Doar pentru că un e-mail apare în căsuța dvs. poștală etichetat [email protected], nu înseamnă că Bill are de fapt ceva de-a face cu asta. Citiți mai departe pe măsură ce explorăm cum să vă grăbiți și să vedeți de unde provenea de fapt un e-mail suspect.
Sesiunea de întrebări și răspunsuri din ziua de astăzi vine de la amabilitatea programului SuperUser - o subdiviziune a Stack Exchange, o grupare de comunicații pe site-uri cu întrebări și răspunsuri.
Cititorul super-utilizator Sirwan vrea să știe cum să afle de unde provin de la e-mailuri:
Cum pot să știu de unde a venit într-adevăr un e-mail?
Există vreo modalitate de a afla asta?
Am auzit despre anteturile de e-mail, dar nu știu unde pot vedea anteturile de e-mail, de exemplu, în Gmail.
Să aruncăm o privire la aceste anteturi de e-mail.
Contributor SuperUser Tomas oferă un răspuns foarte detaliat și plin de înțelepciune:
Vedeți un exemplu de înșelătorie care mi-a fost trimisă, pretinzând că este de la prietenul meu, susținând că a fost jefuită și că mi-a cerut ajutor financiar. Am schimbat numele - să presupunem că sunt Bill, scammerul a trimis un e-mail la
[email protected], pretinzând că este[email protected]. Rețineți că Bill a înaintat[email protected].Mai întâi, în Gmail, utilizați
Afișați originalul:
Apoi, se va deschide e-mailul complet și antetele acestuia:
Livrat la: [email protected] Primit: de 10.64.21.33 cu id SMTP s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-primit: de 10.14.47.73 cu id SMTP s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Calea de întoarcere: Primit: de la maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) de către mx.google.com cu ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pentru (versiunea = TLSv1 cipher = RC4-SHA bits = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutru (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) domeniu de [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nu este permisă și nici refuzată de cea mai bună înregistrare de ghici pentru domeniul [email protected] ) [email protected] Primit: de către maxipes.logix.cz (Postfix, de la userid 604) id C923E5D3A45; Mon, 08 Jul 2013 23:10:50 +1200 (NZST) X-Original-Pentru: [email protected] X-Greylist: întârziat 00:06:34 de SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de către maxipes.logix.cz (Postfix) cu codul ESMTP id B43175D3A44 pentru; Luni, 8 Iul 2013 23:10:48 +1200 (NZST) Primit: de la [168.62.170.129] (helo = laurence39) de elasmtp-curtail.atl.sa.earthlink.net cu esmtpa (Exim 4.67) ) id 1Uw98w-0006KI-6y pentru [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 De la: "Alice" Subiect: Problemă teribilă de călătorie ... Răspundeți cu blândețe la: [email protected] Tip de conținut: multipart / alternativă; graniță = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Răspuns-To: [email protected] Data: Luni, 8 Jul anul 2013 10:58:06 +0000 Mesaj ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... am tăiat corpul de e-mail ...]Antetele trebuie citite cronologic de jos în sus - cele mai vechi sunt în partea de jos. Fiecare server nou pe drum va adăuga un mesaj propriu - începând cu
Primit. De exemplu:Primit: de la maxipes.logix.cz (maxipes.logix.cz.) De mx.google.com cu ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 pentru (versiunea = TLSv1 cipher = RC4-SHA bits = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)Asta spune asta
mx.google.coma primit poșta de lamaxipes.logix.czlaMon, 08 Jul 2013 04:11:00 -0700 (PDT).Acum, pentru a găsireal expeditorul e-mail-ului dvs., obiectivul dvs. este să găsiți ultima poartă de încredere - ultima dată când citiți anteturile de sus, adică mai întâi în ordinea cronologică. Să începem prin găsirea serverului de corespondență al lui Bill. Pentru aceasta, interogați înregistrarea MX pentru domeniu. Puteți utiliza anumite instrumente online sau pe Linux puteți să o interogați pe linia de comandă (rețineți numele real al domeniului a fost modificat)
domain.com):~ $ gazdă-t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czDeci, vedeți serverul de mail pentru domain.com este
maxipes.logix.czsaubroucek.logix.cz. Prin urmare, ultima (prima cronologică) de încredere "hamei" - sau ultima încredere în "înregistrarea primită" sau orice altceva îl numiți - este acesta:Primit: de la elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de către maxipes.logix.cz (Postfix) cu codul ESMTP id B43175D3A44 pentru; Luni, 8 Iul 2013 23:10:48 +1200 (NZST)Puteți avea încredere în acest lucru deoarece acest lucru a fost înregistrat de serverul de e-mail al lui Bill pentru
domain.com. Acest server a primit-o de la209.86.89.64. Acest lucru ar putea fi, și foarte des este, expeditorul real al e-mailului - în acest caz scammer! Puteți verifica această IP pe o listă neagră. - Vezi, el este listat în 3 liste negre! Există încă o înregistrare sub ea:Primit: de la [168.62.170.129] (helo = laurence39) de elasmtp-curtail.atl.sa.earthlink.net cu esmtpa (Exim 4.67) (plic de la) id 1Uw98w-0006KI-6y pentru [email protected]; Mon, 08 Jul 2013 06:58:06 -0400dar nu poți să ai încredere în acest lucru, pentru că ar putea fi adăugat doar de scammer pentru a șterge urmele lui și / saupune o pistă falsă. Desigur, există încă posibilitatea ca serverul
209.86.89.64este nevinovat și a acționat doar ca un releu pentru atacantul real la168.62.170.129, dar atunci releul este adesea considerat vinovat și este adesea negru. În acest caz,168.62.170.129este curat, astfel încât putem fi aproape siguri că a fost făcut atacul209.86.89.64.Și bineînțeles, așa cum știm că Alice utilizează Yahoo! și
elasmtp-curtail.atl.sa.earthlink.netnu este pe Yahoo! (poate doriți să verificați din nou informațiile IP Whois), putem concluziona în mod sigur că acest e-mail nu a fost de la Alice și că nu ar trebui să îi trimitem nici un ban în vacanța ei solicitată în Filipine.
Alți doi contribuabili, Ex Umbris și Vijay, au recomandat următoarele servicii pentru a asista la decodificarea antetelor de e-mail: SpamCop și instrumentul Analiza antetului Google.
Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.
