4Sep

Come posso scoprire da dove proviene realmente un'e-mail?

Solo perché una mail appare nella tua casella di posta etichettata Bill. [email protected], non significa che Bill abbia effettivamente avuto a che fare con esso. Continua a leggere mentre esploriamo come scavare e vedere da dove proviene effettivamente un'e-mail sospetta.

Today's Question &La sessione di risposta ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di Q & A su un sito di community drive.

La domanda

SuperUser reader Sirwan vuole sapere come capire da dove provengano effettivamente le email:

Come posso sapere da dove proviene veramente un'e-mail?
C'è un modo per scoprirlo?
Ho sentito parlare delle intestazioni delle e-mail, ma non so dove posso vedere le intestazioni delle e-mail, ad esempio in Gmail.

Diamo un'occhiata a queste intestazioni email.

The Answers

SuperUser contributor Tomas offre una risposta molto dettagliata e perspicace:

Vedi un esempio di truffa che mi è stata inviata, facendo finta che provenga dal mio amico, sostenendo che è stata derubata e chiedendomi un aiuto finanziario. Ho cambiato i nomi - supponiamo che io sia Bill, il truffatore ha inviato un'email a [email protected], facendo finta di essere [email protected]. Si noti che Bill ha inoltrato a [email protected].

Per prima cosa, in Gmail, usa show original:

Quindi, l'email completa e le intestazioni si apriranno:

Delivered-To: [email protected] Ricevuto: da 10.64.21.33 con SMTP id s1csp177937iee;Lun, 8 lug 2013 04:11:00 -0700( PDT) X-Received: da 10.14.47.73 con SMTP id s49mr24756966eeb.71.1373281860071;Lun, 08 lug 2013 04:11:00 -0700( PDT) Return-Path: & lt; [email protected]>Ricevuto: da maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) di mx.google.com con ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 per & lt; [email protected]>(versione = crittografia TLSv1 = bit RC4-SHA = 128/128);Lun, 08 Jul 2013 04:11:00 -0700( PDT) Ricevuto-SPF: neutro( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 non è né consentito né negato dal record di ipotesi migliore perdominio di [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Risultati di autenticazione: mx.google.com;spf = neutro( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 non è né consentito né negato dal record di ipotesi migliore per il dominio di [email protected]) [email protected] Ricevuto: da maxipes.logix.cz( Postfix, da userid 604) id C923E5D3A45;Lun, 8 lug 2013 23:10:50 +1200( NZST) X-Original-To: [email protected] X-Greylist: ritardato 00:06:34 da SQLgrey-1.8.0-rc1 Ricevuto: da elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) di maxipes.logix.cz( Postfix) con ID ESMTP B43175D3A44 per & lt; [email protected]> ;Lun, 8 lug 2013 23:10:48 +1200( NZST) Ricevuto: da [168.62.170.129]( helo = laurence39) di elasmtp-curtail.atl.sa.earthlink.net con esmtpa( Exim 4.67)( envelope-from& lt; [email protected]>) id 1Uw98w-0006KI-6y per [email protected];Lun, 08 lug 2013 06:58:06 -0400 Da: "Alice" & lt; [email protected]>Oggetto: Terribile problema di viaggio. .... Si prega di rispondere al più presto a: [email protected] Content-Type: multipart / alternative;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" Versione MIME: 1.0 Rispondi a: [email protected] Data: lun, 8 lug 2013 10:58:06 +0000 ID messaggio: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... Ho tagliato il corpo dell'email. ..]

Le intestazioni devono essere lette cronologicamente dal basso verso l'alto - le più vecchie sono in basso. Ogni nuovo server in arrivo aggiungerà il proprio messaggio, a partire da Received. Ad esempio:

Ricevuto: da maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) di mx.google.com con ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 per & lt; [email protected]>(versione = crittografia TLSv1 = bit RC4-SHA = 128/128);Lun, 08 lug 2013 04:11:00 -0700( PDT)

Questo dice che mx.google.com ha ricevuto la posta da maxipes.logix.cz a lun, 08 lug 2013 04:11:00 -0700( PDT).

Ora, per trovare il mittente reale della tua e-mail, il tuo obiettivo è quello di trovare l'ultimo gateway attendibile - ultimo quando si leggono le intestazioni dall'alto, vale a dire prima nell'ordine cronologico. Iniziamo trovando il server di posta di Bill. Per questo, si esegue una query sul record MX per il dominio. Puoi usare alcuni strumenti online, oppure su Linux puoi interrogarlo sulla riga di comando( nota che il vero nome di dominio è stato cambiato in domain.com):

~ $ host -t MX dominio.com dominio.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Quindi vedi il server di posta per domain.com è maxipes.logix.cz o broucek.logix.cz. Quindi, l'ultimo( prima cronologicamente) fidato "hop" - o l'ultimo trusted "Received record" o qualsiasi altra cosa tu chiami - è questo:

Received: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) di maxipes.logix.cz( Postfix) con ID ESMTP B43175D3A44 per & lt; [email protected]> ;Lun, 8 lug 2013 23:10:48 +1200( NZST)

Questo si può fidare perché è stato registrato dal server di posta di Bill per domain.com. Questo server l'ha preso da 209.86.89.64.Questo potrebbe essere, e molto spesso lo è, il vero mittente dell'e-mail - in questo caso il truffatore! Puoi controllare questo IP su una lista nera.- Vedi, è elencato in 3 liste nere! C'è ancora un altro record sotto di esso:

Ricevuto: da [168.62.170.129]( helo = laurence39) di elasmtp-curtail.atl.sa.earthlink.net con esmtpa( Exim 4.67)( envelope-from & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y per [email protected];Lun, 08 Jul 2013 06:58:06 -0400

ma non ci si può fidare di questo, perché questo potrebbe essere aggiunto dal truffatore per cancellare le sue tracce e / o gettare una falsa pista .Naturalmente c'è ancora la possibilità che il server 209.86.89.64 sia innocente e abbia agito solo come relé per il vero aggressore a 168.62.170.129, ma poi il relay è spesso considerato colpevole ed è molto spesso inserito nella lista nera. In questo caso, 168.62.170.129 è pulito, quindi possiamo essere quasi sicuri che l'attacco sia stato eseguito da 209.86.89.64.

E, naturalmente, come sappiamo che Alice utilizza Yahoo!e elasmtp-curtail.atl.sa.earthlink.net non è su Yahoo!rete( si consiglia di ricontrollare le sue informazioni Whois IP), possiamo tranquillamente concludere che questa e-mail non proveniva da Alice, e che non dovremmo mandarle dei soldi per la sua vacanza dichiarata nelle Filippine.

Due altri contributori, Ex Umbris e Vijay, hanno raccomandato, rispettivamente, i seguenti servizi per l'assistenza nella decodifica delle intestazioni delle e-mail: SpamCop e lo strumento di analisi dell'intestazione di Google.

Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.