4Sep

Wie kann ich herausfinden, woher eine E-Mail wirklich stammt?

click fraud protection

Nur weil eine E-Mail in Ihrem Posteingang mit der Bezeichnung Bill. [email protected] erscheint, bedeutet das nicht, dass Bill tatsächlich etwas damit zu tun hatte. Lesen Sie weiter und erfahren Sie, wie Sie herausfinden können, woher eine verdächtige E-Mail stammt.

Die heutige Frage &Die Antwort-Sitzung kommt dank SuperUser zustande - einer Unterteilung von Stack Exchange, einer Community-Drive-Gruppierung von Q & A-Websites.

Die Frage

SuperUser-Leser Sirwan möchte wissen, wie die E-Mails tatsächlich herkommen:

Woher weiß ich, woher eine E-Mail wirklich kommt?
Gibt es eine Möglichkeit, es herauszufinden?
Ich habe von E-Mail-Headern gehört, aber ich weiß nicht, wo ich E-Mail-Header beispielsweise in Google Mail sehen kann.

Werfen wir einen Blick auf diese E-Mail-Header.

Die Antworten

SuperUser Beitrag Tomas bietet eine sehr detaillierte und aufschlussreiche Antwort:

Sehen Sie ein Beispiel für Betrug, die mir geschickt wurde, vorgeben, dass es von meinem Freund ist, behauptete sie wurde ausgeraubt und fragt mich um finanzielle Hilfe. Ich habe die Namen geändert - angenommen, ich bin Bill, der Betrüger hat eine E-Mail an [email protected] geschickt und so getan, als wäre er [email protected]. Beachten Sie, dass Bill an [email protected] weitergeleitet wurde.

instagram viewer

Verwenden Sie in Google Mail zuerst das Original anzeigen:

Anschließend werden die vollständige E-Mail und ihre Header geöffnet:

Delivered-To: [email protected] Empfangen: von 10.64.21.33 mit SMTP-ID s1csp177937iee;Mon, 8 Jul 2013 04:11:00 -0700( PDT) X-Empfangen: von 10.14.47.73 mit SMTP-ID s49mr24756966eeb.71.1373281860071;Mo, 08 Jul 2013 04:11:00 -0700( PDT) Rückweg: & lt; SRS0 = Znlt = QW = yahoo.com = [email protected] & gt;Erhalten: von maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) von mx.google.com mit ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 für & lt; [email protected] & gt;(Version = TLSv1-Chiffre = RC4-SHA-Bits = 128/128);Mo, 08 Jul 2013 04:11:00 -0700( PDT) Empfangen-SPF: neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ist weder erlaubt noch verweigert durch best guess record fürDomäne von SRS0 = [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Authentifizierungsergebnisse: mx.google.com;SPF = Neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ist weder erlaubt noch verweigert durch den Datensatz der besten Schätzung für die Domäne von SRS0 = [email protected]) [email protected] Erhalten: von maxipes.logix.cz( Postfix, von userid 604) id C923E5D3A45;Mo, 8 Jul 2013 23:10:50 +1200( NZST) X-Original-To: [email protected] X-Greylist: verzögert 00:06:34 von SQLgrey-1.8.0-rc1 Erhalten: von elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) von maxipes.logix.cz( Postfix) mit ESMTP-ID B43175D3A44 für & lt; [email protected]> ;Mo, 8 Jul 2013 23:10:48 +1200( NZST) Erhielt: von [168.62.170.129]( helo = laurence39) von elasmtp-curtail.atl.sa.eartlink.net mit esmtpa( Exim 4.67)( Umschlag-from& lt; [email protected] & gt;) ID 1Uw98w-0006KI-6y für [email protected];Mo, 08 Jul 2013 06:58:06 -0400 Von: "Alice" & lt; [email protected] & gt;Betreff: Schreckliches Reiseproblem. .... Bitte so schnell wie möglich antworten an: [email protected] Content-Type: mehrteilig / alternativ;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Antwort an: [email protected] Datum: Mo, 8 Jul 2013 10:58:06 +0000 Nachrichten-ID: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Ursprung-IP: 168.62.170.129 [... Ich habe den Email-Body gekürzt. ..]

Die Header sind chronologisch von unten nach oben zu lesen - die ältesten sind unten. Jeder neue Server auf dem Weg wird seine eigene Nachricht hinzufügen - beginnend mit Received. Zum Beispiel:

Empfangen: von maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) von mx.google.com mit ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 für & lt; [email protected] & gt;(Version = TLSv1-Chiffre = RC4-SHA-Bits = 128/128);Mo, 08 Jul 2013 04:11:00 -0700( PDT)

Dies bedeutet, dass mx.google.com die Mail von maxipes.logix.cz am Mo, 08 Jul 2013 04:11:00 -0700( PDT) erhalten hat..

Um den echten --Absender Ihrer E-Mail zu finden, ist es Ihr Ziel, das letzte vertrauenswürdige Gateway zu finden - zuletzt beim Lesen der Kopfzeilen von oben, d. H. Zuerst in chronologischer Reihenfolge. Beginnen wir damit, den Mail-Server des Bill zu finden. Dazu fragen Sie den MX-Record für die Domain ab. Sie können einige Online-Tools verwenden oder unter Linux können Sie es in der Befehlszeile abfragen( beachten Sie, dass der echte Domainname in domain.com geändert wurde):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

So sehen Sie den Mail-Server für domain.com ist maxipes.logix.cz oder broucek.logix.cz. Also der letzte( zuerst chronologisch) vertrauenswürdige "hop" - oder der letzte vertrauenswürdige "Received record" oder wie immer man es nennt - ist dieser:

Received: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) von maxipes.logix.cz( Postfix) mit ESMTP-ID B43175D3A44 für & lt; [email protected]> ;Mo, 8 Jul 2013 23:10:48 +1200( NZST)

Sie können dem vertrauen, weil dies von Bills Mail-Server für domain.com aufgezeichnet wurde. Dieser Server hat es von 209.86.89.64 bekommen. Dies könnte und ist oft der eigentliche Absender der E-Mail - in diesem Fall der Betrüger! Sie können diese IP auf einer Blacklist überprüfen.- Sehen Sie, er ist in 3 Blacklists gelistet! Es gibt noch einen weiteren Rekord darunter:

Erhalten: von [168.62.170.129]( helo = laurence39) von elasmtp-curtail.atl.sa.earthlink.net mit esmtpa( Exim 4.67)( Umschlag von & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y für [email protected];Mon, 08 Jul 2013 06:58:06 -0400

aber man kann diesem nicht wirklich vertrauen, weil das vom Betrüger gerade hinzugefügt werden könnte, um seine Spuren auszulöschen und / oder eine falsche Spur zu legen. Natürlich besteht immer noch die Möglichkeit, dass der Server 209.86.89.64 unschuldig ist und nur als Relay für den echten Angreifer bei 168.62.170.129 fungiert, aber dann wird das Relay oft als schuldig angesehen und wird sehr oft auf die schwarze Liste gesetzt. In diesem Fall ist 168.62.170.129 sauber, so dass wir fast sicher sein können, dass der Angriff von 209.86.89.64 ausgeführt wurde.

Und natürlich wissen wir, dass Alice Yahoo!und elastp-curtail.atl.sa.earthlink.netist nicht auf der Yahoo! Netzwerk( Sie möchten vielleicht seine IP Whois Informationen überprüfen), können wir sicher feststellen, dass diese E-Mail nicht von Alice stammt, und dass wir ihr kein Geld zu ihrem behaupteten Urlaub auf den Philippinen schicken sollten.

Zwei weitere Mitwirkende, Ex Umbris und Vijay, empfahlen die folgenden Dienste zur Unterstützung bei der Entschlüsselung von E-Mail-Headern: SpamCop und Googles Header-Analyse-Tool.

Haben Sie etwas zur Erklärung hinzuzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange Benutzern lesen? Sehen Sie sich den vollständigen Diskussionsfaden hier an.