Kako lahko ugotovim, kje je prišel email?
Samo zato, ker se e-pošta pojavi v vaši mapi Prejeto z oznako [email protected], to ne pomeni, da je bil Bill dejansko povezan s tem. Preberite, kako raziskujemo, kako kopati in videti, od kod prihaja sumljiv e-poštni naslov.
Današnja seja vprašanj in odgovorov prihaja z namenom SuperUser-a, ki je del skupine Stack Exchange, ki združuje skupino spletnih mest za vprašanja in odgovore.
Vprašanje
Brskalnik SuperUser Sirwan želi vedeti, kako ugotoviti, od kod prihajajo e-poštna sporočila:
Kako lahko vem, od kod prihaja e-pošta?
Ali obstaja način, da to ugotovimo?
Slišal sem za glave e-poštnih sporočil, vendar ne vem, kje lahko vidim glave e-pošte, na primer v Gmailu.
Oglejmo si te glave e-poštnih sporočil.
Odgovori
Sodelavka SuperUser Tomas ponuja zelo podroben in podroben odgovor:
Oglejte si primer prevare, ki mi je bila poslana, se pretvarjam, da je od mojega prijatelja, ki trdi, da je bila oropana in me prosi za finančno pomoč. Spremenil sem imena - domnevam, da sem Bill, prevarant je poslal e-poštno sporočilo
[email protected]
, se pretvarja, da je[email protected]
. Upoštevajte, da je Bill pripravljen[email protected]
.Najprej v Gmailu uporabite
prikaži izvirnik
:Nato se odprejo celotno e-poštno sporočilo in njegovi naslovi:
Dostavljeno-To: [email protected] Prejeto: z 10.64.21.33 s ID-jem SMTP s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: z 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Pon, 08 Jul 2013 04:11:00 -0700 (PDT) Pot: Prejeto: iz maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1] ]) z mx.google.com z ID-jem ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 za (različica = TLSv1 cipher = RC4-SHA bit = 128/128); Pon, 08 Jul 2013 04:11:00 -0700 (PDT) Prejeto-SPF: nevtralno (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ni dovoljeno niti zavrnjeno po najboljših ocenah za domena [email protected]) odjemalec-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Rezultati preverjanja pristnosti: mx.google.com; spf = nevtralen (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ni dovoljen niti zavrnjen z najboljšim predvidevanjem za domeno [email protected]) ) [email protected] Prejeto: maxipes.logix.cz (Postfix, iz userid 604) id C923E5D3A45; Pon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-Za: [email protected] X-Greylist: zamudo 00:06:34 z SQLgrey-1.8.0-rc1 Prejeto: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) z maxipes.logix.cz (Postfix) z ID-jem ESMTP B43175D3A44 za; Pon, 8 Jul 2013 23:10:48 +1200 (NZST) Prejeto: od [168.62.170.129] (helo = laurence39) z elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (ovojnica-od ) id 1Uw98w-0006KI-6y za [email protected]; Pon, 08 Jul 2013 06:58:06 -0400 Od: "Alice" Zadeva: Grozno potovanje ... Vljudno odgovorite ASAP na: [email protected] Content-Type: multipart / alternative; Meja = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Odgovor na: [email protected] Datum: Mon, 8 julij 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… sem prerezal telo e-pošte…]
Glave je treba brati kronološko od spodaj navzgor - najstarejše so na dnu. Vsak nov strežnik bo dodal svoje sporočilo - začenši z
Prejeto
. Na primer:Prejeto: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) z mx.google.com z ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 za (različica = TLSv1 šifra = RC4-SHA bitov = 128/128); Pon, 08 Jul 2013 04:11:00 -0700 (PDT)
To pravi to
mx.google.com
je prejel pošto odmaxipes.logix.cz
naPon, 08 Jul 2013 04:11:00 -0700 (PDT)
.Zdaj, da bi našli resnično Pošiljatelj vašega e-poštnega sporočila je vaš cilj najti zadnji zaupni prehod - zadnji, ko berete glave od vrha, tj. najprej v kronološkem vrstnem redu. Začnimo z iskanjem Billovega poštnega strežnika. V ta namen poizvedete MX zapis za domeno. Uporabite lahko nekatera spletna orodja ali pa jih v Linuxu poizvedete v ukazni vrstici (upoštevajte, da je bilo pravo domensko ime spremenjeno v
domain.com
):~ $ host -t MX domena.com domena.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Torej vidite poštni strežnik za domeno.com
maxipes.logix.cz
alibroucek.logix.cz
. Zato je zadnji (prvi kronološko) zaupanja vreden »hop« - ali nazadnje zaupan »sprejet zapis« ali karkoli ga imenujete - ta:Prejeto: od elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) s strani maxipes.logix.cz (Postfix) z ID-jem ESMTP B43175D3A44 za; Pon, 8 Jul 2013 23:10:48 +1200 (NZST)
To lahko zaupate, ker je to zabeležil Billov poštni strežnik za
domain.com
. Ta strežnik ga je dobil209.86.89.64
. To bi lahko bil, in zelo pogosto, pravi pošiljatelj e-pošte - v tem primeru scammer! Ta IP lahko preverite na črnem seznamu. - Vidiš, na seznamu so 3 črne liste! Pod njim je še en zapis:Prejeto: od [168.62.170.129] (helo = laurence39) z elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (ovojnica-od) id 1Uw98w-0006KI-6y za [email protected]; Pon, 08 Jul 2013 06:58:06 -0400
toda temu dejansko ne moreš zaupati, ker bi to lahko dodal prevarant, da bi izbrisal svoje sledi in / ali položite lažno sled. Seveda še vedno obstaja možnost, da strežnik
209.86.89.64
je nedolžen in deluje le kot posrednik za pravega napadalca168.62.170.129
, potem pa se štetje pogosto šteje za krivega in je zelo pogosto na črni listi. V tem primeru,168.62.170.129
je čisto, tako da smo skoraj prepričani, da je bil napad izveden209.86.89.64
.In seveda, kot vemo, da Alice uporablja Yahoo! in
elasmtp-curtail.atl.sa.earthlink.net
ni v storitvi Yahoo! omrežje (morda boste želeli ponovno preveriti svoje informacije IP Whois), lahko varno ugotovimo, da ta e-poštni naslov ni bil od Alice, in da ji ne smemo pošiljati denarja za odškodnine, ki jih je zahtevala, na Filipinih.
Dva druga avtorja, Ex Umbris in Vijay, sta priporočila naslednje storitve za pomoč pri dekodiranju naslovov elektronske pošte: SpamCop in Googlovo orodje Header Analysis.
Imate kaj dodati pojasnilu? Zvok izključen v komentarjih. Želite prebrati več odgovorov drugih uporabnikov tehnologije Stack Exchange? Oglejte si celotno nit razprave tukaj.