4Sep

Hur kan jag ta reda på var en e-post verkligen kom ifrån?

Bara för att ett e-mail visas i din inkorg med namnet Bill. [email protected], betyder inte att Bill faktiskt hade något att göra med det. Läs vidare när vi utforskar hur man gräver in och se var ett misstänkt e-post faktiskt kom ifrån.

Dagens fråga &Svarssession kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-drive-gruppering av Q & A-webbplatser.

Frågan

SuperUser-läsare Sirwan vill veta hur man ska ta reda på varifrån e-postmeddelanden faktiskt härrör från:

Hur kan jag veta var en e-post verkligen kom ifrån?
Finns det något sätt att ta reda på det?
Jag har hört talas om e-postrubriker, men jag vet inte var kan jag se e-posthuvud, till exempel i Gmail.

Låt oss ta en titt på dessa e-postrubriker.

Svaren

SuperUser-bidragsgivare Tomas erbjuder ett mycket detaljerat och insiktsfullt svar:

Se ett exempel på bluff som har skickats till mig, låtsas att det är från min vän, hävdar att hon har rånats och frågat mig om ekonomiskt stöd. Jag har bytt namn - antar att jag är Bill, har scammaren skickat ett mail till [email protected] och låtsas att han är [email protected]. Observera att Bill har vidarebefordrat till [email protected].

Först, i Gmail, använd visa original:

Sedan öppnas hela e-postmeddelandet och dess rubriker:

Levereras till: [email protected] Mottaget: vid 10.64.21.33 med SMTP-ID s1csp177937e;Måndag, 8 Jul 2013 04:11:00 -0700( PDT) X-Received: vid 10.14.47.73 med SMTP-ID s49mr24756966eeb.71.1373281860071;Måndag, 08 Jul 2013 04:11:00 -0700( PDT) Returväg: & lt; [email protected]>Mottagen: från maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) av mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 för & lt; [email protected]>(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128);Mån, 08 jul 2013 04:11:00 -0700( PDT) Mottagen-SPF: neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 är varken tillåtet eller nekad av bästa gissningsrekord fördomän av [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;Autentiseringsresultat: mx.google.com;spf = neutral( google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected]) [email protected] Mottaget: av maxipes.logix.cz( Postfix, från userid 604) id C923E5D3A45;Mån, 8 jul 2013 23:10:50 +1200( NZST) X-Original-Till: [email protected] X-Greylist: försenad 00:06:34 av SQLgrey-1.8.0-rc1 Mottagen: från elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz( Postfix) med ESMTP-id B43175D3A44 för & lt; [email protected]> ;Mån, 8 jul 2013 23:10:48 +1200( NZST) Mottaget: från [168.62.170.129]( helo = laurence39) av elasmtp-curtail.atl.sa.earthlink.net med esmtpa( Exim 4.67)( kuvert-från& lt; [email protected]>) id 1Uw98w-0006KI-6y för [email protected];Måndag, 08 Jul 2013 06:58:06 -0400 Från: "Alice" & lt; [email protected]>Ämne: Terrible Travel Issue. .... Vänligen svar ASAP Till: [email protected] Content-Type: multipart / alternative;gränsen = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Svar-till: [email protected] Datum: måndag, 8 jul 2013 10:58:06 +0000 Meddelande-ID: & lt; E1Uw98w-0006KI-6y @ elasmtp-curtail.atl.sa.earthlink.net & gt;X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-ursprungs-IP: 168.62.170.129 [... Jag har klippt e kropp. ..]

Rubrikerna skall läsas kronologiskt från botten till toppen - äldsta är längst ner. Varje ny server på vägen kommer att lägga till sitt eget meddelande - börjar med Received. Till exempel:

Mottagen: från maxipes.logix.cz( maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) av mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 för & lt; [email protected]>(version = TLSv1-chiffer = RC4-SHA-bitar = 128/128);Måndag, 08 Jul 2013 04:11:00 -0700( PDT)

Detta säger att mx.google.com har fått mail från maxipes.logix.cz på måndag, 08 jul 2013 04:11:00 -0700( PDT).

För att hitta s verkliga -avsändare av ditt e-postmeddelande, är ditt mål att hitta den senaste pålitliga gatewayen - senast när du läser rubrikerna från början, dvs först i kronologisk ordning. Låt oss börja med att hitta Bills mailserver. För detta frågar du MX-post för domänen. Du kan använda vissa onlineverktyg eller på Linux kan du fråga det på kommandoraden( notera att det verkliga domännamnet har ändrats till domain.com):

~ $ värd -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Så ser du e-postservern för domain.com är maxipes.logix.cz eller broucek.logix.cz. Följaktligen är den sista( första kronologiska) betrodda "hop" - eller senast tillförlitliga "Mottagna posten" eller vad du kallar det - den här:

Mottagen: från elasmtp-curtail.atl.sa.earthlink.net( elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz( Postfix) med ESMTP-id B43175D3A44 för & lt; [email protected]> ;Mån, 8 jul 2013 23:10:48 +1200( NZST)

Du kan lita på det här eftersom det spelades in av Bills mail-server för domain.com. Den här servern fick den från 209.86.89.64.Detta kan vara, och mycket ofta är den riktiga avsändaren av e-posten - i detta fall svindlaren! Du kan kolla denna IP på en svart lista.- Se, han är listad i 3 svartlistor! Det finns ännu en post under den:

Mottagen: från [168.62.170.129]( helo = laurence39) av elasmtp-curtail.atl.sa.earthlink.net med esmtpa( Exim 4.67)( kuvert från & lt; alice @ yahoo.com>) id 1Uw98w-0006KI-6y för [email protected];Måndag, 08 Jul 2013 06:58:06 -0400

men du kan faktiskt inte lita på det här, för det kan bara läggas till av svindlaren för att torka ut sina spår och / eller lägger en falsk spår .Självklart finns det fortfarande möjlighet att servern 209.86.89.64 är oskyldig och endast fungerat som ett relä för den riktiga angriparen på 168.62.170.129, men då anses reläet ofta vara skyldigt och är ofta svartlistat. I det här fallet är 168.62.170.129 ren, så vi kan vara nästan säkra på att attacken gjordes från 209.86.89.64.

Och såklart, som vi vet att Alice använder Yahoo!och elasmtp-curtail.atl.sa.earthlink.net är inte på Yahoo!nätverket( du kanske vill kontrollera sin IP-vem information) kan vi säkert dra slutsatsen att det här e-postmeddelandet inte var från Alice, och att vi inte skulle skicka några pengar till hennes påstådda semester på Filippinerna.

Två andra bidragsgivare, Ex Umbris och Vijay, rekommenderade respektive följande tjänster för att hjälpa till med avkodning av e-posthuvud: SpamCop och Googles huvudanalysverktyg.

Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.