Jak mohu zjistit, odkud pochází e-mail?
Jen proto, že e-mail se objeví ve vaší doručené poště s názvem [email protected], neznamená to, že Bill skutečně měl co do činění s tím. Přečtěte si, jak prozkoumáme, jak se vykopat a zjistit, odkud skutečně pochází podezřelý e-mail.
Dnešní zasedání Otázky a odpovědi se k nám přichází s laskavým svolením SuperUser - subdivize Stack Exchange, seskupení webových stránek Q & A.
Otázka
Čtenář SuperUser Sirwan chce vědět, jak zjistit, odkud pocházejí e-maily:
Jak mohu vědět, odkud skutečně přišel e-mail??
Existuje nějaký způsob, jak to zjistit?
Slyšel jsem o hlavičkách e-mailů, ale nevím, kde můžu vidět hlavičky e-mailů například v Gmailu.
Podívejme se na tyto hlavičky e-mailů.
Odpovědi
Příspěvek SuperUser Tomas nabízí velmi podrobnou a důvtipnou odpověď:
Podívejte se na příklad podvodu, který mi byl zaslán a předstíral, že je od mého přítele, a tvrdí, že byla okrádána a požádala mě o finanční pomoc. Změnil jsem jména - předpokládejme, že jsem Bill, podvodník mi poslal e-mail
[email protected]
, předstírat, že je[email protected]
. Všimněte si, že Bill předal[email protected]
.Nejprve v Gmailu použijte
ukázat originál
:Pak se otevře úplný e-mail a jeho záhlaví:
Doručeno: [email protected] přijato: 10.64.21.33 s SMTP id s1csp177937iee; Po, 8. červen 2013 04:11:00 -0700 (PDT) X-přijaté: do 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Pondělí, 08 Júl 2013 04:11:00 -0700 (PDT) Návratová cesta: přijato: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pro (verze = TLSv1 cipher = RC4-SHA bity = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Přijaté SPF: neutrální (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) doména [email protected]) klient-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentizace-Výsledky: mx.google.com; spf = neutrální (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 není povolen ani odmítnut podle nejlepšího hádaného záznamu pro doménu [email protected] ) [email protected] Obdržel: maxipes.logix.cz (Postfix, od userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: zpožděný 00:06:34 od SQLgrey-1.8.0-rc1 Přijato: z elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) podle maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pro; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Přijato: z [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka od ) id 1Uw98w-0006KI-6y pro adresu [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Od: "Alice" Předmět: Strašná cestovní otázka ... Láskavě odpovězte prosím na adresu: [email protected] Typ obsahu: vícenásobné / alternativní; hranice = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME Verze: 1,0 Reply-To: [email protected] Datum Po, 8 Jul roce 2013 10:58:06 0000 ID zprávy: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... jsem zkrátil tělo e-mailu ...]
Hlavičky je třeba číst chronologicky od dna nahoru - nejstarší jsou v dolní části. Každý nový server na cestě přidá vlastní zprávu - počáteční
Přijato
. Například:Obdrženo: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) od mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 pro (verze = šifra TLSv1 = RC4-SHA bity = 128/128); Po, 08 Jul 2013 04:11:00 -0700 (PDT)
To říká tohle
mx.google.com
obdržel poštu odmaxipes.logix.cz
vPo, 08 Jul 2013 04:11:00 -0700 (PDT)
.Nyní, najít nemovitý odesílatele vaší e-mailové adresy, vaším cílem je najít poslední důvěryhodnou bránu - poslední, když čtete hlavičky shora, tzn. nejprve v chronologickém pořadí. Začněme tím, že najdeme poštovní server Billa. Za tímto účelem dotaz MX záznam pro doménu. Můžete použít některé online nástroje nebo v Linuxu můžete dotaz na příkazovém řádku (poznamenejte si, že skutečný název domény byl změněn na
domain.com
):~ $ host -t MX doména.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Takže vidíte poštovní server pro domain.com je
maxipes.logix.cz
nebobroucek.logix.cz
. Proto je poslední (nejprve chronologicky) důvěryhodný "hop" - nebo naposledy důvěryhodný "přijatý záznam" nebo cokoliv mu říkáte - toto je toto:Obdrženo: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 pro; Po, 8 Čer 2013 23:10:48 +1200 (NZST)
Můžete tomu důvěřovat, protože to bylo zaznamenáno poštovním serverem Bill pro
domain.com
. Tento server to dostal209.86.89.64
. To by mohlo být, a velmi často je, skutečný odesílatel e-mailu - v tomto případě podvodník! Tuto IP adresu můžete zkontrolovat na černé listině. - Vidíte, že je uveden ve 3 černých listech! Další pod ním je ještě jeden záznam:Obdržel: od [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (obálka z) id 1Uw98w-0006KI-6y pro [email protected]; Po, 08 Jul 2013 06:58:06 -0400
ale nemůžete to skutečně věřit, protože to může být jen přidání scammer vyměnit jeho stopy a / nebo položil falešnou stopu. Samozřejmě stále existuje možnost serveru
209.86.89.64
je nevinný a funguje jako relé pro skutečného útočníka na168,62,170,129
, ale pak je relé často považováno za vinné a je často velmi černé. V tomto případě,168,62,170,129
je čistý, takže si můžeme být téměř jisti, že útok byl proveden209.86.89.64
.A samozřejmě, protože víme, že Alice používá Yahoo! a
elasmtp-curtail.atl.sa.earthlink.net
není na webu Yahoo! (možná budete chtít znovu zkontrolovat informace o IP Whoisu), můžeme bezpečně dospět k závěru, že tento e-mail nebyl od společnosti Alice a že bychom jí neměli posílat žádné peníze na její nárok na dovolenou na Filipínách.
Dva další přispěvatelé, Ex Umbris a Vijay, doporučili následující služby pro pomoc při dekódování hlaviček e-mailů: SpamCop a Google Header Analysis Tool.
Musíte něco přidat k vysvětlení? Vypadněte v komentářích. Chcete se dozvědět více odpovědí od ostatních uživatelů technologie Stack Exchange? Podívejte se na celý diskusní příspěvek zde.