4Sep

Kuinka löydän, miltä sähköposti todella tuli?

Vain siksi, että sähköposti näkyy postilaatikossasi, jonka nimi on Bill. [email protected], ei tarkoita sitä, että Billillä olisi itse asiassa mitään tekemistä sen kanssa. Lue, kun tutkimme, miten kaivaa sisään ja nähdä, miltä epäilyttävä sähköposti todella tuli.

Päivän kysymys &Vastausistunto tulee meille SuperUser-palvelun kautta, joka on Stack Exchange -jakauma, Q & A-sivustojen yhteisöjoukkoyhdistelmä.

Kysymys

SuperUser-lukija Sirwan haluaa tietää, miten selvittää, mistä sähköposteista todella on peräisin:

Kuinka voin tietää, mistä sähköposti todella tuli?
Onko mahdollista löytää se?
Olen kuullut sähköpostin otsikoista, mutta en tiedä, mistä näen sähköpostiotsikoita esimerkiksi Gmailissa.

Katsotaanpa nämä sähköpostin otsikot.

Vastaukset

SuperUser-avustaja Tomas tarjoaa erittäin yksityiskohtaisen ja oivaltavan vastauksen:

Katso esimerkki huijauksesta, joka on lähetetty minulle, teeskennellen, että se on ystäväni, väittäen että hänet on ryöstetty ja pyysi minulta taloudellista apua. Olen muuttanut nimiä - oletan, että olen Bill, huijari on lähettänyt sähköpostin osoitteeseen [email protected], teeskentelevästi hän on [email protected]. Huomaa, että Bill on lähettänyt [email protected].

Ensinnäkin Gmailissa käytä näytä alkuperäistä:

Täydellinen sähköposti ja sen otsikot aukeavat:

Lähetetty: [email protected] Saatu: 10.64.21.33 SMTP-tunnuksella s1csp177937iee;Mon, 8 Heinäkuu 2013 04:11:00 -0700( PDT) X-vastaanotettu: 10.14.47.73 SMTP-tunnuksella s49mr24756966eeb.71.1373281860071;Mon, 08 Hei 2013 04:11:00 -0700( PDT) Palautuspolku: & lt; [email protected]>Vastaanotetut: maxipes.logix.cz( maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com ESMTPS-tunnuksella j47si6975462eeg.108.2013.07.08.04.10.59 & lt; [email protected]>(versio = TLSv1-salaus = RC4-SHA-bitti = 128/128);Mon, 08 Hei 2013 04:11:00 -0700( PDT) Vastaanotettu-SPF: neutraali( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole sallittua eikä kiellettydomain SRS0 = [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Todennus-tulokset: mx.google.com;spf = neutraali( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole sallittua eikä kielletty [email protected]) [email protected] Vastaanotettu: maxipes.logix.cz( Postfix, käyttäjältä 604) id C923E5D3A45;Mon, 8 Hei 2013 23:10:50 +1200( NZST) X-Alkuperäinen-To: [email protected] X-Greylist: viivästynyt 00:06:34 SQLgrey-1.8.0-rc1 vastaanotettu: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz( Postfix) kanssa ESMTP-tunnuksella B43175D3A44 & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST) Vastaanotettu: [168.62.170.129]( helo = laurence39) by elasmtp-curtail.atl.sa.earthlink.net esmtpa( Exim 4.67)( kirjekuori-alkaen& lt; [email protected]>) id 1Uw98w-0006KI-6y osoitteeseen [email protected];Mon, 08 Jul 2013 06:58:06 -0400 Lähettäjä: "Alice" & lt; [email protected]>Aihe: Terrible Travel Issue. .... Kindly vastaus ASAP Jotta: [email protected] Sisältö-tyyppi: multipart / vaihtoehto;raja = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-versio: 1.0 Vastaus: [email protected] Päivämäärä: Mon, 8 Hei 2013 10:58:06 +0000 Viesti-ID: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... Olen leikannut sähköpostin pääosaan. ..]

Otsikot on luettava kronologisesti alhaalta ylös - vanhin ovat alareunassa. Jokainen uusi palvelin matkalla lisää oman viestinsä - alkaen vastaanotetusta. Esimerkiksi:

Vastaanotettu: maxipes.logix.cz( maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com ESMTPS-tunnuksella j47si6975462eeg.108.2013.07.08.04.10.59 & lt; [email protected]>(versio = TLSv1-salaus = RC4-SHA-bitti = 128/128);Mon, 08 Hei 2013 04:11:00 -0700( PDT)

Tämä sanoo, että mx.google.com on saanut postin osoitteesta maxipes.logix.cz Mon, 08 Jul 2013 04:11:00 -0700( PDT).

Nyt löytääksesi : n todellisen -lähettäjän sähköpostiosoitteesi, tavoitteena on löytää viimeinen luotettu yhdyskäytävä - viimeinen lukeminen otsikoista ylhäältä, eli ensin kronologisessa järjestyksessä.Aloita etsimällä Billin sähköpostipalvelin. Tätä varten kysyt verkkotunnuksen MX-tietueen. Voit käyttää joitain online-työkaluja tai Linuxissa voit kysyä sitä komentoriviltä( huomaa, että todellinen verkkotunnus on muuttunut domain.com-palveluun):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Joten näet, että postipalvelin domain.com on maxipes.logix.cz tai broucek.logix.cz. Näin ollen viimeinen( ensimmäinen kronologisesti) luotettu "hop" - tai viimeisin luotettu "vastaanotettu tietue" tai mitä kutsutte sitä - on tämä:

Vastaanotettu: osoitteesta elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz( Postfix) kanssa ESMTP-tunnuksella B43175D3A44 & lt; [email protected]> ;Mon, 8 Hei 2013 23:10:48 +1200( NZST)

Voit luottaa tähän, koska Billin postipalvelin rekisteröi verkkotunnuksen domain.com. Tämä palvelin sai sen 209.86.89.64.Tämä voisi olla, ja hyvin usein, todellinen sähköposti lähettäjä - tässä tapauksessa huijari! Voit tarkistaa tämän IP: n mustalla listalla.- Katso, hänet on listattu kolmessa mustassa listassa! Tässä on vielä yksi tietue:

Vastaanotettu: [168.62.170.129]( helo = laurence39) by elasmtp-curtail.atl.sa.earthlink.net esmtpa( Exim 4.67)( kirjekuori-osoitteesta & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y osoitteeseen [email protected];Mon, 08 Jul 2013 06:58:06 -0400

mutta et voi oikeasti luottaa tähän, koska huijaaja voi vain lisätä sen jälkiä ja / tai asettaa väärän polun .Tietenkin on edelleen mahdollista, että palvelin 209.86.89.64 on viaton ja toimii vain releläenä todellisen hyökkääjän suhteen 168.62.170.129, mutta sitten releä pidetään usein syyllisenä ja usein usein mustalle listalle. Tässä tapauksessa 168.62.170.129 on puhdas, joten voimme olla melkein varmoja, että hyökkäys tehtiin 209.86.89.64.

Ja tietenkin, koska tiedämme, että Alice käyttää Yahoo!ja elasmtp-curtail.atl.sa.earthlink.net ei ole Yahoo!verkko( voit halutessasi tarkistaa sen IP Whois -tiedot uudelleen), voimme turvallisesti päätellä, että tämä sähköposti ei ollut Alicesta, eikä meidän pitäisi lähettää hänelle mitään rahaa Filippiineillä olevalle lomalleen.

Kaksi muuta osallistujaa, Ex Umbris ja Vijay, suosittelivat seuraavia palveluja sähköpostiosoitteiden koodauksen estämiseen: SpamCop ja Googlen Header Analysis -työkalu.

Onko sinulla jotain lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä?Katso koko keskusteluketju täältä.