Homepage » hogyan kell » Hogyan tudhatom meg, hogy honnan származik az e-mail?

    Hogyan tudhatom meg, hogy honnan származik az e-mail?

    Csak azért, mert egy e-mail jelenik meg a [email protected] címkéjén, nem jelenti azt, hogy Billnek valójában semmi köze hozzá. Olvasson tovább, amikor megvizsgáljuk, hogyan kell ásni, és hol találja meg a gyanús e-mailt.

    A mai Kérdések és válaszok munkamenet jön számunkra a SuperUser-Stack Exchange alosztályának, a Q & A webhelyek közösségi meghajtó csoportosításának.

    A kérdés

    A SuperUser olvasó, Sirwan azt szeretné tudni, hogyan kell kitalálni, hogy az e-mailek milyen eredménnyel származnak:

    Hogyan tudhatom meg, hogy honnan érkezett e-mail?
    Van valami módja annak, hogy megtudja?
    Hallottam az e-mail fejlécekről, de nem tudom, hol láthatom például az e-mail fejléceket a Gmailben.

    Nézzük meg ezeket az e-mail fejléceket.

    A válaszok

    Tomas SuperUser közreműködője nagyon részletes és éles választ ad:

    Lássunk egy példát az átverésre, amit nekem küldtek, úgy tettem, mintha barátomtól származna, azt állítva, hogy kirabolták, és pénzügyi támogatást kér. Megváltoztattam a neveket - feltételezem, hogy én vagyok Bill, a scammer e-mailt küldött [email protected], úgy tesz, mintha ő lenne [email protected]. Ne feledje, hogy Billnek tovább kell lépnie [email protected].

    Először is használja a Gmail-et Mutasd az eredetit:

    Ezután megnyílik a teljes e-mail és a fejlécek:

    Szállított: [email protected] Fogadott: 10.64.21.33-mal az SMTP azonosítóval s1csp177937iee; 2013. március 8. 04:11:00 -0700 (PDT) X-beérkezett: 10.14.47.73-nál SMTP azonosítóval s49mr24756966eeb.71.1373281860071; 2013. március 08. 04:11:00 -0700 (PDT) Visszatérési út: Fogadott: maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) az mx.google.com ESMTPS azonosítójával j47si6975462eeg.108.2013.07.08.04.10.59 mert (verzió = TLSv1 titkosítás = RC4-SHA bit = 128/128); 2013. március 08. 04:11:00 -0700 (PDT) Fogadott-SPF: semleges (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nem engedélyezett és nem tagadható [email protected] domain) kliens-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Hitelesítési eredmények: mx.google.com; spf = neutrális (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: a b0b1 nem engedélyezett és nem tagadható meg az [email protected] domain domain legjobb találgatásrekordjaival ) [email protected] Fogadott: maxipes.logix.cz (Postfix, userid 604) azonosítója C923E5D3A45; 2013. március 8. 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: késleltetett 00:06:34 az SQLgrey-1.8.0-rc1-től Fogadott: az elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) a maxipes.logix.cz (Postfix) által, az ESMTP azonosítóval: B43175D3A44; 2013. március 8. 23:10:48 +1200 (NZST) Kapott: a [168.62.170.129] (helo = laurence39) által az elasmtp-curtail.atl.sa.earthlink.net és az esmtpa (Exim 4.67) között (boríték-tól ) id 1Uw98w-0006KI-6y a [email protected] címre; 2013. március 08. 06:58:06 -0400 Feladó: "Alice" Tárgy: Szörnyű utazási kérdés… Kérjük, válaszoljon ASAP címre: [email protected] Tartalom-típus: többrészes / alternatív; határ = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, július 8, 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… Vágtam az e-mailt ...] 

    A fejléceket időrendi sorrendben kell olvasni alulról a tetejére - a legrégebbi az alján. Minden újabb szerver hozzá fog adni saját üzenetét - kezdve kapott. Például:

    Fogadott: maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) által mx.google.com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 a (verzió = TLSv1 rejtjel = RC4-SHA bit = 128/128); Ma, 2013. július 08. 04:11:00 -0700 (PDT) 

    Ez azt mondja mx.google.com megkapta a levelet maxipes.logix.cz nál nél Ma, 2013. július 08. 04:11:00 -0700 (PDT).

    Most, hogy megtaláld igazi az e-mail küldője, a cél az utolsó megbízható átjáró megtalálása - utolsó, amikor a fejléceket felülről olvasod, azaz először a kronológiai sorrendben. Kezdjük a Bill e-mail szerverének megtalálásával. Ehhez lekérdezi a tartomány MX rekordját. Néhány online eszközt használhatsz, vagy Linuxon parancssorból lekérdezheted (jegyezd meg, hogy az igazi tartománynév megváltozott domain.com):

    ~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Így látod, hogy a domain.com e-mail kiszolgálója maxipes.logix.cz vagy broucek.logix.cz. Ezért az utolsó (első kronológiailag) megbízható „hop” - vagy az utolsó megbízott „Received record” vagy bármi, amit hívsz - ez:

    Fogadott: az elasmtp-curtail.atl.sa.earthlink.net címen (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) a maxipes.logix.cz (Postfix) által, a B43175D3A44 ESMTP azonosítóval; Ma, 2013. július 8. 23:10:48 +1200 (NZST) 

    Bízhat benne, mert ezt Bill levelezőszervere rögzítette domain.com. Ez a szerver megkapta 209.86.89.64. Ez lehet, és nagyon gyakran az igazi e-mail küldője - ebben az esetben a scammer! Ellenőrizheti ezt az IP-t egy feketelistán. - Lásd, 3 fekete listában szerepel! Van még egy rekord alatt:

    Fogadott: a [168.62.170.129] (helo = laurence39) által az elasmtp-curtail.atl.sa.earthlink.net és az esmtpa (Exim 4.67) (boríték-tól) azonosítója 1Uw98w-0006KI-6y a [email protected] címre; Mon, 2013. július 08. 06:58:06 -0400 

    de valójában nem bízhat benne, mert ezt csak a scammer adhatja hozzá, hogy eltüntesse a nyomokat és / vagy hamis nyomvonalat állítson. Természetesen még mindig fennáll a lehetőség, hogy a szerver 209.86.89.64 ártatlan, és csak az igazi támadó közvetítője volt 168.62.170.129, de aztán a relét gyakran bűnösnek tartják, és nagyon gyakran feketelistára kerül. Ebben az esetben, 168.62.170.129 tiszta, így szinte biztosak lehetünk abban, hogy a támadás történt 209.86.89.64.

    Természetesen, ahogy tudjuk, hogy Alice a Yahoo! és elasmtp-curtail.atl.sa.earthlink.netnem a Yahoo! hálózat (esetleg érdemes újra megvizsgálni az IP Whois információit), akkor biztosan arra a következtetésre juthatunk, hogy ez az e-mail nem Alice-től származik, és hogy nem küldhetünk neki pénzt a Fülöp-szigeteken igénybe vett nyaraláshoz..

    Két másik közreműködő, az Ex Umbris és a Vijay ajánlott az alábbi szolgáltatások támogatására az e-mail fejlécek dekódolásához: SpamCop és Google Fejlécelemző eszköz.


    Van valami, amit hozzá kell adni a magyarázathoz? Kikapcsolja a megjegyzéseket. Szeretne további válaszokat olvasni más tech-savvy Stack Exchange felhasználóktól? Nézze meg a teljes beszélgetés szálát itt.