If-Koubou

Jak mogę się dowiedzieć, skąd e-mail rzeczywiście pochodzi?

Jak mogę się dowiedzieć, skąd e-mail rzeczywiście pochodzi? (Jak)

To, że e-mail pojawia się w skrzynce odbiorczej oznaczonej jako [email protected], nie oznacza, że ​​Bill miał z tym coś wspólnego. Czytaj dalej, kiedy odkrywamy, jak się wkopać i zobaczyć, skąd pochodzi podejrzany e-mail.

Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser - poddziału Stack Exchange, grupy dyskusyjnej poświęconej tematyce społecznościowej.

Pytanie

Czytnik SuperUser Sirwan chce dowiedzieć się, skąd pochodzą e-maile:

Skąd mogę wiedzieć, skąd naprawdę pochodzi e-mail?
Czy istnieje sposób, aby to znaleźć?
Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu.

Rzućmy okiem na te nagłówki wiadomości e-mail.

Odpowiedzi

Pomocnik SuperUser Tomas oferuje bardzo szczegółową i wnikliwą odpowiedź:

Zobacz przykład oszustwa, który został mi przesłany, udając, że pochodzi od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową. Zmieniłem nazwy - przypuśćmy, że jestem Billem, oszust wysłał e-mail do[email protected]udając, że jest[email protected]. Zwróć uwagę, że Bill przekazał dalej[email protected].

Najpierw w Gmailu użyjPokaż oryginał:

Następnie otworzy się pełny e-mail i jego nagłówki:

Dostarczono do: [email protected] Otrzymano: przez 10.64.21.33 z identyfikatorem SMTP s1csp177937iee; Pon., 8 lipca 2013 04:11:00 -0700 (PDT) X-Received: do 10.14.47.73 z identyfikatorem SMTP s49mr24756966eeb.71.1373281860071; Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) przez mx.google.com z ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pon., 08 Jul 2013 04:11:00 -0700 (PDT) Otrzymano-SPF: neutralny (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domena [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Uwierzytelnianie - wyniki: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani odrzucane przez najlepszy rekord zgadywania dla domeny [email protected] ) [email protected] Otrzymano: przez maxipes.logix.cz (Postfix, od ID użytkownika 604) id C923E5D3A45; Pon., 8 lip 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: opóźniony 00:06:34 autor: SQLgrey-1.8.0-rc1 Otrzymano: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) autorstwa maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST) Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (koperta z ) id 1Uw98w-0006KI-6y dla adresu [email protected]; Pon., 08 Jul 2013 06:58:06 -0400 Od: "Alicja" Temat: Okropny problem z podróżowaniem ... Odpowiednia odpowiedź JAK NAJ. Do: [email protected] Treść-typ: wieloczęściowy / alternatywny; granica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Data: Mon, 08 lipca 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Odciąłem pocztę elektroniczną ...] 

Nagłówki należy odczytywać chronologicznie od dołu do góry - najstarsze są na dole. Każdy nowy serwer po drodze doda własną wiadomość - zaczynając odOdebrane. Na przykład:

Otrzymano: od maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) przez mx.google.com z identyfikatorem ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 dla (wersja = szyfrowanie TLSv1 = bity RC4-SHA = 128/128); Pn., 08 lipca 2013 roku, 04:11:00 -0700 (PDT) 

To mówi takmx.google.com otrzymał pocztę odmaxipes.logix.cz wPn., 08 lipca 2013 roku, 04:11:00 -0700 (PDT).

Teraz, aby znaleźćreal nadawca wiadomości e-mail, Twoim celem jest znalezienie ostatniej zaufanej bramy - ostatniej, gdy czytasz nagłówki od góry, tj. najpierw w porządku chronologicznym. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu wyszukujesz rekord MX dla domeny. Możesz użyć niektórych narzędzi online lub w Linuksie możesz wysłać zapytanie do niego w wierszu poleceń (zwróć uwagę na prawdziwą nazwę domeny zmienioną nadomain.com):

~ $ host -t MX domena.com domena MX 10 broucek.logix.cz domena.com MX 5 maxipes.logix.cz 

Więc widzisz serwer pocztowy domeny domain.commaxipes.logix.cz lubbroucek.logix.cz. Stąd ostatni (pierwszy chronologicznie) zaufany "hop" - lub ostatni zaufany "Received record" lub jakkolwiek go nazwiesz - jest ten:

Otrzymano: od elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) przez maxipes.logix.cz (Postfix) o identyfikatorze ESMTP B43175D3A44 dla; Pon., 8 lipca 2013 23:10:48 +1200 (NZST) 

Możesz zaufać temu, ponieważ zostało to zarejestrowane przez serwer pocztowy Billa dladomain.com. Ten serwer to dostał209.86.89.64. Może to być i bardzo często jest rzeczywistym nadawcą wiadomości e-mail - w tym przypadku oszustem! Możesz sprawdzić to IP na czarnej liście. - Zobacz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:

Otrzymano: od [168.62.170.129] (helo = laurence39) przez elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y dla [email protected]; Pon., 08 Jul 2013 06:58:06 -0400 

ale nie możesz tak naprawdę zaufać, ponieważ to może być dodane przez oszusta, by zniszczyć jego ślady i / lubpołóż fałszywy ślad. Oczywiście nadal istnieje możliwość, że serwer209.86.89.64 jest niewinny i działał tylko jako przekaźnik dla prawdziwego napastnika168.62.170.129, ale wtedy przekaźnik jest często uważany za winnego i bardzo często jest na czarnej liście. W tym przypadku,168.62.170.129 jest czysty, więc możemy być prawie pewni, że atak został wykonany209.86.89.64.

Oczywiście, ponieważ wiemy, że Alicja używa Yahoo! ielasmtp-curtail.atl.sa.earthlink.netnie jest na Yahoo! (możesz chcieć ponownie sprawdzić swoje informacje dotyczące IP Whois), możemy bezpiecznie wywnioskować, że ten e-mail nie pochodzi od Alicji i że nie powinniśmy wysyłać jej żadnych pieniędzy na jej wakacje na Filipinach.

Dwóch innych współpracowników, Ex Umbris i Vijay, polecili odpowiednio następujące usługi do pomocy w dekodowaniu nagłówków wiadomości e-mail: SpamCop i narzędzie Google Header Analysis.

Czy masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych użytkowników Stack Exchange, którzy znają się na technologii? Sprawdź cały wątek dyskusji tutaj.