4Sep

איך אני יכול לגלות איפה דוא"ל באמת הגיע?

רק בגלל הדוא"ל מופיע בתיבת הדואר הנכנס שלך שכותרתו Bill. [email protected], אין זה אומר כי ביל היה למעשה משהו לעשות עם זה.המשך לקרוא בעודנו בודקים כיצד לחפור פנימה ולראות מהיכן הגיע דוא"ל חשוד.

השאלה של היום &מפגש תשובה מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ קהילתי של אתרי Q & A.

השאלה

SuperUser הקורא Sirwan רוצה לדעת איך להבין איפה הודעות דוא"ל למעשה שמקורם:

איך אני יכול לדעת מאיפה באמת הגיע דוא"ל?
האם יש דרך למצוא אותו?
שמעתי על כותרות דוא"ל, אבל אני לא יודע איפה אני יכול לראות כותרות דוא"ל למשל ב- Gmail.

בואו נסתכל על כותרות הדוא"ל האלה.

התשובות

תורם SuperSser תומס מציעה תגובה מפורטת מאוד תובנה:

ראה דוגמה של הונאה שנשלח אלי, מעמיד פנים שזה מהחבר שלי, בטענה שהיא נשדדה ולבקש ממני סיוע כספי.שיניתי את השמות - נניח שאני ביל, scammer יש לשלוח דוא"ל [email protected], מעמיד פנים שהוא [email protected].שים לב שביל מקדם את הצעת החוק לכתובת [email protected].

ראשית, ב- Gmail, השימוש המופע המקורי:

אז, הדוא"ל מלא את הכותרות שלו יפתח:

Delivered-To: [email protected] שהתקבלו: על ידי 10.64.21.33 עם s1csp177937iee SMTP id;Mon, 8 Jul 2013 04:11:00 -0700( PDT) X-Received: על ידי 10.14.47.73 עם מזהה SMTP s49mr24756966eeb.71.1373281860071;Mon, 08 Jul 2013 04:11:00 -0700( PDT) Return-path: & lt; [email protected]>שהתקבלו: מ maxipes.logix.cz( . Maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) על ידי mx.google.com עם ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 עבור & lt; [email protected]>(גרסה = TLSv1 Cipher = RC4-SHA bits = 128/128);יום שני, 08 יולי 2013 04:11:00 -0700( PDT) Received-SPF: Neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 אינו מותר ולא נמנע על ידי שיא הניחוש הטוב ביותר עבורdomain of [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;אימות - תוצאות: mx.google.com;spf = neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 אינו מותר ולא נדחה על ידי שיא הניחוש הטוב ביותר עבור דומיין של [email protected]) [email protected] קיבל: על ידי maxipes.logix.cz( Postfix, מ userid 604) מזהה C923E5D3A45;יום שני, 8 יולי 2013 23:10:50 +1200( NZST) X-Original-to: [email protected] X-Greylist: עיכוב 00:06:34 על ידי SQLgrey-1.8.0-rc1 שהתקבל: מתוך elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) על ידי maxipes.logix.cz( Postfix) עם ESMTP id B43175D3A44 עבור & lt; [email protected]> ;יום שני, 8 Jul 2013 23:10:48 1200( שעון ניו זילנד) שהתקבל: מ [168.62.170.129]( helo = laurence39) על ידי elasmtp-curtail.atl.sa.earthlink.net עם esmtpa( Exim 4.67)( מעטפה-מן& lt; [email protected]>) id 1Uw98w-0006KI-6y עבור [email protected];Mon, 08 Jul 2013 06:58:06 -0400 מתוך: "Alice" & lt; [email protected]>נושא: נושא נסיעות נורא. .... תשובה חביב בהקדם האפשרי ל: [email protected] תוכן סוג: multipart / Alternative;הגבול = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" גירסה MIME: 1.0 לתשובה: תאריך [email protected]: יום שני, 8 Jul 2013 10:58:06 0000 Message-ID & lt; E1Uw98w-0006KI-6y @ elasmtp-לצמצם.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-מקוריים-IP: 168.62.170.129 [... ואני צריך לחתוך את הגוף הדוא"ל. ..]

הכותרות שיקראו כרונולוגית מלמטה למעלה - העתיקים נמצאים בתחתית.כל שרת חדש בדרך יוסיף הודעה משלו - מתחיל עם Received.לדוגמה:

שהתקבלו: מ maxipes.logix.cz( . Maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) על ידי mx.google.com עם ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 עבור & lt; [email protected]>(גרסה = TLSv1 Cipher = RC4-SHA bits = 128/128);Mon, 08 Jul 2013 04:11:00 -0700( PDT)

זה אומר ש- mx.google.com קיבל את הדואר מ- maxipes.logix.cz ב- Mon, 08 Jul 2013 04:11:00 -0700( PDT).

עכשיו, כדי למצוא את השולח האמיתי של הדוא"ל שלך, המטרה שלך היא למצוא את השער האחרון מהימן - האחרון בעת ​​קריאת כותרות מלמעלה, כלומר קודם בסדר כרונולוגי.בואו נתחיל למצוא את שרת הדואר של ביל.לשם כך, אתה שואל את רשומת ה- MX עבור הדומיין.אתה יכול להשתמש בכלים מקוונים, או על לינוקס אתה יכול שאילתה על שורת הפקודה( שים לב שם הדומיין האמיתי השתנה domain.com):

~ $ host -t מושלם domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

אז אתה רואה את שרת הדואר עבור domain.com הוא maxipes.logix.cz או broucek.logix.cz.לפיכך, האחרון( הראשון כרונולוגית) מהימן "הופ" - או האחרון מהימן "התקבל שיא" או כל מה שאתה קורא לזה - זה אחד:

קיבל: מ elasmtp-curtail.atl.sa.earthlink.net( elasmtp- לקצץ.atl.sa.earthlink.net [209.86.89.64]) על ידי maxipes.logix.cz( Postfix) עם מזהה ESMTP B43175D3A44 עבור & lt; [email protected]> ;יום שני, 8 יולי 2013 23:10:48 +1200( NZST)

אתה יכול לסמוך על זה כי זה נרשם על ידי שרת הדואר של ביל עבור domain.com.שרת זה קיבל את זה מ 209.86.89.64.זה יכול להיות, ולעתים קרובות הוא, השולח האמיתי של הדוא"ל - במקרה זה את scammer!באפשרותך לבדוק את כתובת IP זו ברשימה שחורה.- ראה, הוא מופיע ב 3 רשימות שחורות!יש עוד רשומה מתחתיה:

קיבל: מ [168.62.170.129]( helo = laurence39) על ידי elasmtp-curtail.atl.sa.earthlink.net עם esmtpa( Exim 4.67)( מעטפה מ- & ltence @ yahoo.com & gt;) מזהה 1Uw98w-0006KI-6y עבור [email protected];יום שני, 08 יולי 2013 06:58:06 -0400

אבל אתה לא ממש יכול לסמוך על זה, כי זה יכול פשוט להיות הוסיף על ידי scammer למחות את עקבותיו ו / או להניח שביל שקר .כמובן שיש עדיין את האפשרות כי השרת 209.86.89.644 הוא חף מפשע ורק פעל כממסר עבור התוקף האמיתי ב 168.62.170.129, אבל אז הממסר נחשב לעתים קרובות להיות אשם הוא לעתים קרובות מאוד ברשימה השחורה.במקרה זה, 168.62.170.129 נקי, כדי שנוכל להיות בטוחים שההתקפה נעשתה מ -209.86.89.64.

וכמובן, כפי שאנו יודעים כי אליס משתמש Yahoo!ו elasmtp-curtail.atl.sa.earthlink.net לא על Yahoo!רשת( ייתכן שתרצה לבדוק שוב את פרטי ה- IP של Whois), אנו עשויים להסיק בבטחה שהדוא"ל הזה לא היה מאליס, ושאסור לשלוח לה כסף לחופשה הנתבעת בפיליפינים.

שני תורמים נוספים, Ex Umbris ו- Vijay, המליצו, בהתאמה, את השירותים הבאים לסיוע בפענוח של כותרות דוא"ל: SpamCop ו- Google Header Analysis Tool.

יש מה להוסיף להסבר?נשמע את ההערות.רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי?בדוק את נושא הדיון המלא כאן.