Skąd mogę wiedzieć, skąd naprawdę pochodzi wiadomość e-mail? Czy jest jakiś sposób, aby się tego dowiedzieć?
Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu. Jakaś pomoc?
Skąd mogę wiedzieć, skąd naprawdę pochodzi wiadomość e-mail? Czy jest jakiś sposób, aby się tego dowiedzieć?
Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu. Jakaś pomoc?
Odpowiedzi:
Zobacz poniżej przykład oszustwa, które zostało mi wysłane, udając, że pochodzi od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową. Zmieniłem nazwy - jestem „Bill”, a oszust wysłał wiadomość e-mail na adres bill@domain.com
, udawać kogoś alice@yahoo.com
. Pamiętaj, że Bill przekazuje swój e-mail na adres bill@gmail.com
.
Najpierw w Gmailu kliknij show original
:
Otworzy się pełny e-mail i jego nagłówki:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Nagłówki należy odczytywać chronologicznie od dołu do góry - najstarsze znajdują się na dole. Każdy nowy serwer po drodze dodaje własną wiadomość - zaczynając od Received
. Na przykład:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
To mówi tak mx.google.com
otrzymał wiadomość od maxipes.logix.cz
w Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
.
Teraz, aby znaleźć real nadawca wiadomości e-mail, musisz znaleźć najwcześniejszą zaufaną bramę - ostatnią, gdy czytasz nagłówki z góry. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu zapytaj rekord MX dla domeny. Możesz użyć narzędzi online, takich jak Mx Toolbox lub w Linuksie możesz wysłać zapytanie do wiersza poleceń (zauważ, że prawdziwa nazwa domeny została zmieniona na domain.com
):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Zobaczysz serwer poczty dla domeny domain.com maxipes.logix.cz
lub broucek.logix.cz
. Dlatego ostatni (pierwszy chronologicznie) zaufany „przeskok” - lub ostatni zaufany „Odebrany rekord” lub jakkolwiek go nazwiesz - to ten:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Możesz zaufać temu, ponieważ został zarejestrowany przez serwer pocztowy Billa dla domain.com
. Ten serwer to dostał 209.86.89.64
. Może to być i bardzo często jest prawdziwy nadawca wiadomości e-mail - w tym przypadku oszust! Możesz sprawdź ten adres IP na czarnej liście . - Widzisz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Uważaj jednak, że jest to prawdziwe źródło wiadomości e-mail. Skarga na czarnej liście mogła zostać dodana przez oszusta, aby usunąć jego ślady i / lub położyć fałszywy ślad . Nadal istnieje możliwość, że serwer 209.86.89.64
jest niewinny i jest tylko przekaźnikiem dla prawdziwego napastnika 168.62.170.129
. W tym przypadku, 168.62.170.129
to czyste więc możemy być prawie pewni, że atak został wykonany 209.86.89.64
.
Kolejną kwestią, o której należy pamiętać, jest to, że Alice używa Yahoo! (alice@yahoo.com) i elasmtp-curtail.atl.sa.earthlink.net
nie jest w Yahoo! sieć (możesz chcieć sprawdź ponownie informacje IP Whois ). Dlatego możemy bezpiecznie stwierdzić, że ten e-mail nie pochodzi od Alice i nie powinniśmy wysyłać jej pieniędzy na Filipiny.
Aby znaleźć adres IP:
Kliknij odwrócony trójkąt obok opcji Odpowiedz. Wybierz Pokaż oryginał.
Szukać Received: from
po którym następuje adres IP między nawiasami kwadratowymi []. (przykład: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com
)
Jeśli znajdziesz więcej niż jeden odebrany: z wzorców, wybierz ostatni.
( Źródło )
Po tym możesz użyć strona pythonclub , iplocation.net lub wyszukiwanie IP aby znaleźć lokalizację.
Sposób uzyskiwania nagłówków różni się w zależności od klienta poczty e-mail. Wielu klientów pozwala łatwo zobaczyć oryginalny format wiadomości. Inne (MicroSoft Outlook) utrudniają to.
Aby ustalić, kto naprawdę wysłał wiadomość, pomocna jest ścieżka powrotu. Jednak może być sfałszowany. Adres zwrotny, który nie pasuje do adresu From, jest powodem do podejrzeń. Istnieją uzasadnione powody, dla których mogą się różnić, takie jak wiadomości przekazywane z list mailingowych lub linki wysyłane ze stron internetowych. (Byłoby lepiej, gdyby strona internetowa użyła adresu zwrotnego do identyfikacji osoby przekazującej link).
Aby określić pochodzenie wiadomości odczytywanej od góry do dołu przez otrzymane nagłówki. Może być ich kilka. Większość będzie miała adres IP serwera, na który otrzymała formularz wiadomości. Niektóre problemy, które napotkasz:
Zawsze powinieneś być w stanie określić, który serwer w Internecie wysłał Ci wiadomość. Dalsze śledzenie zależy od konfiguracji serwerów wysyłających.
używam http://whatismyipaddress.com/trace-email . Jeśli korzystasz z Gmaila, kliknij Pokaż oryginał (w Więcej, obok przycisku Odpowiedz, skopiuj nagłówki, wklej je na tę stronę i kliknij Pobierz źródło. Otrzymasz informacje o geolokalizacji i mapę w zamian
istnieją również narzędzia do analizy nagłówków wiadomości e-mail i wyodrębniania danych e-mailowych
na przykład :
które mogą śledzić e-mail z powrotem do jego lokalizacji geograficznej, w tym filtr spamu
MSGTAG
PoliteMail
Super Email Marketing Software
Zendio