4Sep
Bare fordi en e-post vises i innboksen din betegnet Bill. [email protected], betyr ikke at Bill faktisk hadde noe med det å gjøre. Les videre når vi undersøker hvordan du graver inn og ser hvor en mistenkelig e-post faktisk kom fra.
Dagens Spørsmål &Svar-økt kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en fellesskapsdrift gruppering av Q & A-nettsteder.
Spørsmålet
SuperUser leser Sirwan vil vite hvordan du finner ut hvor e-post faktisk kommer fra:
Hvordan kan jeg vite hvor en e-post virkelig kom fra?
Er det noen måte å finne ut det?
Jeg har hørt om e-postoverskrifter, men jeg vet ikke hvor jeg kan se e-postoverskrifter, for eksempel i Gmail.
La oss ta en titt på disse e-posthodene.
Svarene
SuperUser-bidragsyter Tomas tilbyr et svært detaljert og innsiktsfullt svar:
Se et eksempel på svindel som har blitt sendt til meg, la til at det er fra min venn, hevder at hun har blitt ranet og ber meg om økonomisk hjelp. Jeg har endret navnene - antag at jeg er Bill, svindleren har sendt en e-post til [email protected], og utgir at han er [email protected]. Merk at Bill har videresendt til [email protected].
Først, i Gmail, bruk visnings original:
Da vil hele epost og overskrifter åpne:
Samlingsrør skal leses kronologisk fra bunn til topp - eldste er på bunnen. Hver ny server underveis vil legge til sin egen melding - starter med mottatt. For eksempel:
Dette sier at mx.google.com har mottatt mailen fra maxipes.logix.cz på ma, 08 jul 2013 04:11:00 -0700( PDT).
Nå, for å finne ekte avsender av e-posten din, er målet ditt å finne den siste pålitelige gatewayen - sist når du leser topptekstene fra toppen, dvs. først i kronologisk rekkefølge. La oss starte med å finne Bill's mail server. For dette spør du MX-posten for domenet. Du kan bruke noen elektroniske verktøy, eller på Linux kan du spørre det på kommandolinjen( merk at det virkelige domenenavnet ble endret til domain.com):
Så du ser e-postserveren for domain.com er maxipes.logix.cz eller broucek.logix.cz. Derfor er den siste( første kronologisk) klarerte "hopp" - eller sist betrodd "Mottatt post" eller hva du kalle det - dette er:
Mottatt: fra elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz( Postfix) med ESMTP ID B43175D3A44 for & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)Du kan stole på dette fordi dette ble registrert av Bills postserver for domain.com. Denne serveren fikk den fra 209.86.89.64.Dette kan være, og veldig ofte er den ekte avsenderen av e-posten - i dette tilfellet svindleren! Du kan sjekke denne IP-en på en svarteliste.- Se, han er oppført i 3 svartelister! Det er enda en plate under det:
, men du kan faktisk ikke stole på dette, fordi det bare kunne legges til av svindleren for å slette sporene sine og / eller legger et falsk spor .Selvfølgelig er det fortsatt mulighet for at serveren 209.86.89.64 er uskyldig og bare handlet som et relé for den virkelige angriperen på 168.62.170.129, men da er reléet ofte ansett for å være skyldig og er ofte svartelistet. I dette tilfellet er 168.62.170.129 rent, så vi kan være nesten sikre på at angrepet ble gjort fra 209.86.89.64.
Og selvfølgelig, som vi vet at Alice bruker Yahoo!og elasmtp-curtail.atl.sa.earthlink.net er ikke på Yahoo!nettverk( du vil kanskje sjekke dens IP Whois informasjon), kan vi sikkert konkludere med at denne e-posten ikke var fra Alice, og at vi ikke skulle sende henne noen penger til hennes hevdet ferie på Filippinene.
To andre bidragsytere, Ex Umbris og Vijay, anbefalte henholdsvis følgende tjenester for å hjelpe til med dekoding av e-posthodede: SpamCop og Googles headeranalyseverktøy.
Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.