4Sep
Just sellepärast, et teie postkastis märgitud tekst e-posti aadressil Bill. [email protected], ei tähenda, et Billil oleks sellega midagi pistmist. Loe edasi, kui uurime, kuidas kaevama ja vaata, kust kahtlane e-posti saadeti tegelikult.
tänapäeva küsimus &Vastuse seanss on meile viisakalt SuperUseriga - Q & A veebisaitide kogukonna juhtimisgrupi Stack Exchange osakond.
Küsimus
SuperUseri lugeja Sirwan soovib teada, kuidas välja selgitada, kust e-kirjad tegelikult pärinevad:
Kuidas ma saan teada, kust e-post tõesti pärineb?
Kas on võimalik seda välja selgitada?
Olen kuulnud e-posti päistest, kuid ma ei tea, kus ma näen e-posti päiseid näiteks Gmailis.
Vaatame neid e-posti päiseid.
Vastused
SuperUseri kaastöötaja Tomas pakub väga üksikasjalikku ja põhjalikku vastust:
Vaadake mulle saadetud kelmuse näidet, teeseldes, et see on minu sõbralt, väites, et ta on röövitud ja paludes mul rahalist abi. Olen muutnud nimesid - oletame, et olen Bill, petturid saadavad e-kiri aadressile [email protected], teeseldes, et ta on [email protected]. Pange tähele, et Bill on edastanud [email protected].
Esmalt Gmailis kasutage show original:
. Seejärel avaneb täielik e-posti aadress ja selle päised:
Päised on lugeda kronoloogiliselt alt üles - vanim on allosas. Iga uus server teedel lisab oma sõnumi - alustades saadud artiklist. Näiteks:
See ütleb, et mx.google.com on saanud e-kirja aadressilt maxipes.logix.cz kell 18. juuli 2013 04:11:00 -0700( PDT).
Nüüd, et leida teie e-posti reaalne saatja, on teie eesmärk leida viimane usaldusväärne värav - viimane, kui lugeda päiseid ülevalt, st esmalt kronoloogilises järjekorras. Alustame Billi e-posti serveri leidmisega. Selle jaoks esitate domeeni MX-kirje päringu. Võite kasutada mõnda veebipõhist tööriista või Linuxi, mille abil saate seda käsurida( märkus, et tegelik domeeninimi on muudetud domain.com-le):
Nii et näete domain.com-i meiliserverit maxipes.logix.cz või broucek.logix.cz. Seega on viimane( esimene kronoloogiliselt) usaldusväärne hop - või viimane usaldusväärne "Vastuvõetud rekord" või mida iganes sa seda nimetad - see on see:
saadud: elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz( Postfix) koos ESMTP-ga id B43175D3A44 aadressilSa võid seda usaldada, kuna seda registreeris Billi posti server domeenile.com. See server sai selle 209.86.89.64-st. See võiks olla ja väga sageli e-posti tegeliku saatja, antud juhul petturija! Saate vaadata seda IP-aadressi musta nimekirja.- Vaata, ta on loetletud 3 mustas nimekirjas! Selle all on veel üks kirje:
, kuid te ei saa seda kindlasti usaldada, sest scammer võib seda lihtsalt lisada, et hävitada tema jäljed ja / või panna valed raja .Loomulikult on ikka veel võimalus, et server 209.86.89.64 on süütu ja tegutses reaalsete ründajatena ainult 168.62.170.129 reaalses versioonis, kuid seejärel loetakse releet sageli süüdi ja see on sageli musta nimekirja kantud. Sellisel juhul on 168.62.170.129 puhas, nii et võime olla peaaegu kindel, et rünnak oli tehtud 209.86.89.64.
Ja muidugi, nagu me teame, et Alice kasutab Yahoo!ja elasmtp-curtail.atl.sa.earthlink ei ole Yahoo!võrk( võite oma IP Whois-teabe uuesti kontrollida) võime me kindlalt järeldada, et see e-kiri ei olnud Alice'ist, ja et me ei peaks saatma talle mingit raha tema taotletud puhkusele Filipiinidel.
Kahel teisel autoril Ex Umbris ja Vijay soovitasid järgmised e-posti päiste dekodeerimise abistamise teenused: SpamCop ja Google'i päise analüüsimise tööriist.
Kas teil on seletamiseks midagi lisada? Helistage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Tutvu täieliku arutelu teemaga siit.
