4Sep
Csak azért, mert egy e-mail jelenik meg a postaládájában, Bill. [email protected] címkével, de nem jelenti azt, hogy Billnek tényleg volt valami köze ehhez. Olvassa el, miközben feltárjuk, hogyan áshatunk be és nézzük meg, honnan származik egy gyanús e-mail.
A mai kérdés &A válaszadási munkamenet a SuperUser - a Stack Exchange, a Q & A webhelyek közösségi meghajtó csoportosulásának részlegével - köszönhető.
A
SuperUser olvasó kérdése Sirwan azt szeretné tudni, hogyan kell kitalálni, honnan származnak az e-mailek:
Hogyan tudhatom, honnan származik az e-mail?
Van valami mód arra, hogy kiderítse?
Hallottam az e-mail fejlécekről, de nem tudom, hol láthatok e-mail fejléceket például a Gmailben.
Vessünk egy pillantást ezekre az e-mail fejlécekre.
Az Answers
SuperUser-közreműködő Tomas nagyon részletes és átlátható választ ad:
Lásd egy példát az átverésről, amelyet nekem küldtem, úgy tettem, mintha a barátomtól azt állítanám, hogy kirabolták és pénzügyileg megkért. Megváltoztattam a neveket - tegyük fel, hogy én vagyok Bill, a csaló elküld egy e-mailt a [email protected], mintha [email protected] lenne. Vegye figyelembe, hogy a Bill továbbította a [email protected] címre.
Először a Gmailben használd az eredeti példányt:
Ezután megnyílik a teljes e-mail cím és fejlécek:
A fejlécek olvasható időrendben alulról felfelé - legrégebbi az alján. Minden új szerver az úton hozzáadja a saját üzenetet - kezdve a Fogadott. Például:
Ez azt mondja, hogy a mx.google.com megkapta a mailt a maxipes.logix.cz címen: Mon, 08 Jul 2013 04:11:00 -0700( PDT).
Most, hogy megtalálja az igazi küldőjét az Ön e-mailje, a cél az, hogy megtalálja az utolsó megbízható átjárót - legutolsó, amikor a fejléceket olvassa felül, azaz először a kronológiai sorrendben. Kezdjük azzal, hogy megtaláljuk a Bill levélkiszolgálóját. Ehhez lekérdezi a domain MX rekordját. Néhány online eszközt használhat, vagy Linuxon parancssorban lekérdezheti( megjegyzendő, hogy az igazi domain név domain.com-ra változott):
Így láthatja, hogy a domain.com postafiókja maxipes.logix.cz vagy broucek.logix.cz. Tehát az utolsó( első kronologikusan) megbízható "hop" - vagy az utolsó megbízható "Fogadott rekord" vagy bármi, amit nevezel - ez az:
Received: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) a maxipes.logix.cz( Postfix) ESMTP azonosítóval B43175D3A44 a & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)Bízhatsz benne, mert ezt a Bill domain postafiókja rögzítette. Ez a kiszolgáló megkapta a 209.86.89.64-et. Ez lehet, és nagyon gyakran az e-mail igazi feladója - ebben az esetben a csaló!Ezt az IP-címet feketelistán ellenőrizheti.- Lásd, három feketelistában szerepel! Van még egy rekord az alábbiak közül:
de nem igazán bízhatsz benne, mert a csaló csak hozzá tudná adni a nyomokat és / vagy az hamis nyomvonalat .Természetesen továbbra is fennáll annak a lehetősége, hogy a 209.86.89.64 szerver ártatlan, és csak a 168.62.170.129-es verzióban használta a tényleges támadó reléjét, de a relét gyakran bűnösnek tekintik, és nagyon gyakran szerepel a feketelistában. Ebben az esetben a 168.62.170.129 tiszta, így szinte biztosan tudjuk, hogy a támadás a 209.86.89.64-ből történt.
És természetesen, mivel tudjuk, hogy az Alice a Yahoo!és elasmtp-curtail.atl.sa.earthlink.netisn't a Yahoo!hálózatot( érdemes újra ellenőrizni az IP Whois információit), akkor biztonságosan megállapíthatjuk, hogy ez az e-mail nem Alice-ből származik, és hogy nem küldhetünk neki semmiféle pénzt a Fülöp-szigeteken igényelt nyaralásra.
Két másik közreműködő, az Ex Umbris és a Vijay, az alábbi szolgáltatásokat ajánlotta az e-mail fejlécek dekódolásának segítésére: a SpamCop és a Google fejlécelemző eszköze.
Van valami a magyarázathoz? Hangzik ki a megjegyzésekben. Szeretne többet válaszolni a többi technikus-tudós Stack Exchange felhasználóiról? Nézze meg a teljes vitafonalat itt.