle maxipes.logix.cz( Postfix) s ESMTP id B43175D3A44 pro & lt; [email protected] & gg; ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)Můžete tomu důvěřovat, protože to bylo zaznamenáno poštovním serverem Bill pro domain.com. Tento server ho dostal od čísla 209.86.89.64.To by mohlo být, a velmi často je, skutečný odesílatel e-mailu - v tomto případě podvodník! Tuto IP adresu můžete zkontrolovat na černé listině.- Vidíš, je uveden ve 3 černých listech! Pod ním je ještě další záznam:
ale nemůžete skutečně věřit tomu, protože to mohl jen přidat scammer k vymazání jeho stop a / nebo ležel falešné stezce .Samozřejmě stále existuje možnost, že server 209.86.89.64 je nevinný a funguje pouze jako relé pro skutečného útočníka na 168.62.170.129, ale pak je relé často považováno za vinné a je často velmi černé.V tomto případě je 168.62.170.129 čistý, takže můžeme být téměř jistý, že útok byl proveden z 209.86.89.64.
A samozřejmě, protože víme, že Alice používá Yahoo!a elasmtp-curtail.atl.sa.earthlink.netisn't na Yahoo!(možná budete chtít znovu zkontrolovat informace o IP Whoisu), můžeme bezpečně dospět k závěru, že tento e-mail nebyl od Alice a že bychom jí neměli posílat žádné peníze na její údajnou dovolenou na Filipínách.
Dva další přispěvatelé, Ex Umbris a Vijay, doporučili následující služby pro pomoc při dekódování hlaviček e-mailů: SpamCop a Google Header Analysis Tool.
Musíte něco přidat k vysvětlení?Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.
