4Sep
Bare fordi en email vises i din indbakke, der hedder Bill. [email protected], betyder ikke, at Bill faktisk havde noget at gøre med det. Læs videre, da vi undersøger, hvordan man graver ind og se, hvor en mistænkelig e-mail faktisk kom fra.
Dagens Spørgsmål &Svar session kommer til os høflighed af SuperUser-en underafdeling af Stack Exchange, en community-drive gruppering af Q & A websteder.
Spørgsmål
SuperUser læser Sirwan ønsker at vide, hvordan man finder ud af, hvor e-mails faktisk stammer fra:
Hvordan kan jeg vide, hvor en Email virkelig kom fra?
Er der nogen måde at finde ud af det?
Jeg har hørt om e-mailoverskrifter, men jeg ved ikke, hvor kan jeg se e-mail-overskrifter, f.eks. I Gmail.
Lad os tage et kig på disse emailoverskrifter.
Svarene
SuperUser-bidragyder Tomas tilbyder et meget detaljeret og indsigt svar:
Se et eksempel på svindel, der er blevet sendt til mig, foregiver at det er fra min ven, hævder at hun er blevet røvet og beder mig om økonomisk hjælp. Jeg har ændret navnene - antag at jeg er Bill, svindleren har sendt en email til [email protected] og foregiver som han er [email protected]. Bemærk at Bill har fremsendt til [email protected].
Først i Gmail skal du bruge visnings original:
Så åbner den fulde email og dens overskrifter:
Sidehovederne skal læses kronologisk fra bund til top - ældste er i bunden. Hver ny server undervejs vil tilføje sin egen besked - starter med Received. For eksempel:
Dette siger at mx.google.com har modtaget mailen fra maxipes.logix.cz på ma, 08 jul 2013 04:11:00 -0700( PDT).
For at finde den rigtige -ægte -afsender af din e-mail, er dit mål at finde den sidste betroede gateway - sidst når du læser overskrifterne fra toppen, dvs. først i kronologisk rækkefølge. Lad os begynde med at finde Bill's mailserver. Til dette spørger du MX-rekord for domænet. Du kan bruge nogle onlineværktøjer, eller på Linux kan du spørge det på kommandolinjen( Bemærk det rigtige domænenavn blev ændret til domain.com):
Så du ser mailserveren for domain.com er maxipes.logix.cz eller broucek.logix.cz. Derfor er den sidste( første kronologisk) betroede "hop" - eller sidst betroede "Modtagne post" eller hvad du kalder det - denne:
Modtaget: fra elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) af maxipes.logix.cz( Postfix) med ESMTP id B43175D3A44 for & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)Du kan stole på dette, fordi dette blev optaget af Bills mail server for domain.com. Denne server fik den fra 209.86.89.64.Dette kunne være, og meget ofte er den rigtige afsender af e-mailen - i dette tilfælde svindleren! Du kan tjekke denne IP på en blacklist.- Se, han er opført i 3 sortlister! Der er endnu en rekord under den:
, men du kan faktisk ikke stole på dette, fordi det kun kunne tilføjes af svindleren for at udslette sine spor og / eller lægge et falsk spor .Selvfølgelig er der stadig mulighed for, at serveren 209.86.89.64 er uskyldig og kun fungerede som et relæ for den rigtige angriber ved 168.62.170.129, men det er ofte betegnet, at relæet er skyldigt og ofte er sortlistet. I dette tilfælde er 168.62.170.129 ren, så vi kan være helt sikre på, at angrebet blev gjort fra 209.86.89.64.
Og selvfølgelig, som vi ved, at Alice bruger Yahoo!og elasmtp-curtail.atl.sa.earthlink.net er ikke på Yahoo!netværk( du vil muligvis gerne kontrollere dens IP Whois information), kan vi sikkert konkludere, at denne email ikke var fra Alice, og at vi ikke skulle sende hende nogen penge til hendes hævdede ferie i Filippinerne.
To andre bidragsydere, Ex Umbris og Vijay, anbefalede henholdsvis følgende tjenester til at hjælpe med afkodning af e-mail-overskrifter: SpamCop og Googles headeranalyseværktøj.
Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.