4Sep

Како да откријем одакле је дошла е-пошта?

Само зато што е-пошта се појављује у вашем пријемном сандучету названом Билл.Смитх@сомехост.цом, не значи да је Билл стварно имао везе са тим.Прочитајте док истражујемо како да копамо и видимо одакле долази сумњива е-пошта.

Данашње питање & амп;Сесија одговора долази нам захваљујући СуперУсер-у подскупу Стацк Екцханге-а, груписању група К & амп; А на веб локацијама.

Питање

СуперУсер читач Сирван жели да зна како да открије где су е-поште заправо потичу од:

Како да знам одакле је дошла Е-пошта?
Да ли постоји начин да то откријеш?
Чуо сам за заглавља е-поште, али не знам где могу видети заглавља е-поште на примјер у Гмаил-у.

Хајде да погледамо ове заглавља е-поште.

Одговара

СуперУсер допринос Томас нуди врло детаљан и увјерљив одговор:

Видите примјер преваре која је послана мени, претварајући се да је то од мог пријатеља, тврдећи да је опљачкан и да ме тражи за финансијску помоћ.Променио сам имена - претпостављам да сам ја Билл, скамер је послао е-маил на билл@домаин.цом, претварајући се да је алице@иахоо.цом.Имајте на уму да је Билл упућен на билл@гмаил.цом.

Прво, у Гмаил-у, користите схов оригинал:

Затим ће се отворити пуна е-пошта и заглавља: ​​

Деливеред-То: билл@гмаил.цом Примљено: до 10.64.21.33 са СМТП ид с1цсп177937иее;Мон, 8 Јул 2013 04:11:00 -0700( ПДТ) Кс-Рецеивед: би 10.14.47.73 витх СМТП ид с49мр24756966ееб.71.1373281860071;Мон, 08 Јул 2013 04:11:00 -0700( ПДТ) Повратак: & лт; СРС0=Знлт=КВ=иахоо.цом=алице@домаин.цом&гт;Рецеивед: фром макипес.логик.цз( макипес.логик.цз. [2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1]) би мк.гоогле.цом с ЕСМТПС ид ј47си6975462еег.108.2013.07.08.04.10.59 за & лт; билл@гмаил.цом&гт;(верзија = ТЛСв1 шифра = РЦ4-СХА битови = 128/128);Мон, 08 Јул 2013 04:11:00 -0700( ПДТ) Рецеивед-СПФ: неутрално( гоогле.цом: 2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1 није допуштен ни негирандомена СРС0=Знлт=КВ=иахоо.цом=алице@домаин.цом) цлиент-ип = 2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1;Аутхентицатион-Ресултс: мк.гоогле.цом;спф = неутрал( гоогле.цом: 2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1 није допуштен ни негиран од најбољег записа за домену СРС0=Знлт=КВ=иахоо.цом=алице@домаин.цом) смтп.маил=СРС0=Знлт=КВ=иахоо.цом=алице@домаин.цом Рецеивед: би макипес.логик.цз( Постфик, фром усерид 604) ид Ц923Е5Д3А45;Мон, 8 Јул 2013 23:10:50 +1200( НЗСТ) Кс-Оригинал-То: билл@домаин.цом Кс-Греилист: делаиед 00:06:34 би СКЛгреи-1.8.0-рц1 Рецеивед: фром еласмтп-цуртаил.атл.са.еартхлинк.нет( еласмтп-цуртаил.атл.са.еартхлинк.нет [209.86.89.64]) од макипес.логик.цз( Постфик) са ЕСМТП ид Б43175Д3А44 за & лт; билл@домаин.цом&гт; ;Мон, 8 Јул 2013 23:10:48 +1200( НЗСТ) Рецеивед: фром [168.62.170.129]( хело = лауренце39) би еласмтп-цуртаил.атл.са.еартхлинк.нет витх есмтпа( Еким 4.67)( енвелопе-фром& лт; алице@иахоо.цом&гт;) ид 1Ув98в-0006КИ-6и за билл@домаин.цом;Мон, 08 Јул 2013 06:58:06 -0400 Фром: "Алице" & алице@иахоо.цом&гт;Тема: Террибле Травел Иссуе. .... Поздравни одговор АСАП На: билл@домаин.цом Цонтент-Типе: мултипарт / алтернативе;бордер = "јткоС2ПА6ЛИОС7нЗ3бДеИХвхуКСФ = _9јкн70" МИМЕ-Верзија: 1.0 Одговори: алице@иахоо.цом Датум: пон, 8 јул 2013 10:58:06 +0000 Порука-ИД: & лт; Е1Ув98в-0006КИ-6и @ еласмтп-цуртаил.атл.са.еартхлинк.нет & гт;Кс ЕЛНК-Траг: 52111ец6ц5е88д9189цб21дбд10цбф767е972де0д01да940е632614284761929еац30959а519613а350бадд9баб72ф9ц350бадд9баб72ф9ц350бадд9баб72ф9ц Кс Пореклом ИП: 168.62.170.129 [... Ја сам пресекао е тело. ..]

су заглавља треба да се прочита хронолошки од дна на врх - најстарији су на дну.Сваки нови сервер на путу ће додати своју поруку - почевши од Рецеивед.На примјер:

Примљено: од макипес.логик.цз( макипес.логик.цз. [2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1]) мк.гоогле.цом са ЕСМТПС ид ј47си6975462еег.108.2013.07.08.04.10.59 за & лт; билл@гмаил.цом&гт;(верзија = ТЛСв1 шифра = РЦ4-СХА битови = 128/128);Мон, 08 Јул 2013 04:11:00 -0700( ПДТ)

Ово каже да је мк.гоогле.цом примио пошту од макипес.логик.цз у пон, 08 јул 2013 04:11:00 -0700( ПДТ).

Сада, да бисте нашли праве пошиљаоца е-поште, ваш циљ је проналажење последњег поверљивог гатеваи-а - последње када читате заглавља са врха, односно прво у хронолошком редоследу.Почнимо са проналаском Билловог сервера за пошту.За ово тражите МКС запис за домен.Можете користити неке онлине алате или на Линук-у можете га упитати на командној линији( обратите пажњу на то да је право име домена промијењено на домаин.цом):

~ $ хост -т МКС домаин.цом домаин.цом МКС 10 броуцек.логик.цз домаин.цом МКС 5 макипес.логик.цз

Дакле видите маил сервер за домаин.цом је макипес.логик.цз или броуцек.логик.цз.Дакле, последњи( први хронолошки) поуздан "хоп" - или последњи поуздани "Примљени запис" или шта год то зовете - је ово:

Примљено: од еласмтп-цуртаил.атл.са.еартхлинк.нет( еласмтп-цуртаил.атл.са.еартхлинк.нет [209.86.89.64]) од макипес.логик.цз( Постфик) са ЕСМТП ид Б43175Д3А44 за & лт; билл@домаин.цом&гт; ;Мон, 8 Јул 2013 23:10:48 +1200( НЗСТ)

То можете веровати пошто је то забележио Биллов маил сервер за домаин.цом.Овај сервер је добио од 209.86.89.64.Ово би могло да буде и врло често је прави пошиљалац е-поште - у овом случају скамера!Ову ИП адресу можете проверити на црној листи.- Видиш, он је наведен у 3 црн листе!Постоји још један рекорд испод њега:

Примљено: од [168.62.170.129]( хело = лауренце39) од еласмтп-цуртаил.атл.са.еартхлинк.нет са есмтпа( Еким 4.67)( енвелопе-фром & алице @ иахоо.цом & гт;) ид 1Ув98в-0006КИ-6и за билл@домаин.цом;Мон, 08 Јул 2013 06:58:06 -0400

али не можете стварно вјеровати овоме, јер то може само додати сцаммер да обрише своје трагове и / или поставља лажни траг .Наравно, и даље постоји могућност да је сервер 209.86.89.64 невин и да се понаша само као релеј за стварног нападача на 168.62.170.129, али онда се релеј често сматра кривим и често се црни листи.У овом случају, 168.62.170.129 је чист, тако да можемо бити готово сигурни да је напад изведен са 209.86.89.64.

И, наравно, како знамо да Алице користи Иахоо!и еласмтп-цуртаил.атл.са.еартхлинк.нет није на Иахоо!мрежу( можда ћете желети да поново провјерите своје ИП Вхоис информације), можемо сигурно закључити да ова е-пошта није била из Алице и да јој не смијемо послати ниједан новац на њен захтевани одмор на Филипинима.

Два друга сарадника, Ек Умбрис и Вијаи, препоручују, слиједеће услуге за помоћ у декодирању заглавља е-поште: СпамЦоп и алат Гоогле Анализа заглавља.

Имате ли нешто да додате објашњењу?Звучи у коментарима.Желите да прочитате више одговора од других корисничких корисника Стацк Екцханге?Овде погледајте комплетну тему.