Kako mogu saznati gdje je stvarno došao email?
Samo zato što se e-pošta pojavljuje u vašoj pristigloj pošti s oznakom [email protected], to ne znači da je Bill zapravo imao ikakve veze s tim. Čitajte dalje dok istražujemo kako kopati i vidjeti odakle potječe sumnjiva e-pošta.
Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupne grupacije web-lokacija s pitanjima i odgovorima..
Pitanje
Čitač SuperUser Sirwan želi znati kako shvatiti odakle zapravo dolaze poruke e-pošte:
Kako mogu znati odakle je došao e-pošta?
Postoji li način da se to otkrije?
Čuo sam za zaglavlja e-pošte, ali ne znam gdje mogu vidjeti zaglavlja e-pošte na primjer u Gmailu.
Pogledajmo ova zaglavlja e-pošte.
Odgovori
Doprinosnik SuperUser-a Tomas nudi vrlo detaljan i detaljan odgovor:
Vidite primjer muljaža koji mi je poslan, pretvarajući se da je od mog prijatelja, tvrdeći da je opljačkana i traži od mene financijsku pomoć. Promijenio sam imena - pretpostavimo da sam Bill, prevarant je poslao poruku e-pošte
[email protected]
, pretvarajući se da jest[email protected]
. Imajte na umu da Bill nastavlja[email protected]
.Prvo u Gmailu upotrijebite
prikaži original
:Zatim će se otvoriti puna adresa e-pošte i zaglavlja:
Isporučeno-to: [email protected] Primljeno: od 10.64.21.33 s SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Primljeno: od 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Povratna putanja: Primljeno: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1] ]) od mx.google.com s oznakom ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 za (inačica = TLSv1 cipher = RC4-SHA bit = 128/128); Ponedjeljak, 08 Srpanj 2013 04:11:00 -0700 (PDT) Primljeno-SPF: neutralno (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nije dopušteno niti odbijeno pomoću najboljeg zapisa za domena [email protected]) klijent-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nije dopušteno niti odbijeno od strane najboljeg pretpostavljenog zapisa za domenu [email protected]) ) [email protected] Primljeno: maxipes.logix.cz (Postfix, iz userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Izvornik-To: [email protected] X-Greylist: odgođen 00:06:34 by SQLgrey-1.8.0-rc1 Primljeno: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) od strane maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 za; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Primljeno: od [168.62.170.129] (helo = laurence39) od elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (omotnica ) id 1Uw98w-0006KI-6y za [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Od: "Alice" Tema: Strašno izdanje putovanja ... Ljubazno odgovorite na ASAP na: [email protected] Sadržaj-Tip: multipart / alternativa; Granica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Odgovor na: [email protected] Datum: pon, 8. srpnja 2013 10:58:06 +0000 ID poruke: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… Izrezao sam tijelo e-pošte ...]
Zaglavlja se kronološki čitaju od dna prema vrhu - najstarija su na dnu. Svaki novi poslužitelj na putu će dodati svoju poruku - počevši od
primljen
. Na primjer:Primljeno: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 za (verzija = TLSv1 šifra = RC4-SHA bit = 128/128); Pon, 08 Srpanj 2013 04:11:00 -0700 (PDT)
Ovo kaže
mx.google.com
Korisnik primio je poštu odmaxipes.logix.cz
naPon, 08 Srpanj 2013 04:11:00 -0700 (PDT)
.Sada, da pronađemo stvaran Vaš pošiljatelj e-pošte, vaš je cilj pronaći posljednji pouzdani pristupnik - posljednji kada čitate zaglavlja od vrha, tj. prvo u kronološkom redoslijedu. Počnimo od pronalaženja Billova poslužitelja pošte. U tu svrhu postavljate upit za MX zapis za domenu. Možete koristiti neke online alate, ili na Linuxu možete ga upitati na naredbenom retku (imajte na umu da je pravo ime domene promijenjeno u
domain.com
):~ $ host -t MX domena.com domena.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Vidjet ćete poslužitelj e-pošte za domenu.com
maxipes.logix.cz
ilibroucek.logix.cz
. Dakle, posljednji (prvi kronološki) pouzdani "hop" - ili posljednji pouzdani "primljeni zapis" ili kako ga već zovete - je ovaj:Primljeno: od elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) od strane maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 za; Pon, 8 srpnja 2013 23:10:48 +1200 (NZST)
Ovo možete vjerovati jer je to zabilježio Billov poslužitelj pošte
domain.com
. Ovaj poslužitelj je dobio od209.86.89.64
. To bi mogao biti, i vrlo često, pravi pošiljatelj e-pošte - u ovom slučaju prevarant! Možete provjeriti IP na crnoj listi. - Vidite, on je naveden u 3 crne liste! Ispod njega je još jedan zapis:Primljeno: od [168.62.170.129] (helo = laurence39) od elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (omotnica-od) id 1Uw98w-0006KI-6y za [email protected]; Pon, 08 Srpanj 2013 06:58:06 -0400
ali u to zapravo ne možete vjerovati, jer bi to moglo biti dodano od strane prevaranta da obriše svoje tragove i / ili položiti lažni trag. Naravno, još uvijek postoji mogućnost da poslužitelj
209.86.89.64
je nevina i samo je djelovala kao relej za pravog napadača168.62.170.129
, ali onda se relej često smatra krivim i vrlo često je na crnoj listi. U ovom slučaju,168.62.170.129
Čist je pa smo gotovo sigurni da je napad izvršen209.86.89.64
.I naravno, kao što znamo da Alice koristi Yahoo! i
elasmtp-curtail.atl.sa.earthlink.net
nije na Yahoo! mreže (možda ćete htjeti ponovno provjeriti svoje informacije IP Whois), možemo sigurno zaključiti da ova poruka nije bila od Alice, te da joj ne bismo trebali slati novac na njezin napušteni odmor na Filipinima.
Druga dva suradnika, Ex Umbris i Vijay, preporučili su sljedeće usluge za pomoć u dekodiranju zaglavlja e-pošte: SpamCop i Googleov alat za analizu zaglavlja.
Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.