Hogyan tudhatom meg, hogy honnan származik az e-mail?
Csak azért, mert egy e-mail jelenik meg a [email protected] címkéjén, nem jelenti azt, hogy Billnek valójában semmi köze hozzá. Olvasson tovább, amikor megvizsgáljuk, hogyan kell ásni, és hol találja meg a gyanús e-mailt.
A mai Kérdések és válaszok munkamenet jön számunkra a SuperUser-Stack Exchange alosztályának, a Q & A webhelyek közösségi meghajtó csoportosításának.
A kérdés
A SuperUser olvasó, Sirwan azt szeretné tudni, hogyan kell kitalálni, hogy az e-mailek milyen eredménnyel származnak:
Hogyan tudhatom meg, hogy honnan érkezett e-mail?
Van valami módja annak, hogy megtudja?
Hallottam az e-mail fejlécekről, de nem tudom, hol láthatom például az e-mail fejléceket a Gmailben.
Nézzük meg ezeket az e-mail fejléceket.
A válaszok
Tomas SuperUser közreműködője nagyon részletes és éles választ ad:
Lássunk egy példát az átverésre, amit nekem küldtek, úgy tettem, mintha barátomtól származna, azt állítva, hogy kirabolták, és pénzügyi támogatást kér. Megváltoztattam a neveket - feltételezem, hogy én vagyok Bill, a scammer e-mailt küldött
[email protected]
, úgy tesz, mintha ő lenne[email protected]
. Ne feledje, hogy Billnek tovább kell lépnie[email protected]
.Először is használja a Gmail-et
Mutasd az eredetit
:Ezután megnyílik a teljes e-mail és a fejlécek:
Szállított: [email protected] Fogadott: 10.64.21.33-mal az SMTP azonosítóval s1csp177937iee; 2013. március 8. 04:11:00 -0700 (PDT) X-beérkezett: 10.14.47.73-nál SMTP azonosítóval s49mr24756966eeb.71.1373281860071; 2013. március 08. 04:11:00 -0700 (PDT) Visszatérési út: Fogadott: maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) az mx.google.com ESMTPS azonosítójával j47si6975462eeg.108.2013.07.08.04.10.59 mert (verzió = TLSv1 titkosítás = RC4-SHA bit = 128/128); 2013. március 08. 04:11:00 -0700 (PDT) Fogadott-SPF: semleges (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nem engedélyezett és nem tagadható [email protected] domain) kliens-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Hitelesítési eredmények: mx.google.com; spf = neutrális (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: a b0b1 nem engedélyezett és nem tagadható meg az [email protected] domain domain legjobb találgatásrekordjaival ) [email protected] Fogadott: maxipes.logix.cz (Postfix, userid 604) azonosítója C923E5D3A45; 2013. március 8. 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: késleltetett 00:06:34 az SQLgrey-1.8.0-rc1-től Fogadott: az elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) a maxipes.logix.cz (Postfix) által, az ESMTP azonosítóval: B43175D3A44; 2013. március 8. 23:10:48 +1200 (NZST) Kapott: a [168.62.170.129] (helo = laurence39) által az elasmtp-curtail.atl.sa.earthlink.net és az esmtpa (Exim 4.67) között (boríték-tól ) id 1Uw98w-0006KI-6y a [email protected] címre; 2013. március 08. 06:58:06 -0400 Feladó: "Alice" Tárgy: Szörnyű utazási kérdés… Kérjük, válaszoljon ASAP címre: [email protected] Tartalom-típus: többrészes / alternatív; határ = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, július 8, 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… Vágtam az e-mailt ...]
A fejléceket időrendi sorrendben kell olvasni alulról a tetejére - a legrégebbi az alján. Minden újabb szerver hozzá fog adni saját üzenetét - kezdve
kapott
. Például:Fogadott: maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) által mx.google.com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 a (verzió = TLSv1 rejtjel = RC4-SHA bit = 128/128); Ma, 2013. július 08. 04:11:00 -0700 (PDT)
Ez azt mondja
mx.google.com
megkapta a leveletmaxipes.logix.cz
nál nélMa, 2013. július 08. 04:11:00 -0700 (PDT)
.Most, hogy megtaláld igazi az e-mail küldője, a cél az utolsó megbízható átjáró megtalálása - utolsó, amikor a fejléceket felülről olvasod, azaz először a kronológiai sorrendben. Kezdjük a Bill e-mail szerverének megtalálásával. Ehhez lekérdezi a tartomány MX rekordját. Néhány online eszközt használhatsz, vagy Linuxon parancssorból lekérdezheted (jegyezd meg, hogy az igazi tartománynév megváltozott
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Így látod, hogy a domain.com e-mail kiszolgálója
maxipes.logix.cz
vagybroucek.logix.cz
. Ezért az utolsó (első kronológiailag) megbízható „hop” - vagy az utolsó megbízott „Received record” vagy bármi, amit hívsz - ez:Fogadott: az elasmtp-curtail.atl.sa.earthlink.net címen (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) a maxipes.logix.cz (Postfix) által, a B43175D3A44 ESMTP azonosítóval; Ma, 2013. július 8. 23:10:48 +1200 (NZST)
Bízhat benne, mert ezt Bill levelezőszervere rögzítette
domain.com
. Ez a szerver megkapta209.86.89.64
. Ez lehet, és nagyon gyakran az igazi e-mail küldője - ebben az esetben a scammer! Ellenőrizheti ezt az IP-t egy feketelistán. - Lásd, 3 fekete listában szerepel! Van még egy rekord alatt:Fogadott: a [168.62.170.129] (helo = laurence39) által az elasmtp-curtail.atl.sa.earthlink.net és az esmtpa (Exim 4.67) (boríték-tól) azonosítója 1Uw98w-0006KI-6y a [email protected] címre; Mon, 2013. július 08. 06:58:06 -0400
de valójában nem bízhat benne, mert ezt csak a scammer adhatja hozzá, hogy eltüntesse a nyomokat és / vagy hamis nyomvonalat állítson. Természetesen még mindig fennáll a lehetőség, hogy a szerver
209.86.89.64
ártatlan, és csak az igazi támadó közvetítője volt168.62.170.129
, de aztán a relét gyakran bűnösnek tartják, és nagyon gyakran feketelistára kerül. Ebben az esetben,168.62.170.129
tiszta, így szinte biztosak lehetünk abban, hogy a támadás történt209.86.89.64
.Természetesen, ahogy tudjuk, hogy Alice a Yahoo! és
elasmtp-curtail.atl.sa.earthlink.net
nem a Yahoo! hálózat (esetleg érdemes újra megvizsgálni az IP Whois információit), akkor biztosan arra a következtetésre juthatunk, hogy ez az e-mail nem Alice-től származik, és hogy nem küldhetünk neki pénzt a Fülöp-szigeteken igénybe vett nyaraláshoz..
Két másik közreműködő, az Ex Umbris és a Vijay ajánlott az alábbi szolgáltatások támogatására az e-mail fejlécek dekódolásához: SpamCop és Google Fejlécelemző eszköz.
Van valami, amit hozzá kell adni a magyarázathoz? Kikapcsolja a megjegyzéseket. Szeretne további válaszokat olvasni más tech-savvy Stack Exchange felhasználóktól? Nézze meg a teljes beszélgetés szálát itt.