Jak mogę się dowiedzieć, skąd naprawdę pochodzi wiadomość e-mail?


102

Skąd mogę wiedzieć, skąd naprawdę pochodzi wiadomość e-mail? Czy jest jakiś sposób, aby się tego dowiedzieć?

Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu. Jakaś pomoc?


btw. Adres IP w Gmailu Nagłówek jest w formacie IPv6: v6decode.com
user956584

Odpowiedzi:


143

Zobacz poniżej przykład oszustwa, które zostało mi wysłane, udając, że pochodzi od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową. Zmieniłem nazwy - jestem „Bill”, a oszust wysłał wiadomość e-mail na adres bill@domain.com, udawać kogoś alice@yahoo.com. Pamiętaj, że Bill przekazuje swój e-mail na adres bill@gmail.com.

Najpierw w Gmailu kliknij show original:

Message menu > Show original

Otworzy się pełny e-mail i jego nagłówki:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Nagłówki należy odczytywać chronologicznie od dołu do góry - najstarsze znajdują się na dole. Każdy nowy serwer po drodze dodaje własną wiadomość - zaczynając od Received. Na przykład:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

To mówi tak mx.google.com otrzymał wiadomość od maxipes.logix.cz w Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Teraz, aby znaleźć real nadawca wiadomości e-mail, musisz znaleźć najwcześniejszą zaufaną bramę - ostatnią, gdy czytasz nagłówki z góry. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu zapytaj rekord MX dla domeny. Możesz użyć narzędzi online, takich jak Mx Toolbox lub w Linuksie możesz wysłać zapytanie do wiersza poleceń (zauważ, że prawdziwa nazwa domeny została zmieniona na domain.com ):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

Zobaczysz serwer poczty dla domeny domain.com maxipes.logix.cz lub broucek.logix.cz. Dlatego ostatni (pierwszy chronologicznie) zaufany „przeskok” - lub ostatni zaufany „Odebrany rekord” lub jakkolwiek go nazwiesz - to ten:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Możesz zaufać temu, ponieważ został zarejestrowany przez serwer pocztowy Billa dla domain.com. Ten serwer to dostał 209.86.89.64. Może to być i bardzo często jest prawdziwy nadawca wiadomości e-mail - w tym przypadku oszust! Możesz sprawdź ten adres IP na czarnej liście . - Widzisz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Uważaj jednak, że jest to prawdziwe źródło wiadomości e-mail. Skarga na czarnej liście mogła zostać dodana przez oszusta, aby usunąć jego ślady i / lub położyć fałszywy ślad . Nadal istnieje możliwość, że serwer 209.86.89.64 jest niewinny i jest tylko przekaźnikiem dla prawdziwego napastnika 168.62.170.129. W tym przypadku, 168.62.170.129 to czyste więc możemy być prawie pewni, że atak został wykonany 209.86.89.64.

Kolejną kwestią, o której należy pamiętać, jest to, że Alice używa Yahoo! (alice@yahoo.com) i elasmtp-curtail.atl.sa.earthlink.net nie jest w Yahoo! sieć (możesz chcieć sprawdź ponownie informacje IP Whois ). Dlatego możemy bezpiecznie stwierdzić, że ten e-mail nie pochodzi od Alice i nie powinniśmy wysyłać jej pieniędzy na Filipiny.


14
Możesz też wkleić nagłówki do SpamCop i pozwól, że zrobi to wszystko dla ciebie. Jeśli chcesz, wyślą nawet powiadomienie SPAM do odpowiedzialnego administratora.
Ex Umbris


2
Jest to boleśnie powszechne - do tego stopnia, że ​​często radzę ludziom, którzy wysyłają takie e-maile z pytaniem o coś, co wiedziałby tylko właściciel adresu e-mail, że jest fałszywy;)
Journeyman Geek

9
@JourneymanGeek Najlepszą praktyką jest często nie odpowiedź - odpowiedź (lub kliknięcie dowolnego linku lub ładowanie zasobów zewnętrznych, np. obrazów) może stanowić wskazówkę dla masowych spamerów, że Twój adres e-mail jest poprawny, a ktoś faktycznie go czyta.
Bob

1
Jako administrator musiałem poradzić sobie z kilkoma anonimowymi, bardzo obraźliwymi i nieprzyjemnymi wiadomościami e-mail, wysłanymi do jednego z naszych pracowników kilka lat temu. Śledzenie nagłówków było ślepym zaułkiem, ponieważ nadawca (niestety) był wystarczająco doświadczony, aby użyć anonimowego remailera ( en.wikipedia.org/wiki/Anonymous_remailer ). W takich przypadkach praktycznie nic nie możesz zrobić (może dopóki nie pracujesz dla NSA).
abstrask

10

Aby znaleźć adres IP:

Kliknij odwrócony trójkąt obok opcji Odpowiedz. Wybierz Pokaż oryginał.

Szukać Received: from po którym następuje adres IP między nawiasami kwadratowymi []. (przykład: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com )

Jeśli znajdziesz więcej niż jeden odebrany: z wzorców, wybierz ostatni.

( Źródło )

Po tym możesz użyć strona pythonclub , iplocation.net lub wyszukiwanie IP aby znaleźć lokalizację.


ten adres IP jest przeznaczony dla serwera poczty lub lokalizacji osoby, która wysłała e-mail?
Sirwan Afifi

1
To serwer pocztowy. Nie jestem pewien, czy istnieje sposób określenia, z którego adresu e-mail został wpisany.
Luke

Wybór ostatniego rekordu „Otrzymano:” nie jest najlepszą strategią - mógł zostać dodany przez atakującego w celu narysowania czerwonego śledzia na całej trasie. Zamiast tego musisz znaleźć ostatni zaufany . Zobacz moją odpowiedź
Tomas

6

Sposób uzyskiwania nagłówków różni się w zależności od klienta poczty e-mail. Wielu klientów pozwala łatwo zobaczyć oryginalny format wiadomości. Inne (MicroSoft Outlook) utrudniają to.

Aby ustalić, kto naprawdę wysłał wiadomość, pomocna jest ścieżka powrotu. Jednak może być sfałszowany. Adres zwrotny, który nie pasuje do adresu From, jest powodem do podejrzeń. Istnieją uzasadnione powody, dla których mogą się różnić, takie jak wiadomości przekazywane z list mailingowych lub linki wysyłane ze stron internetowych. (Byłoby lepiej, gdyby strona internetowa użyła adresu zwrotnego do identyfikacji osoby przekazującej link).

Aby określić pochodzenie wiadomości odczytywanej od góry do dołu przez otrzymane nagłówki. Może być ich kilka. Większość będzie miała adres IP serwera, na który otrzymała formularz wiadomości. Niektóre problemy, które napotkasz:

  • Niektóre witryny używają zewnętrznego programu do skanowania wiadomości, które ponownie wysyłają wiadomość po skanowaniu. Mogą one wprowadzać localhost lub inne dziwne adresy.
  • Niektóre serwery zaciemniają adresy, pomijając treść.
  • Niektóre SPAM będą zawierały fałszywe odebrane nagłówki mające na celu wprowadzenie w błąd.
  • Prywatny adres IP (10.0.0.0/8, 172.16.0.0/12 i 192.168.0.0/16) może się pojawić, ale ma sens tylko w sieci, z której pochodzą.

Zawsze powinieneś być w stanie określić, który serwer w Internecie wysłał Ci wiadomość. Dalsze śledzenie zależy od konfiguracji serwerów wysyłających.


W ostatnich widokach Microsoft Outlooks musisz otworzyć wiadomość w swoim własnym oknie, a to tylko Plik, Właściwości. To nie jest trudne.
Rup

1

używam http://whatismyipaddress.com/trace-email . Jeśli korzystasz z Gmaila, kliknij Pokaż oryginał (w Więcej, obok przycisku Odpowiedz, skopiuj nagłówki, wklej je na tę stronę i kliknij Pobierz źródło. Otrzymasz informacje o geolokalizacji i mapę w zamian


0

istnieją również narzędzia do analizy nagłówków wiadomości e-mail i wyodrębniania danych e-mailowych
na przykład :

  1. eMailTrackerPro

    które mogą śledzić e-mail z powrotem do jego lokalizacji geograficznej, w tym filtr spamu

  2. MSGTAG

  3. PoliteMail

  4. Super Email Marketing Software

  5. Zendio


eMailTracketPro nie działa .. Właśnie pobrałem wersję próbną. i utknął
Md Faisal
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.