Domovská » jak » Jak mohu zjistit, odkud pochází e-mail?

    Jak mohu zjistit, odkud pochází e-mail?

    Jen proto, že e-mail se objeví ve vaší doručené poště s názvem [email protected], neznamená to, že Bill skutečně měl co do činění s tím. Přečtěte si, jak prozkoumáme, jak se vykopat a zjistit, odkud skutečně pochází podezřelý e-mail.

    Dnešní zasedání Otázky a odpovědi se k nám přichází s laskavým svolením SuperUser - subdivize Stack Exchange, seskupení webových stránek Q & A.

    Otázka

    Čtenář SuperUser Sirwan chce vědět, jak zjistit, odkud pocházejí e-maily:

    Jak mohu vědět, odkud skutečně přišel e-mail??
    Existuje nějaký způsob, jak to zjistit?
    Slyšel jsem o hlavičkách e-mailů, ale nevím, kde můžu vidět hlavičky e-mailů například v Gmailu.

    Podívejme se na tyto hlavičky e-mailů.

    Odpovědi

    Příspěvek SuperUser Tomas nabízí velmi podrobnou a důvtipnou odpověď:

    Podívejte se na příklad podvodu, který mi byl zaslán a předstíral, že je od mého přítele, a tvrdí, že byla okrádána a požádala mě o finanční pomoc. Změnil jsem jména - předpokládejme, že jsem Bill, podvodník mi poslal e-mail [email protected], předstírat, že je [email protected]. Všimněte si, že Bill předal [email protected].

    Nejprve v Gmailu použijte ukázat originál:

    Pak se otevře úplný e-mail a jeho záhlaví:

    Doručeno: [email protected] přijato: 10.64.21.33 s SMTP id s1csp177937iee; Po, 8. červen 2013 04:11:00 -0700 (PDT) X-přijaté: do 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Pondělí, 08 Júl 2013 04:11:00 -0700 (PDT) Návratová cesta: přijato: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pro (verze = TLSv1 cipher = RC4-SHA bity = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Přijaté SPF: neutrální (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) doména [email protected]) klient-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentizace-Výsledky: mx.google.com; spf = neutrální (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 není povolen ani odmítnut podle nejlepšího hádaného záznamu pro doménu [email protected] ) [email protected] Obdržel: maxipes.logix.cz (Postfix, od userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: zpožděný 00:06:34 od SQLgrey-1.8.0-rc1 Přijato: z elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podle maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pro; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Přijato: z [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka od ) id 1Uw98w-0006KI-6y pro adresu [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Od: "Alice" Předmět: Strašná cestovní otázka ... Láskavě odpovězte prosím na adresu: [email protected] Typ obsahu: vícenásobné / alternativní; hranice = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME Verze: 1,0 Reply-To: [email protected] Datum Po, 8 Jul roce 2013 10:58:06 0000 ID zprávy: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... jsem zkrátil tělo e-mailu ...]

    Hlavičky je třeba číst chronologicky od dna nahoru - nejstarší jsou v dolní části. Každý nový server na cestě přidá vlastní zprávu - počáteční Přijato. Například:

    Obdrženo: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) od mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 pro (verze = šifra TLSv1 = RC4-SHA bity = 128/128); Po, 08 Jul 2013 04:11:00 -0700 (PDT)

    To říká tohle mx.google.com obdržel poštu od maxipes.logix.cz v Po, 08 Jul 2013 04:11:00 -0700 (PDT).

    Nyní, najít nemovitý odesílatele vaší e-mailové adresy, vaším cílem je najít poslední důvěryhodnou bránu - poslední, když čtete hlavičky shora, tzn. nejprve v chronologickém pořadí. Začněme tím, že najdeme poštovní server Billa. Za tímto účelem dotaz MX záznam pro doménu. Můžete použít některé online nástroje nebo v Linuxu můžete dotaz na příkazovém řádku (poznamenejte si, že skutečný název domény byl změněn na domain.com):

    ~ $ host -t MX doména.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

    Takže vidíte poštovní server pro domain.com je maxipes.logix.cz nebo broucek.logix.cz. Proto je poslední (nejprve chronologicky) důvěryhodný "hop" - nebo naposledy důvěryhodný "přijatý záznam" nebo cokoliv mu říkáte - toto je toto:

    Obdrženo: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pro; Po, 8 Čer 2013 23:10:48 +1200 (NZST)

    Můžete tomu důvěřovat, protože to bylo zaznamenáno poštovním serverem Bill pro domain.com. Tento server to dostal 209.86.89.64. To by mohlo být, a velmi často je, skutečný odesílatel e-mailu - v tomto případě podvodník! Tuto IP adresu můžete zkontrolovat na černé listině. - Vidíte, že je uveden ve 3 černých listech! Další pod ním je ještě jeden záznam:

    Obdržel: od [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka z) id 1Uw98w-0006KI-6y pro [email protected]; Po, 08 Jul 2013 06:58:06 -0400

    ale nemůžete to skutečně věřit, protože to může být jen přidání scammer vyměnit jeho stopy a / nebo položil falešnou stopu. Samozřejmě stále existuje možnost serveru 209.86.89.64 je nevinný a funguje jako relé pro skutečného útočníka na 168,62,170,129, ale pak je relé často považováno za vinné a je často velmi černé. V tomto případě, 168,62,170,129 je čistý, takže si můžeme být téměř jisti, že útok byl proveden 209.86.89.64.

    A samozřejmě, protože víme, že Alice používá Yahoo! a elasmtp-curtail.atl.sa.earthlink.netnení na webu Yahoo! (možná budete chtít znovu zkontrolovat informace o IP Whoisu), můžeme bezpečně dospět k závěru, že tento e-mail nebyl od společnosti Alice a že bychom jí neměli posílat žádné peníze na její nárok na dovolenou na Filipínách.

    Dva další přispěvatelé, Ex Umbris a Vijay, doporučili následující služby pro pomoc při dekódování hlaviček e-mailů: SpamCop a Google Header Analysis Tool.

    Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.

    Jak mohu zachovat hesla neviditelná při spuštění příkazu jako argument SSH?
    Jak mohu provést klávesové zkratky Ctrl + Alt + Del do Správce úloh v systému Windows 7?
    Jak mohu stáhnout celý web?
    Další článek
    Jak mohu získat lepší Wi-Fi příjem venku?
    Předchozí článek
    Jak mohu efektivně provést test výkonu mého připojení k Internetu?