4Sep
Samo zato što se e-pošta prikazuje u pristigloj pošti s oznakom Bill. [email protected], to ne znači da Bill zapravo ima nikakve veze s njom. Pročitajte kako istražujemo kako iskopati i vidjeti gdje je zapravo došla sumnjiva e-adresa.
Današnje pitanje &Sesija odgovora nam dolazi zahvaljujući SuperUseru - podjele Stack Exchange, zajedničkom pogonu grupiranja Q & A web stranica.
Pitanje
SuperUser čitač Sirwan želi znati kako shvatiti gdje e-pošte zapravo potječu od:
Kako mogu znati odakle je doista došla e-adresa?
Postoji li neki način da saznate?
Čuo sam za zaglavlja e-pošte, ali ne znam gdje mogu vidjeti zaglavlja e-pošte, na primjer u Gmailu. Pogledajte
ove zaglavlja e-pošte.
Odgovori
SuperUser suradnik Tomas nudi vrlo detaljan i pronicav odgovor:
Vidite primjer prijevare koji mi je poslan, pretvarajući se da je od mog prijatelja, tvrdeći da je bila opljačkana i tražila mi financijsku pomoć.Promijenio sam imena - pretpostavimo da sam Bill, skitnica poslala e-poruku na [email protected], pretvarajući se da je on [email protected]. Napominjemo da je Bill predao rač[email protected].
Prvo, na usluzi Gmail, upotrijebite originalni prikaz:
Zatim će se otvoriti puna e-pošta i zaglavlja:
Zaglavlja treba čitati kronološki od dna prema vrhu - najstariji su na dnu. Svaki novi poslužitelj na putu će dodati vlastitu poruku - počevši od primljenog. Na primjer:
Ovime je mx.google.com primio poštu od maxipes.logix.cz na Mon, 08 Jul 2013 04:11:00 -0700( PDT),
Sada, da biste pronašli pravi pošiljatelj e-pošte, vaš je cilj pronaći posljednje pouzdano pristupnika - zadnji pri čitanju zaglavlja s vrha, tj. Prvo u kronološkom redoslijedu. Počnimo traženjem Billovog poslužitelja pošte. Za to ćete upiti MX zapis za domenu. Možete koristiti neke online alate, ili na Linuxu možete ga upitati na naredbenom retku( napominjemo da je pravi naziv domene promijenjen u domain.com):
Tako da vidite poslužitelja e-pošte za domain.com je maxipes.logix.cz ili broucek.logix.cz. Dakle, zadnji( prvi kronološki) pouzdani "hop" - ili posljednji pouzdani "primljeni zapis" ili što god zovete - je ovaj:
primljen: od elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) od strane maxipes.logix.cz( Postfix) s ESMTP idom B43175D3A44 za & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)Možete vjerovati to jer je bilježio Billov poslužitelj e-pošte za domene.com. Ovaj je poslužitelj dobio od 209.86.89.64.To bi moglo biti, i vrlo često, pravi pošiljatelj e-pošte - u ovom slučaju skitnica! Možete provjeriti ovu IP na crnoj listi.- Vidi, on je naveden u 3 crne liste! Postoji još jedan zapis ispod njega:
ali to uopće ne možete imati povjerenja, jer je taj korisnik mogao dodati samo kako bi izbrisao tragove i / ili položio lažnu stazu .Naravno, još uvijek postoji mogućnost da je poslužitelj 209.86.89.64 nedužan i da je djelovao samo kao relej za pravi napadač na 168.62.170.129, no tada se relej često smatra krivim i vrlo često je na crnoj listi. U ovom slučaju, 168.62.170.129 je čist, tako da možemo biti gotovo sigurni da je napad napravljen od 209.86.89.64.
I naravno, kao što znamo da Alice koristi Yahoo!i elasmtp-curtail.atl.sa.earthlink.netisn't na Yahoo!mreža( možda želite ponovno provjeriti podatke IP Whois-a), možemo sigurno zaključiti da ova e-poruka nije bila iz Alice, i da joj ne bismo trebali poslati nikakav novac na njezin pohodjeni odmor na Filipinima.
Dva druga suradnika, Ex Umbris i Vijay, preporučuju sljedeće usluge za pomoć pri dekodiranju zaglavlja e-pošte: SpamCop i Googleov alat za analizu zaglavlja.
Imate li nešto za objašnjenje? Zvuči u komentarima.Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
