4Sep
Nur weil eine E-Mail in Ihrem Posteingang mit der Bezeichnung Bill. [email protected] erscheint, bedeutet das nicht, dass Bill tatsächlich etwas damit zu tun hatte. Lesen Sie weiter und erfahren Sie, wie Sie herausfinden können, woher eine verdächtige E-Mail stammt.
Die heutige Frage &Die Antwort-Sitzung kommt dank SuperUser zustande - einer Unterteilung von Stack Exchange, einer Community-Drive-Gruppierung von Q & A-Websites.
Die Frage
SuperUser-Leser Sirwan möchte wissen, wie die E-Mails tatsächlich herkommen:
Woher weiß ich, woher eine E-Mail wirklich kommt?
Gibt es eine Möglichkeit, es herauszufinden?
Ich habe von E-Mail-Headern gehört, aber ich weiß nicht, wo ich E-Mail-Header beispielsweise in Google Mail sehen kann.
Werfen wir einen Blick auf diese E-Mail-Header.
Die Antworten
SuperUser Beitrag Tomas bietet eine sehr detaillierte und aufschlussreiche Antwort:
Sehen Sie ein Beispiel für Betrug, die mir geschickt wurde, vorgeben, dass es von meinem Freund ist, behauptete sie wurde ausgeraubt und fragt mich um finanzielle Hilfe. Ich habe die Namen geändert - angenommen, ich bin Bill, der Betrüger hat eine E-Mail an [email protected] geschickt und so getan, als wäre er [email protected]. Beachten Sie, dass Bill an [email protected] weitergeleitet wurde.
Verwenden Sie in Google Mail zuerst das Original anzeigen:
Anschließend werden die vollständige E-Mail und ihre Header geöffnet:
Die Header sind chronologisch von unten nach oben zu lesen - die ältesten sind unten. Jeder neue Server auf dem Weg wird seine eigene Nachricht hinzufügen - beginnend mit Received. Zum Beispiel:
Dies bedeutet, dass mx.google.com die Mail von maxipes.logix.cz am Mo, 08 Jul 2013 04:11:00 -0700( PDT) erhalten hat..
Um den echten --Absender Ihrer E-Mail zu finden, ist es Ihr Ziel, das letzte vertrauenswürdige Gateway zu finden - zuletzt beim Lesen der Kopfzeilen von oben, d. H. Zuerst in chronologischer Reihenfolge. Beginnen wir damit, den Mail-Server des Bill zu finden. Dazu fragen Sie den MX-Record für die Domain ab. Sie können einige Online-Tools verwenden oder unter Linux können Sie es in der Befehlszeile abfragen( beachten Sie, dass der echte Domainname in domain.com geändert wurde):
So sehen Sie den Mail-Server für domain.com ist maxipes.logix.cz oder broucek.logix.cz. Also der letzte( zuerst chronologisch) vertrauenswürdige "hop" - oder der letzte vertrauenswürdige "Received record" oder wie immer man es nennt - ist dieser:
Received: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) von maxipes.logix.cz( Postfix) mit ESMTP-ID B43175D3A44 für & lt; [email protected]> ;Mo, 8 Jul 2013 23:10:48 +1200( NZST)Sie können dem vertrauen, weil dies von Bills Mail-Server für domain.com aufgezeichnet wurde. Dieser Server hat es von 209.86.89.64 bekommen. Dies könnte und ist oft der eigentliche Absender der E-Mail - in diesem Fall der Betrüger! Sie können diese IP auf einer Blacklist überprüfen.- Sehen Sie, er ist in 3 Blacklists gelistet! Es gibt noch einen weiteren Rekord darunter:
aber man kann diesem nicht wirklich vertrauen, weil das vom Betrüger gerade hinzugefügt werden könnte, um seine Spuren auszulöschen und / oder eine falsche Spur zu legen. Natürlich besteht immer noch die Möglichkeit, dass der Server 209.86.89.64 unschuldig ist und nur als Relay für den echten Angreifer bei 168.62.170.129 fungiert, aber dann wird das Relay oft als schuldig angesehen und wird sehr oft auf die schwarze Liste gesetzt. In diesem Fall ist 168.62.170.129 sauber, so dass wir fast sicher sein können, dass der Angriff von 209.86.89.64 ausgeführt wurde.
Und natürlich wissen wir, dass Alice Yahoo!und elastp-curtail.atl.sa.earthlink.netist nicht auf der Yahoo! Netzwerk( Sie möchten vielleicht seine IP Whois Informationen überprüfen), können wir sicher feststellen, dass diese E-Mail nicht von Alice stammt, und dass wir ihr kein Geld zu ihrem behaupteten Urlaub auf den Philippinen schicken sollten.
Zwei weitere Mitwirkende, Ex Umbris und Vijay, empfahlen die folgenden Dienste zur Unterstützung bei der Entschlüsselung von E-Mail-Headern: SpamCop und Googles Header-Analyse-Tool.
Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.