4Sep

Bagaimana Saya Menemukan Out Dimana Email benar-benar berasal?

click fraud protection

Hanya karena sebuah email muncul di inbox Anda berlabel Bill. [email protected], tidak berarti Bill benar-benar ada hubungannya dengan itu. Baca terus saat kita menggali cara menggali dan melihat dari mana sebenarnya email yang mencurigakan berasal.

Pertanyaan Hari Ini &Sesi jawaban datang kepada kami atas izin dari SuperUser - subdivisi dari Stack Exchange, pengelompokan komunitas dari situs web Q & A.

Pertanyaan

Pembaca superuser Sirwan ingin tahu bagaimana cara mengetahui dari mana email sebenarnya berasal dari:

Bagaimana saya bisa tahu dari mana Email benar-benar berasal?
Apakah ada cara untuk mengetahuinya?
Saya pernah mendengar tentang header email, tapi saya tidak tahu di mana saya bisa melihat email header misalnya di Gmail.

Mari kita lihat header email ini.

Para penyumbang SuperUser

Tomas menawarkan tanggapan yang sangat rinci dan mendalam:

Lihatlah contoh penipuan yang telah dikirimkan kepada saya, berpura-pura dari teman saya, mengklaim bahwa dia telah dirampok dan meminta bantuan keuangan saya. Saya telah mengubah namanya - anggap bahwa saya adalah Bill, si penipu telah mengirim email ke [email protected], berpura-pura dia adalah [email protected]. Perhatikan bahwa Bill telah maju ke [email protected].

instagram viewer

Pertama, di Gmail, gunakan show original:

Kemudian, email lengkap dan tajuknya akan terbuka:

Disampaikan-Kepada: [email protected] Diterima: oleh 10.64.21.33 dengan SMTP id s1csp177937iee;Mon, 8 Jul 2013 04:11:00 -0700( PDT) X-Received: oleh 10.14.47.73 dengan SMTP id s49mr24756966eeb.71.1373281860071;Senin, 08 Juli 2013 04:11:00 -0700( PDT) Return-Path: & lt; [email protected]>Diterima: dari maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) oleh mx.google.com dengan ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 untuk & lt; [email protected]>(versi = TLSv1 cipher = bit RC4-SHA = 128/128);Senin, 08 Juli 2013 04:11:00 -0700( PDT) Diterima-SPF: netral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untukdomain [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Hasil Otentikasi: mx.google.com;spf = netral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diijinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) [email protected] Diterima: oleh maxipes.logix.cz( Postfix, dari userid 604) id C923E5D3A45;Mon, 8 Jul 2013 23:10:50 +1200( NZST) X-Original-To: [email protected] X-Greylist: tertunda 00:06:34 oleh SQLgrey-1.8.0-rc1 Diterima: dari batasan elasmtp.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz( Postfix) dengan ESMTP id B43175D3A44 for & lt; [email protected]> ;Senin, 8 Juli 2013 23:10:48 +1200( NZST) Diterima: from [168.62.170.129]( helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa( Exim 4.67)( amplop-dari& lt; [email protected]>) id 1Uw98w-0006KI-6y untuk [email protected];Senin, 08 Jul 2013 06:58:06 -0400 Dari: "Alice" & lt; [email protected]>Perihal: Terrible Travel Issue. .... Mohon balas ASAP To: [email protected] Content-Type: multipart / alternative;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Versi: 1.0 Balas-Ke: [email protected] Tanggal: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... Saya telah memotong badan email. ..]

Header yang dibaca secara kronologis dari bawah ke atas - yang tertua ada di bagian bawah. Setiap server baru dalam perjalanan akan menambahkan pesannya sendiri - dimulai dengan Received. Sebagai contoh:

Diterima: dari maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 untuk & lt; [email protected]>(versi = TLSv1 cipher = bit RC4-SHA = 128/128);Senin, 08 Jul 2013 04:11:00 -0700( PDT)

Ini mengatakan bahwa mx.google.com telah menerima surat dari maxipes.logix.cz pada Senin, 08 Juli 2013 04:11:00 -0700( PDT).

Sekarang, untuk menemukan pengirim yang sebenarnya dari email Anda, tujuan Anda adalah menemukan gateway tepercaya yang terakhir - terakhir saat membaca tajuk dari atas, yaitu pertama dalam urutan kronologis. Mari kita mulai dengan menemukan server surat Bill. Untuk ini, Anda query data MX untuk domain. Anda bisa menggunakan beberapa alat online, atau di Linux Anda bisa query di command line( perhatikan nama domain yang sebenarnya telah diubah menjadi domain.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Jadi anda melihat mail server untuk domain.com adalah maxipes.logix.cz atau broucek.logix.cz. Oleh karena itu, yang terakhir( secara kronologis pertama) mempercayai "hop" - atau rekaman terpercaya "Received Record" terakhir atau apa pun yang Anda sebut - inilah yang ini:

Diterima: dari elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz( Postfix) dengan ESMTP id B43175D3A44 untuk & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)

Anda dapat mempercayai ini karena ini dicatat oleh server surat tagihan untuk domain.com. Server ini mendapatkannya dari 209.86.89.64.Ini bisa jadi, dan sangat sering adalah, pengirim email yang sebenarnya - dalam hal ini scammer! Anda bisa mengecek IP ini di daftar hitam.- Lihat, dia terdaftar di 3 blacklist! Ada lagi catatan di bawah ini:

Diterima: dari [168.62.170.129]( helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa( Exim 4.67)( amplop-dari & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y untuk [email protected];Senin, 08 Jul 2013 06:58:06 -0400

tapi Anda tidak bisa benar-benar mempercayainya, karena itu hanya bisa ditambahkan oleh scammer untuk menghapus jejaknya dan / atau meletakkan jejak palsu .Tentu masih ada kemungkinan bahwa server 209.86.89.64 tidak bersalah dan hanya bertindak sebagai relay untuk penyerang sebenarnya di 168.62.170.129, tapi kemudian relay sering dianggap bersalah dan sangat sering masuk daftar hitam. Dalam hal ini, 168.62.170.129 sudah bersih sehingga kita bisa hampir yakin serangannya dilakukan dari 209.86.89.64.

Dan tentu saja, seperti yang kita ketahui bahwa Alice menggunakan Yahoo!dan elasmtp-curtail.atl.sa.earthlink.nettidak ada di Yahoo!jaringan( Anda mungkin ingin memeriksa kembali informasi Whois IP-nya), kami dapat dengan aman menyimpulkan bahwa email ini bukan dari Alice, dan bahwa kami seharusnya tidak mengirimkan uang kepadanya untuk diklaim di Filipina.

Dua kontributor lainnya, Ex Umbris dan Vijay, merekomendasikan masing-masing layanan berikut untuk membantu penguraian header email: SpamCop dan alat Analisis Header Google.

Punya sesuatu untuk ditambahkan ke penjelasannya? Terdengar dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange tech-savvy lainnya? Simak thread diskusi selengkapnya disini.