4Sep

Cum pot afla unde a venit un e-mail de la?

Doar pentru că un e-mail apare în căsuța dvs. poștală numită Bill. [email protected], nu înseamnă că Bill are de fapt ceva de-a face cu asta. Citiți mai departe pe măsură ce explorăm cum să vă grăbiți și să vedeți de unde provenea de fapt un e-mail suspect.

Întrebarea de astăzi &Sesiunea de răspuns vine de la amabilitatea SuperUser - o subdiviziune a Stack Exchange, o grupare de comunicații cu unitățile de comunicații Q & A.

Întrebarea

SuperUser cititor Sirwan vrea să știe cum să afle unde provin emailurile de fapt de la:

Cum pot să știu de unde a venit într-adevăr un e-mail?
Există vreo modalitate de a afla acest lucru?
Am auzit despre anteturile de e-mail, dar nu știu unde pot vedea anteturile de e-mail, de exemplu, în Gmail.

Să aruncăm o privire la aceste anteturi de e-mail.

Contribuabilul

SuperUser Răspunsuri Tomas oferă un răspuns foarte detaliat și profund:

Vedeți un exemplu de înșelătorie care mi-a fost trimisă, pretinzând că este de la prietenul meu, susținând că a fost jefuită și că mi-a cerut ajutor financiar. Am schimbat numele - să presupun că sunt Bill, scammerul a trimis un e-mail la [email protected], pretinzând că este [email protected]. Rețineți că Bill a trimis la [email protected].

Mai întâi, în Gmail, folosiți arătați originalul:

Apoi, se va deschide întregul e-mail și anteturile sale:

Delivered-To: [email protected] Primit: de 10.64.21.33 cu id SMTP s1csp177937iee;Mon, 8 Jul 2013 04:11:00 -0700( PDT) X-primit: de 10.14.47.73 cu id SMTP s49mr24756966eeb.71.1373281860071;Mon, 08 Jul 2013 04:11:00 -0700( PDT) Calea de returnare: & lt; [email protected]>Primit: de la maxipes.logix.cz( maxipes.logix.cz.) De mx.google.com cu ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pentru & lt; [email protected]>(versiunea = cifrul TLSv1 = biti RC4-SHA = 128/128);Mon, 08 Jul 2013 04:11:00 -0700( PDT) Received-SPF: neutru( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1)domeniu de [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Autentificare-Rezultate: mx.google.com;spf = neutru( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nu este permisă și nici refuzată de cea mai bună înregistrare de ghici pentru domeniul [email protected]) [email protected] Primit: de către maxipes.logix.cz( Postfix, de la userid 604) id C923E5D3A45;Mon, 08 Jul 2013 23:10:50 +1200( NZST) X-Original-Pentru: [email protected] X-Greylist: întârziat 00:06:34 de SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de către maxipes.logix.cz( Postfix) cu codul ESMTP id B43175D3A44 pentru & lt; [email protected]> ;Luni, 8 Iul 2013 23:10:48 +1200( NZST) Primit: de la [168.62.170.129]( helo = laurence39) de elasmtp-curtail.atl.sa.earthlink.net cu esmtpa( Exim 4.67)( plic& lt; [email protected]>) id 1Uw98w-0006KI-6y pentru [email protected];Mon, 08 Jul 2013 06:58:06 -0400 De la: "Alice" & lt; [email protected]>Subiect: Problemă teribilă de călătorie. .... Răspundeți cu amabilitate în timp ce vă adresați: [email protected] Tipul de conținut: versiune multiplă / alternativă;boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Răspunde la: [email protected] Data: Mon, 8 Jul 2013 10:58:06 +0000 ID-ul mesajului: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originare-IP: 168.62.170.129 [... Am tăiat corpul de e-mail. ..]

Headerele trebuie citite în ordine cronologică de jos în sus - cel mai vechi sunt in partea de jos. Fiecare server nou pe drum va adăuga un mesaj propriu - începând cu Received. De exemplu:

Primit: de la maxipes.logix.cz( maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) de către mx.google.com cu ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pentru & lt; [email protected]>(versiunea = cifrul TLSv1 = biti RC4-SHA = 128/128);Mon, 08 Jul 2013 04:11:00 -0700( PDT)

Acest lucru spune că mx.google.com a primit poșta de la maxipes.logix.cz la Mon, 08 Jul 2013 04:11:00 -0700( PDT).

Acum, pentru a găsi expeditorul real al e-mailului dvs., obiectivul dvs. este să găsiți ultima poartă de încredere - ultima când citiți anteturile de sus, adică primul în ordinea cronologică.Să începem prin găsirea serverului de corespondență al lui Bill. Pentru aceasta, interogați înregistrarea MX pentru domeniu. Aveți posibilitatea să utilizați niște instrumente online sau pe Linux puteți să o interogați pe linia de comandă( notați numele real al domeniului a fost schimbat în domain.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Așa că vedeți serverul de mail pentru domain.com este maxipes.logix.cz sau broucek.logix.cz. Prin urmare, ultima( prima cronologică) de încredere "hop" - sau ultima încredere în "Înregistrări primite" sau orice altceva îl numiți - este acesta:

Received: de la elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de către maxipes.logix.cz( Postfix) cu codul ESMTP id B43175D3A44 pentru & lt; [email protected]> ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)

Puteți avea încredere în acest lucru deoarece acest lucru a fost înregistrat de serverul de mail Bill pentru domain.com. Acest server a obținut de la 209.86.89.64.Acest lucru ar putea fi, și foarte des este, expeditorul real al e-mailului - în acest caz, escrocul! Puteți verifica această IP pe o listă neagră.- Vezi, el este listat în 3 liste negre! Există încă o altă înregistrare sub ea:

Primit: de la [168.62.170.129]( helo = laurence39) de elasmtp-curtail.atl.sa.earthlink.net cu esmtpa( Exim 4.67)( plicul de la

dar nu poti avea incredere in asta, pentru ca asta ar putea fi adaugat de scammer pentru a-si distruge urmele si / sau ar pune o fisa falsa .Desigur, există totuși posibilitatea ca serverul 209.86.89.64 să fie nevinovat și să acționeze doar ca un releu pentru atacantul real la 168.62.170.129, dar atunci releul este adesea considerat vinovat și este foarte adesea inclus pe lista neagră.În acest caz, 168.62.170.129 este curat, astfel încât putem fi aproape siguri că atacul a fost făcut de la 209.86.89.64.

Și bineînțeles, după cum știm că Alice folosește Yahoo!și elasmtp-curtail.atl.sa.earthlink.netisn't pe Yahoo!(poate doriți să verificați din nou informațiile IP Whois), putem concluziona în mod sigur că acest e-mail nu a fost de la Alice și că nu ar trebui să îi trimitem nici un ban în vacanța ei solicitată în Filipine.

Alți doi colaboratori, Ex Umbris și Vijay, au recomandat următoarele servicii pentru a asista la decodificarea antetelor de e-mail: SpamCop și instrumentul de analiză a antetului Google.

Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.