Как мога да разбера къде имейл наистина дойде от?
Само защото имейл се показва във вашата пощенска кутия с надпис [email protected], това не означава, че Бил е имал нещо общо с това. Прочетете, докато проучваме как да копаем и да видим откъде идва подозрителният имейл.
Днешната сесия на въпросите и отговорите идва с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединяващо групи от уебсайтове с въпроси и отговори.
Въпроса
Читателят на SuperUser Sirwan иска да знае как да разбере къде всъщност се получават имейли:
Как мога да знам откъде наистина идва имейл?
Има ли начин да го разберете?
Чувал съм за заглавките на имейлите, но не знам къде мога да видя заглавки на имейли например в Gmail.
Нека разгледаме тези заглавия на имейли.
Отговорите
Сътрудникът на SuperUser Tomas предлага много подробен и задълбочен отговор:
Виж пример за измама, която ми беше изпратена, преструвайки се, че е от моя приятел, твърдейки, че е била ограбена и ме пита за финансова помощ. Промених имената - да предположим, че съм Бил, мошеникът е изпратил имейл до
[email protected]
, преструвайки се, че е[email protected]
. Обърнете внимание, че Бил е готов[email protected]
.Първо, използвайте в Gmail
покажи оригинала
:След това ще се отвори пълният имейл и неговите заглавия:
Доставено до: [email protected] Получено: от 10.64.21.33 със SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Получено: от 10.14.47.73 с SMTP ID s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Пътеводител: Получен: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1] ]) от mx.google.com с ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 за (версия = TLSv1 cipher = RC4-SHA бита = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Получено-SPF: неутрално (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не е нито разрешено, нито отхвърлено от най-добрите предположения за домейн на [email protected]) клиент-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Резултати за удостоверяване: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не е нито позволено, нито отхвърлено от най-добрите предположения за домейн на [email protected]) ) [email protected] Получено: от maxipes.logix.cz (Postfix, от userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Оригинално-За: [email protected] X-Greylist: отложен 00:06:34 от SQLgrey-1.8.0-rc1 Постъпил: от elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP id B43175D3A44 за; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (плик-от ) id 1Uw98w-0006KI-6y за [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 От: "Alice" Относно: Ужасно пътуване ... Моля, отговорете ASAP на: [email protected] Content-Type: multipart / alternative; граница = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Отговор до: [email protected] Дата: Пон, 08 юли, 2013 г. 10:58:06 0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… Аз изрязах тялото на имейла ...]
Заглавките трябва да се четат хронологично отдолу нагоре - най-старите са на дъното. Всеки нов сървър по пътя ще добави свое съобщение - започвайки с
приет
. Например:Получено: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) от mx.google.com с ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 за (версия = TLSv1 cipher = RC4-SHA бита = 128/128); Пон, 08 Юли 2013 04:11:00 -0700 (PDT)
Това казва това
mx.google.com
е получил писмото отmaxipes.logix.cz
приПон, 08 Юли 2013 04:11:00 -0700 (PDT)
.Сега, за да намерим реален изпращачът на електронната ви поща, целта ви е да намерите последния доверен шлюз - последен, когато четете заглавките отгоре, т.е. първо в хронологичния ред. Да започнем с намирането на пощенския сървър на Бил. За тази цел подавате заявка за MX запис за домейна. Можете да използвате някои онлайн инструменти, или в Linux можете да го заявите в командния ред (имайте предвид, че истинското име на домейн е променено на
domain.com
):~ $ host -t MX domain.com домейн.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Така че виждате пощенския сървър за domain.com е
maxipes.logix.cz
илиbroucek.logix.cz
. Следователно, последният (първият хронологично) доверен „hop“ - или последния доверен „Получен запис“ или каквото и да го наричате - е този:Получено: от elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP id B43175D3A44 за; Пон, 8 Юли 2013 23:10:48 +1200 (NZST)
Можете да се доверите на това, защото това е записано от пощенския сървър на Бил
domain.com
. Този сървър го взе209.86.89.64
. Това може да бъде и много често е истинският подател на имейла - в този случай измамникът! Можете да проверите този IP адрес в черен списък. - Виж, той е включен в три черни списъка! Под него има още един запис:Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (плик-от) id 1Uw98w-0006KI-6y за [email protected]; Пон, 08 Юли 2013 06:58:06 -0400
но всъщност не можете да се доверите на това, защото това може да бъде добавено от измамника, за да изтрие следите му и / или сложи фалшива следа. Разбира се, все още има възможност сървърът
209.86.89.64
е невинен и е действал само като реле за истинския нападател168.62.170.129
, но след това релето често се смята за виновно и често е в черен списък. В такъв случай,168.62.170.129
е чист, за да сме почти сигурни, че атаката е извършена209.86.89.64
.И разбира се, както знаем, че Алис използва Yahoo! и
elasmtp-curtail.atl.sa.earthlink.net
не е в Yahoo! мрежа (може да искате да проверите отново информацията за IP Whois), можем спокойно да заключим, че този имейл не е от Алис и че не трябва да й изпращаме никакви пари за претендираната си ваканция във Филипините.
Двама други участници, Ex Umbris и Vijay, препоръчаха, съответно, следните услуги за подпомагане на декодирането на заглавки на имейли: SpamCop и инструмента за анализ на Google.
Имате ли какво да добавите към обяснението? Звукът е изключен в коментарите. Искате ли да прочетете повече отговори от други технологични потребители на Stack Exchange? Вижте пълната тема за дискусия тук.