Miten saan selville, mistä sähköposti todella tuli?
Ainoastaan siksi, että postilaatikossa näkyy sähköpostiosoite [email protected], ei tarkoita, että Billillä olisi ollut mitään tekemistä sen kanssa. Lue, kun tutkimme, miten kaivaa ja miten epäilyttävä sähköposti todella tuli.
Nykypäivän Kysymys- ja vastaus -istunto tulee meille suotuisasti SuperUser-Stack Exchange -palvelun osa-alueesta..
Kysymys
SuperUser-lukija Sirwan haluaa tietää, miten selvittää, mistä sähköpostiviestit ovat peräisin:
Miten voin tietää, mistä sähköpostiviesti todella tuli?
Onko mitään keinoa löytää se?
Olen kuullut sähköpostin otsikoista, mutta en tiedä mistä voin nähdä esimerkiksi sähköpostiviestien otsikot Gmailissa.
Katsotaanpa näitä sähköpostin otsikoita.
Vastaukset
SuperUserin avustaja Tomas tarjoaa erittäin yksityiskohtaisen ja oivaltavan vastauksen:
Katso esimerkki huijauksesta, joka on lähetetty minulle, teeskentelemällä, että se on minun ystäväni, väittäen, että hänet on ryöstetty ja pyytänyt minua taloudellisesta tuesta. Olen muuttanut nimiä - oletan, että olen Bill, huijari on lähettänyt sähköpostiviestin
[email protected]
, teeskentelee olevansa[email protected]
. Huomaa, että Bill on eteenpäin[email protected]
.Ensinnäkin, käytä Gmailissa
näytä alkuperäinen
:Sitten avataan koko sähköposti ja sen otsikot:
Toimitettu: [email protected] Vastaanotettu: 10.64.21.33 SMTP-tunnuksella s1csp177937iee; Ma, 8. heinäkuuta 2013 04:11:00 -0700 (PDT) X-vastaanotettu: 10.14.47.73 SMTP-tunnuksella s49mr24756966eeb.71.1373281860071; Ma 08.8.2013 04:11:00 -0700 (PDT) Paluu-polku: Vastaanotettu: maxipes.logix.cz: ltä (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) mx.google.com ESMTPS id: n kanssa j47si6975462eeg.108.2013.07.08.04.10.59 varten (versio = TLSv1 salaus = RC4-SHA-bitit = 128/128); Ma 08.8.2013 04:11:00 -0700 (PDT) Vastaanotettu-SPF: neutraali (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole sallittu eikä kielletty parhaimmilla arviotiedoilla verkkotunnus [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole sallittu eikä kielletty [email protected] verkkotunnuksen parhaiten arvaustietueella ) [email protected] Vastaanotettu: maxipes.logix.cz (Postfix, käyttäjältä userid 604) id C923E5D3A45; Ma, 8. heinäkuuta 2013 23:10:50 +1200 (NZST) X-Original-Vastaanottaja: [email protected] X-Greylist: viivästynyt 00:06:34 SQLgrey-1.8.0-rc1 Vastaanotettu: alkaen elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) lähettäjä maxipes.logix.cz (Postfix), jonka ESMTP-tunnus on B43175D3A44 varten; Ma, 8. heinäkuuta 2013 23:10:48 +1200 (NZST) Vastaanotettu: alkaen [168.62.170.129] (helo = laurence39): elasmtp-curtail.atl.sa.earthlink.net ja esmtpa (Exim 4.67) (kirjekuori-from ) id 1Uw98w-0006KI-6y [email protected]; Ma 08.07.2013 06:58:06 -0400 Alkaen: "Alice" Aihe: Terrible Travel Issue… Vastaa ASAP: lle Vastaanottaja: [email protected] Sisältö-tyyppi: moniosainen / vaihtoehto; raja = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 vastausosoitetta: [email protected] Date: Mon, 08 heinäkuu 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… Olen leikannut sähköpostiosoitteen…]
Otsikot luetaan kronologisesti alhaalta ylöspäin - vanhin on alareunassa. Jokainen uusi matkalla oleva palvelin lisää oman viestinsä - alkaen
Otettu vastaan
. Esimerkiksi:Vastaanotettu: osoitteesta maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 varten (versio = TLSv1 salaus = RC4-SHA bitit = 128/128); Ma, 8. heinäkuuta 2013 04:11:00 -0700 (PDT)
Tämä sanoo
mx.google.com
on saanut postinmaxipes.logix.cz
atMa, 8. heinäkuuta 2013 04:11:00 -0700 (PDT)
.Nyt löytää todellinen sähköpostiviestisi lähettäjän, tavoitteena on löytää viimeinen luotettu yhdyskäytävä - viimeinen, kun luetaan otsikot ylhäältä, eli ensin kronologisessa järjestyksessä. Aloitetaan löytämällä Billin sähköpostipalvelin. Tätä varten kysytään verkkotunnuksen MX-tietueesta. Voit käyttää joitakin online-työkaluja, tai Linuxissa voit kysyä sen komentoriviltä (huomaa, että todellinen verkkotunnus muutettiin
domain.com
):~ $ host -t MX verkkotunnus.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Niinpä verkkotunnuksen.com sähköpostipalvelin on
maxipes.logix.cz
taibroucek.logix.cz
. Näin ollen viimeinen (ensimmäinen kronologisesti) luotettu "hop" - tai viimeinen luotettu "Vastaanotettu ennätys" tai mitä tahansa sitä kutsutaan - on tämä:Vastaanotettu: osoitteesta elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) käyttäjältä maxipes.logix.cz (Postfix) ESMTP-tunnuksella B43175D3A44 varten; Ma, 8. heinäkuuta 2013 23:10:48 +1200 (NZST)
Voit luottaa tähän, koska Billin sähköpostipalvelin tallensi tämän
domain.com
. Tämä palvelin sai sen209.86.89.64
. Tämä voi olla, ja usein se on, todellinen sähköpostiviestin lähettäjä - tässä tapauksessa huijari! Voit tarkistaa tämän IP: n mustalla listalla. - Katso, hän on listattu kolmeen mustaan listaan! Sen alla on vielä yksi ennätys:Vastaanotettu: osoitteesta [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net -sivustolla esmtpa (Exim 4.67) (kirjekuoresta alkaen) id 1Uw98w-0006KI-6y [email protected] osalta; Ma, 8. heinäkuuta 2013 06:58:06 -0400
mutta et voi luottaa siihen, koska huijari voi vain lisätä sen jälkiä ja / tai laita väärä polku. Tietenkin on vielä mahdollista, että palvelin
209.86.89.64
on viaton ja toimi vain todellisen hyökkääjän releenä168.62.170.129
, mutta sitten releen katsotaan usein olevan syyllinen ja se on usein mustalla listalla. Tässä tapauksessa,168.62.170.129
on puhdas, joten voimme olla varmoja siitä, että hyökkäys tehtiin209.86.89.64
.Ja tietenkin, kuten tiedämme, että Alice käyttää Yahoo! ja
elasmtp-curtail.atl.sa.earthlink.net
ei ole Yahoo! verkko (haluat ehkä tarkistaa IP Whois -tietonsa uudelleen), voimme varmasti päätellä, että tämä sähköposti ei ole peräisin Alicesta, eikä meidän pitäisi lähettää hänelle mitään rahaa hänen väitettyyn lomaansa Filippiineillä.
Kaksi muuta osallistujaa, Ex Umbris ja Vijay, suosittelivat seuraavia palveluja, jotka auttavat sähköpostin otsikkojen dekoodaamisessa: SpamCop ja Googlen otsikkoanalyysityökalu.
Onko jotain lisättävää selitykseen? Ääni pois kommenteista. Haluatko lukea lisää vastauksia muilta tech-savvy Stack Exchange -käyttäjiltä? Tutustu koko keskusteluketjuun täällä.