4Sep
Tylko dlatego, że e-mail pojawia się w Twojej skrzynce odbiorczej o nazwie Bill. [email protected], nie oznacza, że Bill miał z tym coś wspólnego. Czytaj dalej, kiedy odkrywamy, jak się wkopać i zobaczyć, skąd pochodzi podejrzany e-mail.
Dzisiejsze pytanie &Sesja odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, grupy napędów społecznościowych Q & A.
Pytanie Czytnik
SuperUser Sirwan chce wiedzieć, jak dowiedzieć się, skąd pochodzą e-maile:
Skąd mogę wiedzieć, skąd naprawdę pochodzi e-mail?
Czy istnieje sposób, aby to znaleźć?
Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu.
Rzućmy okiem na te nagłówki wiadomości e-mail.
Odpowiedzi
SuperUser Tomas oferuje bardzo szczegółową i wnikliwą odpowiedź:
Zobacz przykład oszustwa, który został mi wysłany, udając, że jest od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową.Zmieniłem nazwy - przypuśćmy, że jestem Billem, oszust wysłał e-mail na adres [email protected], udając, że jest [email protected]. Zwróć uwagę, że Bill przekazał na adres [email protected].
Najpierw w Gmailu użyj oryginalnego programu:
Następnie otworzy się pełny adres e-mail i jego nagłówki:
Nagłówki należy czytać chronologicznie od dołu do góry - najstarsze są na dole. Każdy nowy serwer po drodze doda własną wiadomość - zaczynając od odebranego. Na przykład:
Oznacza to, że mx.google.com otrzymał wiadomość od maxipes.logix.cz na Pon., 08 Jul 2013 04:11:00 -0700( PDT).
Teraz, aby znaleźć prawdziwego nadawcę poczty e-mail, Twoim celem jest znalezienie ostatniej zaufanej bramy - ostatniej, gdy czytasz nagłówki od góry, tj. Najpierw w porządku chronologicznym. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu wyszukujesz rekord MX dla domeny. Możesz użyć niektórych narzędzi online lub na Linuksie możesz zapytać o to w wierszu poleceń( zauważ, że prawdziwa nazwa domeny została zmieniona na domain.com):
Tak więc serwer pocztowy domeny domain.com to maxipes.logix.cz lub broucek.logix.cz. Stąd ostatni( pierwszy chronologicznie) zaufany "hop" - lub ostatni zaufany "Received record" lub jakkolwiek go nazwiesz - jest ten:
Received: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) o maxipes.logix.cz( Postfix) o identyfikatorze ESMTP B43175D3A44 dla & lt; [email protected]> ;Poniedziałek, 8 lip 2013 23:10:48 +1200( NZST)Możesz zaufać temu, ponieważ został on zarejestrowany przez serwer pocztowy Billa dla domeny. Ten serwer dostał go od 209,86.89.64.Może to być i bardzo często jest rzeczywistym nadawcą wiadomości e-mail - w tym przypadku oszustem! Możesz sprawdzić to IP na czarnej liście.- Zobacz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:
, ale nie możesz tak naprawdę zaufać, ponieważ to może być dodane przez oszusta, aby zniszczyć jego ślady i / lub położyć fałszywy ślad .Oczywiście nadal istnieje prawdopodobieństwo, że serwer 209.86.89.64 jest niewinny i działał tylko jako przekaźnik dla prawdziwego napastnika w dniu 168.62.170.129, ale wtedy przekaźnik jest często uważany za winnego i jest bardzo często na czarnej liście. W tym przypadku 168.62.170.129 jest czysty, więc możemy być prawie pewni, że atak został wykonany z 209.86.89.64.
I oczywiście, jak wiemy, że Alicja używa Yahoo!i elasmtp-curtail.atl.sa.earthlink.net nie jest na Yahoo!(możesz chcieć ponownie sprawdzić swoje informacje dotyczące IP Whois), możemy bezpiecznie wywnioskować, że ten e-mail nie pochodzi od Alice i że nie powinniśmy wysyłać jej żadnych pieniędzy na jej wakacje na Filipinach.
Dwóch innych współpracowników, Ex Umbris i Vijay, polecili odpowiednio następujące usługi do pomocy w dekodowaniu nagłówków wiadomości e-mail: SpamCop i narzędzie Google Header Analysis.
Czy chcesz coś dodać do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.