4Sep

Hoe weet ik waar een e-mail echt vandaan kwam?

Dat een e-mail in uw inbox met het label Bill. [email protected] wordt weergegeven, wil niet zeggen dat Bill er eigenlijk iets mee te maken had. Lees verder terwijl we onderzoeken hoe we kunnen graven en zien waar een verdachte e-mail vandaan komt.

De vraag van vandaag &Antwoord sessie komt naar ons met dank aan SuperUser-een onderverdeling van Stack Exchange, een community-drive groep van Q & A-websites.

De vraag

SuperUser-lezer Sirwan wil weten hoe hij kan achterhalen waar e-mails vandaan komen:

Hoe weet ik waar een e-mail echt vandaan komt?
Is er een manier om erachter te komen?
Ik heb gehoord over e-mailheaders, maar ik weet niet waar ik e-mailheaders zie, bijvoorbeeld in Gmail.

Laten we deze e-mailheaders eens bekijken.

De antwoorden

SuperUser-bijdrager Tomas biedt een zeer gedetailleerde en inzichtelijke reactie:

Bekijk een voorbeeld van oplichterij die naar mij is verzonden, doe alsof ik van mijn vriend ben, beweer dat ze is beroofd en vraag me om financiële hulp. Ik heb de namen veranderd - stel dat ik Bill ben, de oplichter heeft een e-mail gestuurd naar [email protected], alsof hij [email protected] is. Merk op dat Bill vooruit wil naar [email protected].

Gebruik in eerste instantie het origineel:

. Vervolgens worden de volledige e-mail en de bijbehorende headers geopend:

Delivered-To: [email protected] Ontvangen: door 10.64.21.33 met SMTP id s1csp177937iee;Ma, 8 jul 2013 04:11:00 -0700( PDT) X-ontvangen: door 10.14.47.73 met SMTP id s49mr24756966eeb.71.1373281860071;Mon, 08 Jul 2013 04:11:00 -0700( PDT) Retourpad: & lt; [email protected]>Ontvangen: van maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) door mx.google.com met ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 voor & lt; [email protected]>(versie = TLSv1-codering = RC4-SHA-bits = 128/128);Mon, 08 Jul 2013 04:11:00 -0700( PDT) Received-SPF: neutraal( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 is niet toegestaan ​​of geweigerd op basis van de beste gokrecord voordomein van [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Verificatie-resultaten: mx.google.com;spf = neutraal( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 is niet toegestaan ​​of ontkend door beste gokrecord voor domein van [email protected]) [email protected] Ontvangen: door maxipes.logix.cz( Postfix, from userid 604) id C923E5D3A45;Ma, 8 jul 2013 23:10:50 +1200( NZST) X-Original-To: [email protected] X-Greylist: vertraagd 00:06:34 door SQLgrey-1.8.0-rc1 ontvangen: van elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) door maxipes.logix.cz( Postfix) met ESMTP id B43175D3A44 voor & lt; [email protected]> ;Ma, 8 jul 2013 23:10:48 +1200( NZST) ontvangen: van [168.62.170.129]( helo = laurence39) door elasmtp-curtail.atl.sa.earthlink.net met esmtpa( Exim 4.67)( envelope-from& lt; [email protected]>) id 1Uw98w-0006KI-6y voor [email protected];Mon, 08 Jul 2013 06:58:06 -0400 Uit: "Alice" & lt; [email protected]>Onderwerp: Verschrikkelijk reisprobleem. .... Beantwoord zo snel mogelijk aan: [email protected] Inhoudstype: multipart / alternatief;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Versie: 1.0 Antwoord: [email protected] Datum: ma, 8 jul 2013 10:58:06 +0000 Message-ID: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... Ik heb de e-mail verwijderd. ..]

De headers moeten chronologisch van onder naar boven worden gelezen - de oudste staan ​​onderaan. Elke nieuwe server die onderweg is, voegt een eigen bericht toe - beginnend met Ontvangen. Bijvoorbeeld:

ontvangen: van maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) door mx.google.com met ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 voor & lt; [email protected]>(versie = TLSv1-codering = RC4-SHA-bits = 128/128);Mon, 08 Jul 2013 04:11:00 -0700( PDT)

Dit zegt dat mx.google.com de e-mail van maxipes.logix.cz heeft ontvangen op ma 08 juli 2013 04:11:00 -0700( PDT).

Nu, om de echte -afzender van uw e-mail te vinden, is het uw doel om de laatste vertrouwde gateway te vinden - het laatst bij het lezen van de headers van bovenaf, d.w.z. eerst in de chronologische volgorde. Laten we beginnen met het vinden van de mailserver van Bill. Hiervoor vraagt ​​u een MX-record voor het domein. U kunt sommige online hulpmiddelen gebruiken, of op Linux kunt u het op de opdrachtregel opvragen( merk op dat de echte domeinnaam is gewijzigd in domain.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Dus je ziet dat de mailserver voor domain.com maxipes.logix.cz of broucek.logix.cz is. Vandaar dat de laatste( eerste chronologisch) vertrouwde "hop" - of laatste vertrouwde "ontvangen record" of hoe je het ook noemt - deze is:

ontvangen: van elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) door maxipes.logix.cz( Postfix) met ESMTP id B43175D3A44 voor & lt; [email protected]> ;Ma, 8 jul 2013 23:10:48 +1200( NZST)

U kunt erop vertrouwen dat dit is geregistreerd door de mailserver van Bill voor domain.com. Deze server heeft het van 209.86.89.64.Dit kan de echte afzender van de e-mail zijn, en is dit vaak, in dit geval de oplichter! U kunt dit IP-adres controleren op een zwarte lijst.- Kijk, hij staat vermeld in 3 zwarte lijsten! Er is nog een ander record eronder:

ontvangen: van [168.62.170.129]( helo = laurence39) door elasmtp-curtail.atl.sa.earthlink.net met esmtpa( Exim 4.67)( envelope-from & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y voor [email protected];Mon, 08 Jul 2013 06:58:06 -0400

maar je kunt dit niet echt vertrouwen, omdat dat door de oplichter gewoon zou kunnen worden toegevoegd om zijn sporen te wissen en / of een valse route te leggen. Natuurlijk is er nog steeds de mogelijkheid dat de server 209.86.89.64 onschuldig is en alleen fungeerde als een doorverwijzing voor de echte aanvaller op 168.62.170.129, maar dan wordt de estafette vaak als schuldig beschouwd en wordt hij vaak op de zwarte lijst gezet. In dit geval is 168.62.170.129 schoon, dus we kunnen er bijna zeker van zijn dat de aanval is uitgevoerd vanaf 209.86.89.64.

En natuurlijk, omdat we weten dat Alice Yahoo!en elasmtp-curtail.atl.sa.earthlink.net staat niet op de Yahoo!netwerk( misschien wilt u de IP Whois-informatie opnieuw controleren), we kunnen gerust concluderen dat deze e-mail niet van Alice afkomstig was, en dat we haar geen geld zouden moeten sturen naar haar beweerde vakantie op de Filippijnen.

Twee andere medewerkers, Ex Umbris en Vijay, hebben respectievelijk de volgende services aanbevolen voor het helpen bij het decoderen van e-mailheaders: SpamCop en de Header Analysis-tool van Google.

Heeft u iets toe te voegen aan de uitleg? Geluid uit in de opmerkingen. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk de volledige discussiethread hier.