Početna » kako da » Kako mogu saznati gdje je stvarno došao email?

    Kako mogu saznati gdje je stvarno došao email?

    Samo zato što se e-pošta pojavljuje u vašoj pristigloj pošti s oznakom [email protected], to ne znači da je Bill zapravo imao ikakve veze s tim. Čitajte dalje dok istražujemo kako kopati i vidjeti odakle potječe sumnjiva e-pošta.

    Današnja sesija pitanja i odgovora dolazi nam ljubaznošću SuperUser-a, podjele Stack Exchangea, grupne grupacije web-lokacija s pitanjima i odgovorima..

    Pitanje

    Čitač SuperUser Sirwan želi znati kako shvatiti odakle zapravo dolaze poruke e-pošte:

    Kako mogu znati odakle je došao e-pošta?
    Postoji li način da se to otkrije?
    Čuo sam za zaglavlja e-pošte, ali ne znam gdje mogu vidjeti zaglavlja e-pošte na primjer u Gmailu.

    Pogledajmo ova zaglavlja e-pošte.

    Odgovori

    Doprinosnik SuperUser-a Tomas nudi vrlo detaljan i detaljan odgovor:

    Vidite primjer muljaža koji mi je poslan, pretvarajući se da je od mog prijatelja, tvrdeći da je opljačkana i traži od mene financijsku pomoć. Promijenio sam imena - pretpostavimo da sam Bill, prevarant je poslao poruku e-pošte [email protected], pretvarajući se da jest [email protected]. Imajte na umu da Bill nastavlja [email protected].

    Prvo u Gmailu upotrijebite prikaži original:

    Zatim će se otvoriti puna adresa e-pošte i zaglavlja:

    Isporučeno-to: [email protected] Primljeno: od 10.64.21.33 s SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Primljeno: od 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Povratna putanja: Primljeno: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1] ]) od mx.google.com s oznakom ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 za (inačica = TLSv1 cipher = RC4-SHA bit = 128/128); Ponedjeljak, 08 Srpanj 2013 04:11:00 -0700 (PDT) Primljeno-SPF: neutralno (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nije dopušteno niti odbijeno pomoću najboljeg zapisa za domena [email protected]) klijent-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Rezultati provjere autentičnosti: mx.google.com; spf = neutralno (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nije dopušteno niti odbijeno od strane najboljeg pretpostavljenog zapisa za domenu [email protected]) ) [email protected] Primljeno: maxipes.logix.cz (Postfix, iz userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Izvornik-To: [email protected] X-Greylist: odgođen 00:06:34 by SQLgrey-1.8.0-rc1 Primljeno: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) od strane maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 za; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Primljeno: od [168.62.170.129] (helo = laurence39) od elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (omotnica ) id 1Uw98w-0006KI-6y za [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Od: "Alice" Tema: Strašno izdanje putovanja ... Ljubazno odgovorite na ASAP na: [email protected] Sadržaj-Tip: multipart / alternativa; Granica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Odgovor na: [email protected] Datum: pon, 8. srpnja 2013 10:58:06 +0000 ID poruke: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… Izrezao sam tijelo e-pošte ...] 

    Zaglavlja se kronološki čitaju od dna prema vrhu - najstarija su na dnu. Svaki novi poslužitelj na putu će dodati svoju poruku - počevši od primljen. Na primjer:

    Primljeno: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 za (verzija = TLSv1 šifra = RC4-SHA bit = 128/128); Pon, 08 Srpanj 2013 04:11:00 -0700 (PDT) 

    Ovo kaže mx.google.com Korisnik primio je poštu od maxipes.logix.cz na Pon, 08 Srpanj 2013 04:11:00 -0700 (PDT).

    Sada, da pronađemo stvaran Vaš pošiljatelj e-pošte, vaš je cilj pronaći posljednji pouzdani pristupnik - posljednji kada čitate zaglavlja od vrha, tj. prvo u kronološkom redoslijedu. Počnimo od pronalaženja Billova poslužitelja pošte. U tu svrhu postavljate upit za MX zapis za domenu. Možete koristiti neke online alate, ili na Linuxu možete ga upitati na naredbenom retku (imajte na umu da je pravo ime domene promijenjeno u domain.com):

    ~ $ host -t MX domena.com domena.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Vidjet ćete poslužitelj e-pošte za domenu.com maxipes.logix.cz ili broucek.logix.cz. Dakle, posljednji (prvi kronološki) pouzdani "hop" - ili posljednji pouzdani "primljeni zapis" ili kako ga već zovete - je ovaj:

    Primljeno: od elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) od strane maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 za; Pon, 8 srpnja 2013 23:10:48 +1200 (NZST) 

    Ovo možete vjerovati jer je to zabilježio Billov poslužitelj pošte domain.com. Ovaj poslužitelj je dobio od 209.86.89.64. To bi mogao biti, i vrlo često, pravi pošiljatelj e-pošte - u ovom slučaju prevarant! Možete provjeriti IP na crnoj listi. - Vidite, on je naveden u 3 crne liste! Ispod njega je još jedan zapis:

    Primljeno: od [168.62.170.129] (helo = laurence39) od elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (omotnica-od) id 1Uw98w-0006KI-6y za [email protected]; Pon, 08 Srpanj 2013 06:58:06 -0400 

    ali u to zapravo ne možete vjerovati, jer bi to moglo biti dodano od strane prevaranta da obriše svoje tragove i / ili položiti lažni trag. Naravno, još uvijek postoji mogućnost da poslužitelj 209.86.89.64 je nevina i samo je djelovala kao relej za pravog napadača 168.62.170.129, ali onda se relej često smatra krivim i vrlo često je na crnoj listi. U ovom slučaju, 168.62.170.129 Čist je pa smo gotovo sigurni da je napad izvršen 209.86.89.64.

    I naravno, kao što znamo da Alice koristi Yahoo! i elasmtp-curtail.atl.sa.earthlink.netnije na Yahoo! mreže (možda ćete htjeti ponovno provjeriti svoje informacije IP Whois), možemo sigurno zaključiti da ova poruka nije bila od Alice, te da joj ne bismo trebali slati novac na njezin napušteni odmor na Filipinima.

    Druga dva suradnika, Ex Umbris i Vijay, preporučili su sljedeće usluge za pomoć u dekodiranju zaglavlja e-pošte: SpamCop i Googleov alat za analizu zaglavlja.


    Imate li što dodati objašnjenju? Zvuk isključen u komentarima. Želite li pročitati više odgovora od drugih tehničkih korisnika Stack Exchangea? Pogledajte cjelokupnu temu za raspravu ovdje.