4Sep

Como posso descobrir de onde um e-mail realmente veio?

Só porque um e-mail aparece na sua caixa de entrada denominada Bill. [email protected], não significa que Bill tenha realmente qualquer coisa a ver com isso. Leia mais enquanto exploramos como cavar e ver de onde veio um email suspeito.

Today's Question &A sessão de resposta vem a nós com cortesia do SuperUser - uma subdivisão do Stack Exchange, um grupo de unidade comunitária de sites Q e A.

A pergunta

Leitor de superutilizador Sirwan quer saber como descobrir de onde os e-mails realmente se originam:

Como posso saber de onde um e-mail realmente veio?
Existe alguma maneira de descobrir?
Ouvi falar sobre cabeçalhos de e-mail, mas não sei onde posso ver cabeçalhos de e-mail, por exemplo, no Gmail.

Vamos dar uma olhada nestes cabeçalhos de e-mail.

As respostas

Contribuinte do SuperUser Tomas oferece uma resposta muito detalhada e perspicaz:

Veja um exemplo de fraude que me foi enviado, fingindo que é da minha amiga, alegando que ela foi roubada e me pedindo ajuda financeira. Eu mudei os nomes - suponho que eu sou Bill, o scammer enviou um e-mail para [email protected], fingindo que ele é [email protected]. Note que Bill tem a frente para [email protected].

Primeiro, no Gmail, use o show original:

Em seguida, o e-mail completo e os cabeçalhos serão abertos:

Entregue-Para: [email protected] Recebido: por 10.64.21.33 com identificação SMTP s1csp177937iee;Seg, 8 Jul 2013 04:11:00 -0700( PDT) X-Received: por 10.14.47.73 com id de SMTP s49mr24756966eeb.71.1373281860071;Seg, 08 Jul 2013 04:11:00 -0700( PDT) Return-Path: & lt; [email protected]>Recebido: de maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) por mx.google.com com ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 para & lt; [email protected] & gt;(versão = TLSv1 cipher = RC4-SHA bits = 128/128);Seg, 08 Jul 2013 04:11:00 -0700( PDT) Recebido-SPF: neutro( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 não é permitido nem negado pelo melhor registro de suposições paradomínio de [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Autenticação-Resultados: mx.google.com;spf = neutro( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 não é permitido nem negado pelo melhor registro de suposições para domínio de [email protected]) [email protected] Recebido: por maxipes.logix.cz( Postfix, do userid 604) id C923E5D3A45;Seg, 8 Jul 2013 23:10:50 +1200( NZST) X-Original-To: [email protected] X-Greylist: atrasado 00:06:34 por SQLgrey-1.8.0-rc1 Recebido: de elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz( Postfix) com ID ESMTP B43175D3A44 para & lt; [email protected]> ;Seg, 8 Jul 2013 23:10:48 +1200( NZST) Recebido: de [168.62.170.129]( helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net com esmtpa( Exim 4.67)( envelope de& lt; [email protected]>) id 1Uw98w-0006KI-6y para [email protected];Seg, 08 Jul 2013 06:58:06 -0400 De: "Alice" & lt; [email protected]>Assunto: Problema de viagem terrível. .... Responda por favor ASAP TO: [email protected] Content-Type: multipart / alternative;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Data: Seg, 8 Jul 2013 10:58:06 +0000 ID da Mensagem: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originário-IP: 168.62.170.129 [... Eu cortar o corpo do email. ..]

Os cabeçalhos devem ser lidas em ordem cronológica de baixo para cima - mais velho estão na parte inferior. Todo novo servidor no caminho adicionará sua própria mensagem - começando com Recebido. Por exemplo:

Recebido: de maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) por mx.google.com com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 para & lt; [email protected] & gt;(versão = TLSv1 cipher = RC4-SHA bits = 128/128);Seg, 08 Jul 2013 04:11:00 -0700( PDT)

Isso diz que mx.google.com recebeu o e-mail de maxipes.logix.cz no Mon, 08 Jul 2013 04:11:00 -0700( PDT).

Agora, para encontrar o remetente real do seu e-mail, seu objetivo é encontrar o último gateway confiável - o último ao ler os cabeçalhos do topo, ou seja, primeiro na ordem cronológica. Comecemos por encontrar o servidor de correio da Bill. Para isso, você consulta o registro MX para o domínio. Você pode usar algumas ferramentas on-line, ou no Linux, você pode consultá-lo na linha de comando( observe que o nome do domínio real foi alterado para o domínio.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Então você vê o servidor de correio para domain.com é maxipes.logix.cz ou broucek.logix.cz. Assim, o último( primeiro cronologicamente) de "hop" confiável - ou o último "Registo recebido" ou o que você chamou - é este:

Recebido: de elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz( Postfix) com ID ESMTP B43175D3A44 para & lt; [email protected]> ;Seg, 8 Jul 2013 23:10:48 +1200( NZST)

Você pode confiar nisso porque isso foi registrado pelo servidor de e-mail de Bill para domain.com. Este servidor obteve-o de 209.86.89.64.Isso pode ser, e muitas vezes é, o verdadeiro remetente do e-mail - neste caso, o scammer! Você pode verificar este IP em uma lista negra.- Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo:

Recebido: de [168.62.170.129]( helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net com esmtpa( Exim 4.67)( envelope-from & lt; alice @ yahoo.com & gt;) id 1Uw98w-0006KI-6y para [email protected];Seg, 08 Jul 2013 06:58:06 -0400

, mas você não pode realmente confiar nisso, porque isso poderia ser adicionado pelo golpista para acabar com seus traços e / ou estabelecer uma trilha falsa .Claro que ainda existe a possibilidade de que o servidor 209.86.89.64 seja inocente e atuasse apenas como um relé para o atacante real em 168.62.170.129, mas o relé é freqüentemente considerado culpado e é muitas vezes na lista negra. Neste caso, 168.62.170.129 está limpo para que possamos ter certeza de que o ataque foi feito a partir de 209.86.89.64.

E, claro, como sabemos que Alice usa Yahoo!e elasmtp-curtail.atl.sa.earthlink.netisn't no Yahoo!rede( você pode querer verificar suas informações de IP Whois), podemos concluir com segurança que este e-mail não era de Alice e que não devemos enviar-lhe qualquer dinheiro para as férias alegadas nas Filipinas.

Dois outros colaboradores, Ex Umbris e Vijay, recomendaram, respectivamente, os seguintes serviços para ajudar na decodificação de cabeçalhos de e-mail: SpamCop e ferramenta de análise de cabeçalho do Google.

Tem alguma coisa a adicionar à explicação? Som na parte dos comentários. Deseja ler mais respostas de outros usuários Tech-savvy Stack Exchange? Confira o tópico de discussão completo aqui.