4Sep
Len preto, že e-mail sa zobrazí vo vašej doručenej pošte s názvom Bill. [email protected], neznamená to, že Bill skutočne s tým má čo robiť.Čítajte ďalej, keď skúmame, ako vykopať a zistiť, odkiaľ skutočne pochádza podozrivý e-mail.
Dnešná otázka &Odpoveď na zasadnutie nám prináša zdvorilosť SuperUser - subdivizácia Stack Exchange, skupinové zdieľanie webových stránok Q & A.
Otázka
čítačka SuperUser Sirwan chce vedieť, ako zistiť, odkiaľ e-maily skutočne pochádzajú:
Ako môžem vedieť, odkiaľ skutočne prišiel e-mail?
Existuje nejaký spôsob, ako to nájsť?
Počul som o hlavičkách e-mailov, ale neviem, kde môžem vidieť hlavičky e-mailov napríklad v službe Gmail.
Poďme sa pozrieť na tieto hlavičky e-mailu.
Odpovede
SuperUser prispievateľ Tomas ponúka veľmi podrobnú a dôkladnú odpoveď:
Pozrite si príklad podvodu, ktorý mi bol poslaný, predstierať, že to je od môjho priateľa, tvrdiac, že bola okradaná a žiadať o finančnú pomoc. Zmenil som mená - predpokladám, že som Bill, podvodník poslal e-mail na adresu [email protected] a predstieral, že je [email protected]. Upozorňujeme, že Bill poslal na adresu [email protected].
Najprv v Gmaile použite zobraziť originál:
Potom sa otvorí úplný e-mail a jeho hlavičky:
Hlavička treba čítať chronologicky odspodu nahor - najstaršie sú na dne. Každý nový server na ceste pripojí svoju vlastnú správu - počnúc prijatím. Napríklad:
Teraz, ak chcete nájsť skutočného odosielateľa vášho e-mailu, je vaším cieľom nájsť poslednú dôveryhodnú bránu - posledná pri čítaní hlavičky zhora, t. J. Najskôr v chronologickom poradí.Začnime tým, že nájdeme poštový server Billa. Za týmto účelom vyhľadávate záznam MX pre danú doménu. Môžete použiť niektoré on-line nástroje, alebo na Linuxe ho môžete dotazovať na príkazovom riadku( poznamenajte, že skutočný názov domény bol zmenený na domain.com):
Takže vidíte mailový server pre domain.com je maxipes.logix.cz alebo broucek.logix.cz. Preto posledný( prvý chronologicky) dôveryhodný "hop" - alebo naposledy dôveryhodný "Prijatý záznam" alebo čo mu hovoríte - je toto:
Prijaté: z elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podľa maxipes.logix.cz( Postfix) s ESMTP id B43175D3A44 pre & lt; [email protected] & gg; ;Mon, 8 Jul 2013 23:10:48 +1200( NZST)Môžete tomu dôverovať, pretože to bolo zaznamenané poštovým serverom spoločnosti Bill pre domain.com. Tento server získal od 209.86.89.64.To by mohlo byť a veľmi často je skutočným odosielateľom e-mailu - v tomto prípade podvodník! Môžete skontrolovať túto IP adresu na čiernej listine.- Pozri, je uvedený v 3 čiernych zoznamoch! Pod ním je ešte ďalší záznam:
ale nemôžete skutočne veriť, pretože to môže byť len pridané scammerom zničiť jeho stopy a / alebo položiť falošnú stopu .Samozrejme stále existuje možnosť, že server 209.86.89.64 je nevinný a funguje len ako relé pre skutočného útočníka na 168.62.170.129, ale potom sa štafeta často považuje za vinného a často je na čiernej listine. V tomto prípade je 168.62.170.129 čistý, takže môžeme byť takmer istí, že útok bol vykonaný z 209.86.89.64.
A samozrejme, pretože vieme, že Alice používa Yahoo!a elasmtp-curtail.atl.sa.earthlink.neesn't na Yahoo!(možno budete chcieť opätovne skontrolovať informácie o IP Whois), môžeme bezpečne dospieť k záveru, že tento e-mail nebol od spoločnosti Alice a že by sme jej nemali posielať žiadne peniaze na jej údajnú dovolenku na Filipínach.
Dvaja ďalší prispievatelia, Ex Umbris a Vijay, odporúčali nasledujúce služby na pomoc pri dekódovaní hlavičiek e-mailov: SpamCop a Google Header Analysis Tool.
Musíte niečo doplniť k vysvetleniu? Zvuk vypnúť v komentároch. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.