4Sep

Πώς μπορώ να μάθω από πού ένα μήνυμα προέρχεται πραγματικά από;

Ακριβώς επειδή ένα μήνυμα ηλεκτρονικού ταχυδρομείου εμφανίζεται στα εισερχόμενά σας με την ονομασία Bill. [email protected], δεν σημαίνει ότι ο Bill πραγματικά είχε τίποτα να κάνει με αυτό.Διαβάστε παρακάτω καθώς διερευνούμε πώς να σκάβουμε και να δούμε από πού προέρχεται ένα ύποπτο μήνυμα ηλεκτρονικού ταχυδρομείου.

Η σημερινή ερώτηση &Η συνάντηση απαντήσεων έρχεται σε επαφή με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινοτική μονάδα δίσκου Q & A web sites.

Η ερώτηση

Ο αναγνώστης SuperUser Sirwan θέλει να ξέρει πώς να καταλάβει από πού προέρχονται τα μηνύματα ηλεκτρονικού ταχυδρομείου από:

Πώς μπορώ να ξέρω από πού προέρχεται πραγματικά ένα μήνυμα ηλεκτρονικού ταχυδρομείου;
Υπάρχει τρόπος να το βρείτε;
Έχω ακούσει για τις κεφαλίδες ηλεκτρονικού ταχυδρομείου, αλλά δεν ξέρω πού μπορώ να δω κεφαλίδες ηλεκτρονικού ταχυδρομείου, για παράδειγμα στο Gmail.

Ας ρίξουμε μια ματιά σε αυτές τις κεφαλίδες email.

Ο απαντητής

Συνεργάτης SuperUser Tomas προσφέρει μια πολύ λεπτομερή και διορατική απάντηση:

Δείτε ένα παράδειγμα απάτης που μου έχει σταλεί, προσποιούμενος ότι προέρχεται από τον φίλο μου, ισχυριζόμενος ότι έχει λήξει και μου ζητάει οικονομική βοήθεια.Έχω αλλάξει τα ονόματα - ας υποθέσουμε ότι είμαι Bill, ο απατεώνας έχει στείλει ένα email στο [email protected], προσποιούμενος ότι είναι [email protected].Σημειώστε ότι ο Bill έχει προωθήσει στο [email protected].

Αρχικά, στο Gmail, χρησιμοποιήστε την ένδειξη original:

Στη συνέχεια θα ανοίξει το πλήρες email και οι κεφαλίδες του:

Παραδόθηκε: [email protected] Λήψη: 10.64.21.33 με id SMTP s1csp177937iee;Δευ, 8 Ιούλ 2013 04:11:00 -0700( PDT) X-Λαμβάνεται: από 10.14.47.73 με SMTP id s49mr24756966eeb.71.1373281860071;Κυρ, 08 Ιούλ 2013 04:11:00 -0700( PDT) Επιστροφή-Διαδρομή: & lt; SRS0 = [email protected]>Λήψη: από το maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) από mx.google.com με ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 για & lt; [email protected]>(έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128).Mon, 08 Jul 2013 04:11:00 -0700( PDT) Λήψη SPF: ουδέτερη( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1)domain του [email protected]) πελάτης-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Έλεγχος ταυτότητας-Αποτελέσματα: mx.google.com;Το spf = ουδέτερο( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected]) [email protected] Ληφθείσα: από το maxipes.logix.cz( Postfix, από το userid 604) id C923E5D3A45;Δευ, 8 Ιούλ 2013 23:10:50 +1200( NZST) X-Original-To: [email protected] X-Greylist: καθυστέρηση 00:06:34 από SQLgrey-1.8.0-rc1 Ληφθείσα: από elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) από τη διεύθυνση maxipes.logix.cz( Postfix) με τον κωδικό ESMTP B43175D3A44 για & lt; [email protected]> ;Δευ, 8 Ιούλ 2013 23:10:48 +1200( NZST) Ληφθείσα: από [168.62.170.129]( helo = laurence39) από elasmtp-curtail.atl.sa.earthlink.net με esmtpa( Exim 4.67)( φάκελος από& lt; [email protected]>) id 1Uw98w-0006KI-6y για το [email protected];Δευ, 08 Ιούλ 2013 06:58:06 -0400 Από: "Alice" & lt; [email protected]>Θέμα: Τρομερό πρόβλημα ταξιδιού. .... Παρακαλούμε απαντήστε ASAP Προς: [email protected] Τύπος περιεχομένου: multipart / alternative;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Έκδοση: 1.0 Απάντηση σε: [email protected] Ημερομηνία: Mon, 8 Jul 2013 10:58:06 +0000 ID Μήνυμα: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Προέρχονται-IP: 168.62.170.129 [... Έχω κόψει το σώμα email. ..]

Οι κεφαλίδες πρέπει να διαβάσετε χρονολογικά από κάτω προς τα πάνω - παλαιότερο είναι στο κάτω μέρος.Κάθε νέο διακομιστής στο δρόμο θα προσθέσει το δικό του μήνυμα - ξεκινώντας με το Received.Για παράδειγμα:

Λήψη: από το maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) από mx.google.com με ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 για & lt; [email protected]>(έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128).Mon, 08 Jul 2013 04:11:00 -0700( PDT)

Αυτό λέει ότι mx.google.com έχει λάβει το μήνυμα από το maxipes.logix.cz στις Mon, 08 Jul 2013 04:11:00 -0700( PDT).

Τώρα, για να βρείτε τον πραγματικό αποστολέα του μηνύματος ηλεκτρονικού ταχυδρομείου σας, ο στόχος σας είναι να βρείτε την τελευταία αξιόπιστη πύλη - τελευταία κατά την ανάγνωση των κεφαλίδων από την κορυφή, δηλ. Πρώτα με τη χρονολογική σειρά.Ας αρχίσουμε με την εύρεση του διακομιστή αλληλογραφίας του Bill.Για αυτό, ζητάτε εγγραφή MX για τον τομέα.Μπορείτε να χρησιμοποιήσετε κάποια ηλεκτρονικά εργαλεία ή σε Linux μπορείτε να τα ερωτήσετε στη γραμμή εντολών( σημειώστε ότι το πραγματικό όνομα τομέα άλλαξε στο domain.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Έτσι βλέπετε ότι ο διακομιστής αλληλογραφίας για domain.com είναι maxipes.logix.cz ή broucek.logix.cz.Επομένως, το τελευταίο( πρώτος χρονολογικά) αξιόπιστο "hop" - ή το τελευταίο έμπιστο "Received record" ή ό, τι το αποκαλείτε - είναι αυτό:

Λήψη: από elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) από το maxipes.logix.cz( Postfix) με το αναγνωριστικό ESMTP B43175D3A44 για & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)

Μπορείτε να εμπιστευτείτε αυτό επειδή αυτό καταγράφηκε από το διακομιστή αλληλογραφίας του Bill για domain.com.Αυτός ο ιστότοπος πήρε από 209.86.89.64.Αυτό θα μπορούσε να είναι, και πολύ συχνά, ο πραγματικός αποστολέας του ηλεκτρονικού ταχυδρομείου - στην περίπτωση αυτή ο απατεώνας!Μπορείτε να ελέγξετε αυτό το IP σε μια μαύρη λίστα.- Βλέπεις, είναι καταχωρημένος σε 3 μαύρες λίστες!Υπάρχει ακόμα ένα αρχείο κάτω από αυτό:

Λήψη: από [168.62.170.129]( helo = laurence39) από elasmtp-curtail.atl.sa.earthlink.net με esmtpa( Exim 4.67)( φάκελος από

αλλά δεν μπορείτε πραγματικά να εμπιστεύεστε αυτό, γιατί αυτό θα μπορούσε απλά να προστεθεί από τον απατεώνα για να εξαλείψει τα ίχνη του και / ή να βάλει ένα ψευδή ίχνος .Φυσικά εξακολουθεί να υπάρχει η πιθανότητα ο διακομιστής 209.86.89.64 να είναι αθώος και να ενεργεί μόνο ως ρελέ για τον πραγματικό επιτιθέμενο στο 168.62.170.129, αλλά στη συνέχεια το ρελέ θεωρείται συχνά ένοχος και είναι συχνά μαύρος.Σε αυτή την περίπτωση, το 168.62.170.129 είναι καθαρό, ώστε να είμαστε σχεδόν βέβαιοι ότι η επίθεση έγινε από 209.86.89.64.

Και φυσικά, καθώς γνωρίζουμε ότι η Alice χρησιμοποιεί το Yahoo!και elasmtp-curtail.atl.sa.earthlink.netisn't στο Yahoo!(ίσως θελήσετε να ελέγξετε ξανά τις πληροφορίες IP Whois), μπορούμε ασφαλώς να συμπεράνουμε ότι αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου δεν προέρχεται από την Alice και ότι δεν πρέπει να της στέλνουμε χρήματα στις διακοπές της στις Φιλιππίνες.

Δύο άλλοι συνεισφέροντες, Ex Umbris και Vijay, συνέστησαν, αντίστοιχα, τις ακόλουθες υπηρεσίες για την υποβοήθηση της αποκωδικοποίησης των κεφαλίδων email: SpamCop και του Google Header Analysis tool.

Έχετε κάτι να προσθέσετε στην εξήγηση;Απενεργοποιήστε τα σχόλια.Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους χρήστες τεχνολογίας Stack Exchange;Δείτε το πλήρες νήμα συζήτησης εδώ.