Skip to main content

Kuinka löydän, miltä sähköposti todella tuli?

Kuinka löydän, miltä sähköposti todella tuli?

Geoffrey Carr

Vain siksi, että sähköpostiviesti näkyy postilaatikossasi, joka on merkitty [email protected], ei tarkoita sitä, että Billilla olisi todellisuudessa ollut mitään tekemistä sen kanssa. Lue, kun tutkimme, miten kaivaa sisään ja nähdä, miltä epäilyttävä sähköposti todella tuli.

Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin ansiosta. Tämä on Stack Exchange -jako, joka on Q & A-sivustojen yhteisöjoukkoyhtymä.

Kysymys

SuperUser-lukija Sirwan haluaa tietää, miten selvittää, mistä sähköposteista todella on peräisin:

How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.

Katsotaanpa nämä sähköpostiotsikot.

Vastaukset

SuperUser-avustaja Tomas tarjoaa erittäin yksityiskohtaisen ja oivaltavan vastauksen:

See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names — suppose that I am Bill, the scammer has send an email to [email protected], teeskentelevästi hän on[email protected]. Huomaa, että Bill on siirtynyt eteenpäin[email protected].

Ensinnäkin, käytä Gmailiashow original:

Tällöin täysi sähköposti ja sen otsikot avautuvat:

Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue.....Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... I have cut the email body ...]

Yläosat on luettava kronologisesti alhaalta ylös - vanhimmat ovat alareunassa. Jokainen uusi palvelin matkalla lisää oman viestinsä - alkaenReceived. Esimerkiksi:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Tämä sanoomx.google.com on saanut postiamaxipes.logix.cz atMon, 08 Jul 2013 04:11:00 -0700 (PDT).

Nyt, löytääksesitodellinen sähköpostisi lähettäjä, tavoitteenasi on löytää viimeinen luotettu yhdyskäytävä - viimeinen lukeminen otsikoista ylhäältä, eli ensin kronologisessa järjestyksessä. Aloita etsimällä Billin sähköpostipalvelin. Tätä varten kysyt verkkotunnuksen MX-tietueen. Voit käyttää joitain online-työkaluja, tai Linuxissa voit kysyä sitä komentoriviltä (huomaa, että todellinen verkkotunnus on muutettudomain.com):

~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Joten näet domain-palvelimen sähköpostipalvelunmaxipes.logix.cz taibroucek.logix.cz. Näin ollen viimeinen (ensimmäinen kronologisesti) luotettu "hop" - tai viimeinen luotettu "vastaanotettu tietue" tai mitä kutsutte sitä - on tämä:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

Voit luottaa siihen, koska Billin sähköpostipalvelin tallensi sendomain.com. Tämä palvelin sai sen209.86.89.64. Tämä voisi olla, ja hyvin usein, todellinen sähköposti lähettäjä - tässä tapauksessa huijari! Voit tarkistaa tämän IP: n mustalla listalla. - Katso, hänet on listattu kolmessa mustassa listassa! Tässä on vielä yksi ennätys:

Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400

mutta et voi oikeasti luottaa tähän, sillä huijaaja voi vain lisätä sen jälkiä ja / tailaittaa väärän polun. Tietenkin palvelimelle on edelleen mahdollista209.86.89.64 on viaton ja toimii vain välittäjänä todellisen hyökkääjän kohdalla168.62.170.129, mutta sitten releen katsotaan usein olevan syyllinen ja se on usein mustalla listalla. Tässä tapauksessa,168.62.170.129 on puhdas, joten voimme olla melkein varma siitä, että hyökkäys on tehty209.86.89.64.

Ja tietenkin, koska tiedämme, että Alice käyttää Yahoo! jaelasmtp-curtail.atl.sa.earthlink.netei ole Yahoo! verkko (voit halutessasi tarkistaa sen IP Whois -tiedot uudelleen), voimme turvallisesti päätellä, että tämä sähköposti ei ollut Alicesta, eikä meidän pitäisi lähettää hänelle mitään rahaa Filippiineillä olevalle lomalleen.

Kaksi muuta osallistujaa, Ex Umbris ja Vijay, suosittelivat vastaavasti seuraavia palveluja sähköpostiosoitteiden koodauksen estämiseen: SpamCop ja Googlen Header Analysis -työkalu.


Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.

Link
Plus
Send
Send
Pin