Domovská » jak » Jak mohu zjistit, odkud pochází e-mail?

    Jak mohu zjistit, odkud pochází e-mail?

    Jen proto, že e-mail se objeví ve vaší doručené poště s názvem [email protected], neznamená to, že Bill skutečně měl co do činění s tím. Přečtěte si, jak prozkoumáme, jak se vykopat a zjistit, odkud skutečně pochází podezřelý e-mail.

    Dnešní zasedání Otázky a odpovědi se k nám přichází s laskavým svolením SuperUser - subdivize Stack Exchange, seskupení webových stránek Q & A.

    Otázka

    Čtenář SuperUser Sirwan chce vědět, jak zjistit, odkud pocházejí e-maily:

    Jak mohu vědět, odkud skutečně přišel e-mail??
    Existuje nějaký způsob, jak to zjistit?
    Slyšel jsem o hlavičkách e-mailů, ale nevím, kde můžu vidět hlavičky e-mailů například v Gmailu.

    Podívejme se na tyto hlavičky e-mailů.

    Odpovědi

    Příspěvek SuperUser Tomas nabízí velmi podrobnou a důvtipnou odpověď:

    Podívejte se na příklad podvodu, který mi byl zaslán a předstíral, že je od mého přítele, a tvrdí, že byla okrádána a požádala mě o finanční pomoc. Změnil jsem jména - předpokládejme, že jsem Bill, podvodník mi poslal e-mail [email protected], předstírat, že je [email protected]. Všimněte si, že Bill předal [email protected].

    Nejprve v Gmailu použijte ukázat originál:

    Pak se otevře úplný e-mail a jeho záhlaví:

    Doručeno: [email protected] přijato: 10.64.21.33 s SMTP id s1csp177937iee; Po, 8. červen 2013 04:11:00 -0700 (PDT) X-přijaté: do 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Pondělí, 08 Júl 2013 04:11:00 -0700 (PDT) Návratová cesta: přijato: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pro (verze = TLSv1 cipher = RC4-SHA bity = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Přijaté SPF: neutrální (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) doména [email protected]) klient-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentizace-Výsledky: mx.google.com; spf = neutrální (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 není povolen ani odmítnut podle nejlepšího hádaného záznamu pro doménu [email protected] ) [email protected] Obdržel: maxipes.logix.cz (Postfix, od userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: zpožděný 00:06:34 od SQLgrey-1.8.0-rc1 Přijato: z elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podle maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pro; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Přijato: z [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka od ) id 1Uw98w-0006KI-6y pro adresu [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Od: "Alice" Předmět: Strašná cestovní otázka ... Láskavě odpovězte prosím na adresu: [email protected] Typ obsahu: vícenásobné / alternativní; hranice = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME Verze: 1,0 Reply-To: [email protected] Datum Po, 8 Jul roce 2013 10:58:06 0000 ID zprávy: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... jsem zkrátil tělo e-mailu ...] 

    Hlavičky je třeba číst chronologicky od dna nahoru - nejstarší jsou v dolní části. Každý nový server na cestě přidá vlastní zprávu - počáteční Přijato. Například:

    Obdrženo: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) od mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 pro (verze = šifra TLSv1 = RC4-SHA bity = 128/128); Po, 08 Jul 2013 04:11:00 -0700 (PDT) 

    To říká tohle mx.google.com obdržel poštu od maxipes.logix.cz v Po, 08 Jul 2013 04:11:00 -0700 (PDT).

    Nyní, najít nemovitý odesílatele vaší e-mailové adresy, vaším cílem je najít poslední důvěryhodnou bránu - poslední, když čtete hlavičky shora, tzn. nejprve v chronologickém pořadí. Začněme tím, že najdeme poštovní server Billa. Za tímto účelem dotaz MX záznam pro doménu. Můžete použít některé online nástroje nebo v Linuxu můžete dotaz na příkazovém řádku (poznamenejte si, že skutečný název domény byl změněn na domain.com):

    ~ $ host -t MX doména.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Takže vidíte poštovní server pro domain.com je maxipes.logix.cz nebo broucek.logix.cz. Proto je poslední (nejprve chronologicky) důvěryhodný "hop" - nebo naposledy důvěryhodný "přijatý záznam" nebo cokoliv mu říkáte - toto je toto:

    Obdrženo: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pro; Po, 8 Čer 2013 23:10:48 +1200 (NZST) 

    Můžete tomu důvěřovat, protože to bylo zaznamenáno poštovním serverem Bill pro domain.com. Tento server to dostal 209.86.89.64. To by mohlo být, a velmi často je, skutečný odesílatel e-mailu - v tomto případě podvodník! Tuto IP adresu můžete zkontrolovat na černé listině. - Vidíte, že je uveden ve 3 černých listech! Další pod ním je ještě jeden záznam:

    Obdržel: od [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka z) id 1Uw98w-0006KI-6y pro [email protected]; Po, 08 Jul 2013 06:58:06 -0400 

    ale nemůžete to skutečně věřit, protože to může být jen přidání scammer vyměnit jeho stopy a / nebo položil falešnou stopu. Samozřejmě stále existuje možnost serveru 209.86.89.64 je nevinný a funguje jako relé pro skutečného útočníka na 168,62,170,129, ale pak je relé často považováno za vinné a je často velmi černé. V tomto případě, 168,62,170,129 je čistý, takže si můžeme být téměř jisti, že útok byl proveden 209.86.89.64.

    A samozřejmě, protože víme, že Alice používá Yahoo! a elasmtp-curtail.atl.sa.earthlink.netnení na webu Yahoo! (možná budete chtít znovu zkontrolovat informace o IP Whoisu), můžeme bezpečně dospět k závěru, že tento e-mail nebyl od společnosti Alice a že bychom jí neměli posílat žádné peníze na její nárok na dovolenou na Filipínách.

    Dva další přispěvatelé, Ex Umbris a Vijay, doporučili následující služby pro pomoc při dekódování hlaviček e-mailů: SpamCop a Google Header Analysis Tool.


    Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.