4Sep
Bara för att ett e-mail visas i din inkorg med namnet Bill. [email protected], betyder inte att Bill faktiskt hade något att göra med det. Läs vidare när vi utforskar hur man gräver in och se var ett misstänkt e-post faktiskt kom ifrån.
Dagens fråga &Svarssession kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-drive-gruppering av Q & A-webbplatser.
Frågan
SuperUser-läsare Sirwan vill veta hur man ska ta reda på varifrån e-postmeddelanden faktiskt härrör från:
Hur kan jag veta var en e-post verkligen kom ifrån?
Finns det något sätt att ta reda på det?
Jag har hört talas om e-postrubriker, men jag vet inte var kan jag se e-posthuvud, till exempel i Gmail.
Låt oss ta en titt på dessa e-postrubriker.
Svaren
SuperUser-bidragsgivare Tomas erbjuder ett mycket detaljerat och insiktsfullt svar:
Se ett exempel på bluff som har skickats till mig, låtsas att det är från min vän, hävdar att hon har rånats och frågat mig om ekonomiskt stöd. Jag har bytt namn - antar att jag är Bill, har scammaren skickat ett mail till [email protected] och låtsas att han är [email protected]. Observera att Bill har vidarebefordrat till [email protected].
Först, i Gmail, använd visa original:
Sedan öppnas hela e-postmeddelandet och dess rubriker:
Rubrikerna skall läsas kronologiskt från botten till toppen - äldsta är längst ner. Varje ny server på vägen kommer att lägga till sitt eget meddelande - börjar med Received. Till exempel:
Detta säger att mx.google.com har fått mail från maxipes.logix.cz på måndag, 08 jul 2013 04:11:00 -0700( PDT).
För att hitta s verkliga -avsändare av ditt e-postmeddelande, är ditt mål att hitta den senaste pålitliga gatewayen - senast när du läser rubrikerna från början, dvs först i kronologisk ordning. Låt oss börja med att hitta Bills mailserver. För detta frågar du MX-post för domänen. Du kan använda vissa onlineverktyg eller på Linux kan du fråga det på kommandoraden( notera att det verkliga domännamnet har ändrats till domain.com):
Så ser du e-postservern för domain.com är maxipes.logix.cz eller broucek.logix.cz. Följaktligen är den sista( första kronologiska) betrodda "hop" - eller senast tillförlitliga "Mottagna posten" eller vad du kallar det - den här:
Mottagen: från elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz( Postfix) med ESMTP-id B43175D3A44 för & lt; [email protected]> ;Mån, 8 jul 2013 23:10:48 +1200( NZST)Du kan lita på det här eftersom det spelades in av Bills mail-server för domain.com. Den här servern fick den från 209.86.89.64.Detta kan vara, och mycket ofta är den riktiga avsändaren av e-posten - i detta fall svindlaren! Du kan kolla denna IP på en svart lista.- Se, han är listad i 3 svartlistor! Det finns ännu en post under den:
men du kan faktiskt inte lita på det här, för det kan bara läggas till av svindlaren för att torka ut sina spår och / eller lägger en falsk spår .Självklart finns det fortfarande möjlighet att servern 209.86.89.64 är oskyldig och endast fungerat som ett relä för den riktiga angriparen på 168.62.170.129, men då anses reläet ofta vara skyldigt och är ofta svartlistat. I det här fallet är 168.62.170.129 ren, så vi kan vara nästan säkra på att attacken gjordes från 209.86.89.64.
Och såklart, som vi vet att Alice använder Yahoo!och elasmtp-curtail.atl.sa.earthlink.net är inte på Yahoo!nätverket( du kanske vill kontrollera sin IP-vem information) kan vi säkert dra slutsatsen att det här e-postmeddelandet inte var från Alice, och att vi inte skulle skicka några pengar till hennes påstådda semester på Filippinerna.
Två andra bidragsgivare, Ex Umbris och Vijay, rekommenderade respektive följande tjänster för att hjälpa till med avkodning av e-posthuvud: SpamCop och Googles huvudanalysverktyg.
Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.