Само защото имейлът се показва в пощенската кутия с надпис "[email protected]", това не означава, че Бил всъщност има нещо общо с него. Прочетете, докато проучваме как да се вкопчим и да видим откъде идва подозрителният имейл.
Днешната сесия за въпроси и отговори се отнася до нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединяване на уеб сайтове с въпроси и отговори.
Четецът на SuperUser Sirwan иска да знае как да разбере откъде идват имейлите:
Как мога да разбера откъде идва истинският имейл?
Има ли начин да го открием?
Чувал съм за заглавията на имейли, но не знам къде мога да видя имейл заглавията, например в Gmail.
Нека да разгледаме тези заглавки на имейли.
Contributor на SuperUser Tomas предлага много подробен и проницателен отговор:
Вижте пример за измама, която ми беше изпратена, преструвайки се, че е от моя приятел, като твърди, че е била ограбена и ме помоли за финансова помощ. Промених имената - предположим, че съм Бил, измамникът е изпратил имейл до
[email protected], преструвайки се, че е[email protected], Обърнете внимание, че Бил се е обърнал напред[email protected].Първо, в Gmail, използвайте
показване на оригинала:
След това се отваря пълният имейл и заглавията му:
Доставено до: [email protected] Получено: до 10.64.21.33 с SMTP id s1csp177937iee; Понеделник, 8 Юли 2013 04:11:00 -0700 (PDT) X-получено: от 10.14.47.73 с SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Връщане-Път: Получено: от maxipes.logix.cz (maxipes.logix.cz) [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) от mx.google.com с ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 за (версия = TLSv1 шифър = RC4-SHA бита = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: неутрален (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) домейн на [email protected]) клиент-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Автентификация-резултати: mx.google.com; spf = неутрален (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не е разрешен или отказан от най-добрия запис за домейна на [email protected] ) [email protected] Получено: от maxipes.logix.cz (Postfix, от userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-максимум: забавено 00:06:34 от SQLgrey-1.8.0-rc1 Получено: от elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP id B43175D3A44 за; Понеделник, 8 Юли 2013 23:10:48 +1200 (NZST) Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (плик от ) id 1Uw98w-0006KI-6y за адрес [email protected]; Понеделник, 08 Юли 2013 06:58:06 -0400 От: "Алис" Тема: Ужасно пътуване Проблем ... Моля, отговорете накратко До: [email protected] Тип съдържание: multipart / алтернатива; граница = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Отговор до: [email protected] Дата: Пон, 08 юли, 2013 г. 10:58:06 0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Намалих имейл адреса ...]Заглавията трябва да се четат хронологично отдолу нагоре - най-старите са на дъното. Всеки нов сървър по пътя ще добави собствено послание - като се започне от
приет, Например:Получено: от maxipes.logix.cz (maxipes.logix.cz.) От mx.google.com с ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 за (версия = TLSv1 шифър = RC4-SHA бита = 128/128); Понеделник, 08 Юли 2013 04:11:00 -0700 (PDT)Това казва това
mx.google.comе получил пощата отmaxipes.logix.czприПонеделник, 08 Юли 2013 04:11:00 -0700 (PDT).Сега, за да намеритереален изпращач на имейла, целта ви е да намерите последния надежден шлюз - последно, когато четете заглавията отгоре, т.е. първо в хронологичен ред. Нека започнем, като намерим пощенския сървър на Бил. За това заявявате MX запис за домейна. Можете да използвате някои онлайн инструменти, или на Linux можете да го заявите на командния ред (обърнете внимание на истинското име на домейн е променено на
domain.com):~ $ host -t MX домейн.com домейн.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czТака че виждате пощенския сървър за domain.com е
maxipes.logix.czилиbroucek.logix.cz, Следователно последното (първо хронологично) доверено "хоп" - или последното, в което се вярва "Получен запис" или каквото го наричате, е това:Получени: от elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP id B43175D3A44 за; Понеделник, 8 Юли 2013 23:10:48 +1200 (NZST)Можете да се доверите на това, защото това е било записано от пощенския сървър на Бил за
domain.com, Този сървър го получи209.86.89.64, Това може да бъде и много често е истинският подател на електронната поща - в този случай измамникът! Можете да проверите този IP в черен списък. - Виж, той е включен в 3 черни списъци! Има още един запис под него:Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (обвивка от) id 1Uw98w-0006KI-6y за [email protected]; Понеделник, 08 Юли 2013 06:58:06 -0400но всъщност не можеш да вярваш на това, защото това може просто да бъде добавено от измамника, за да изтрие следите му и / илипогрешна пътека, Разбира се, все още има вероятност сървърът
209.86.89.64е невинен и действа само като реле за истинския нападател в168.62.170.129, но след това релето често се смята за виновно и често е в черния списък. В такъв случай,168.62.170.129е чиста, за да можем да сме почти сигурни, че нападението е направено209.86.89.64.И разбира се, както знаем, че Алис използва Yahoo! и
elasmtp-curtail.atl.sa.earthlink.netне е на Yahoo! (може да поискате отново да проверите информацията за IP Whois), можем сигурно да заключим, че този имейл не е от Алис и че не бива да й изпращаме никакви пари за обявената ваканция във Филипините.
Други двама сътрудници, Ex Umbris и Vijay, препоръчаха следните услуги за подпомагане на декодирането на заглавията на имейли: SpamCop и Google Header Analysis Tool.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
