Αρχική σελίδα » πως να » Πώς μπορώ να μάθω πού ένα μήνυμα προέρχεται πραγματικά από;

    Πώς μπορώ να μάθω πού ένα μήνυμα προέρχεται πραγματικά από;

    Ακριβώς επειδή ένα μήνυμα ηλεκτρονικού ταχυδρομείου εμφανίζεται στα εισερχόμενά σας με την ονομασία [email protected], δεν σημαίνει ότι ο Bill πραγματικά είχε τίποτα να κάνει με αυτό. Διαβάστε παρακάτω καθώς διερευνούμε πώς να σκάβουμε και να δούμε από πού προέρχεται ένα ύποπτο μήνυμα ηλεκτρονικού ταχυδρομείου.

    Η σημερινή συνάντηση ερωτήσεων και απαντήσεων έρχεται σε επαφή με τον εαυτό μας με το SuperUser - μια υποδιαίρεση του Stack Exchange, μια κοινοτική μονάδα δίσκου των ιστότοπων ερωτήσεων & απαντήσεων.

    Το ερώτημα

    Ο αναγνώστης SuperUser Sirwan θέλει να ξέρει πώς να καταλάβει από πού προέρχονται τα μηνύματα ηλεκτρονικού ταχυδρομείου:

    Πώς μπορώ να ξέρω από πού προέρχεται ένα μήνυμα ηλεκτρονικού ταχυδρομείου?
    Υπάρχει κάποιος τρόπος να το βρείτε?
    Έχω ακούσει για τις κεφαλίδες ηλεκτρονικού ταχυδρομείου, αλλά δεν ξέρω πού μπορώ να δω κεφαλίδες ηλεκτρονικού ταχυδρομείου, για παράδειγμα στο Gmail.

    Ας ρίξουμε μια ματιά σε αυτές τις κεφαλίδες email.

    Οι απαντήσεις

    Ο συνεργάτης SuperUser Tomas προσφέρει μια πολύ λεπτομερή και διορατική απάντηση:

    Δείτε ένα παράδειγμα απάτης που μου έχει σταλεί, προσποιούμενος ότι προέρχεται από τον φίλο μου, ισχυριζόμενος ότι έχει ληστέψει και ότι μου ζητάει οικονομική βοήθεια. Έχω αλλάξει τα ονόματα - ας υποθέσουμε ότι είμαι ο Bill, ο scammer έχει στείλει ένα email στο [email protected], προσποιείται ότι είναι [email protected]. Σημειώστε ότι ο Bill έχει προωθήσει [email protected].

    Αρχικά, στο Gmail, χρησιμοποιήστε δείξτε πρωτότυπο:

    Στη συνέχεια θα ανοίξει το πλήρες email και οι κεφαλίδες του:

    Παραδόθηκε σε: [email protected] Ληφθείσα: από 10.64.21.33 με id SMTP s1csp177937iee; Δευ, 8 Ιούλ 2013 04:11:00 -0700 (PDT) X-Λαμβάνεται: από 10.14.47.73 με SMTP id s49mr24756966eeb.71.1373281860071; Δευτέρα, 08 Ιούλ 2013 04:11:00 -0700 (PDT) Επιστροφή-Διαδρομή: Λήψη: από maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) από mx.google.com με ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 για (έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128). Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Λήψη SPF: ουδέτερη (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) domain του [email protected]) πελάτης-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Έλεγχος ταυτότητας-Αποτελέσματα: mx.google.com; Το spf = ουδέτερο (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 δεν επιτρέπεται ούτε απαγορεύεται από την καλύτερη εικασία για τον τομέα [email protected] ) [email protected] Λιανική: από maxipes.logix.cz (Postfix, από userid 604) id C923E5D3A45; Δευ, 8 Ιούλ 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: καθυστέρηση 00:06:34 από SQLgrey-1.8.0-rc1 Ληφθείσα: από elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) από τη διεύθυνση maxipes.logix.cz (Postfix) με τον κωδικό ESMTP B43175D3A44 για. Δευ, 8 Ιούλ 2013 23:10:48 +1200 (NZST) Ληφθείσα: από [168.62.170.129] (helo = laurence39) από elasmtp-curtail.atl.sa.earthlink.net με esmtpa (Exim 4.67) ) id 1Uw98w-0006KI-6y για το [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Από: "Alice" Θέμα: Τρομερό θέμα ταξιδιού ... Παρακαλούμε απαντήστε ASAP Προς: [email protected] Τύπος περιεχομένου: multipart / alternative; όριο = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Απάντηση-Προς: [email protected] Ημερομηνία: Δευτ 8 του Ιουλίου, 2013 10:58:06 +0000 Μήνυμα-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... έκοψα το σώμα ηλεκτρονικού ταχυδρομείου ...] 

    Οι κεφαλίδες πρέπει να διαβάζονται χρονικά από κάτω προς τα πάνω - οι παλαιότερες βρίσκονται στο κάτω μέρος. Κάθε νέο διακομιστής στο δρόμο θα προσθέσει το δικό του μήνυμα - αρχίζοντας από Λήψη. Για παράδειγμα:

    Λήψη: από το maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) από mx.google.com με ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 για (έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128). Δευ, 08 Ιουλ 2013 04:11:00 -0700 (PDT) 

    Αυτό το λέει αυτό mx.google.com έχει λάβει το μήνυμα από το maxipes.logix.cz στο Δευ, 08 Ιουλ 2013 04:11:00 -0700 (PDT).

    Τώρα, για να βρείτε το πραγματικός αποστολέας του μηνύματος ηλεκτρονικού ταχυδρομείου σας, ο στόχος σας είναι να βρείτε την τελευταία αξιόπιστη πύλη - τελευταία κατά την ανάγνωση των κεφαλίδων από την κορυφή, δηλ. πρώτα με τη χρονολογική σειρά. Ας αρχίσουμε με την εύρεση του διακομιστή αλληλογραφίας του Bill. Για αυτό, ζητάτε εγγραφή MX για τον τομέα. Μπορείτε να χρησιμοποιήσετε κάποια ηλεκτρονικά εργαλεία ή στο Linux μπορείτε να το κάνετε ερώτημα στη γραμμή εντολών (σημειώστε ότι το πραγματικό όνομα τομέα έχει αλλάξει σε domain.com):

    ~ $ φιλοξενία-t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Έτσι, βλέπετε το διακομιστή αλληλογραφίας για domain.com είναι maxipes.logix.cz ή broucek.logix.cz. Επομένως, το τελευταίο (πρώτον χρονολογικά) αξιόπιστο "hop" - ή το τελευταίο έμπιστο "Received record" ή ό, τι το αποκαλείτε - είναι αυτό:

    Λήψη: από elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) από τη διεύθυνση maxipes.logix.cz (Postfix) με τον κωδικό ESMTP B43175D3A44 για. Δευ, 8 Ιούλ 2013 23:10:48 +1200 (NZST) 

    Μπορείτε να εμπιστευτείτε αυτό γιατί αυτό καταγράφηκε από το διακομιστή αλληλογραφίας του Bill για domain.com. Αυτός ο διακομιστής το πήρε από 209.86.89.64. Αυτό θα μπορούσε να είναι, και πολύ συχνά, ο πραγματικός αποστολέας του ηλεκτρονικού ταχυδρομείου - στην περίπτωση αυτή ο απατεώνας! Μπορείτε να ελέγξετε αυτό το IP σε μια μαύρη λίστα. - Δείτε, είναι καταχωρημένος σε 3 μαύρες λίστες! Υπάρχει ακόμα ένα άλλο ρεκόρ κάτω από αυτό:

    Λήψη: από [168.62.170.129] (helo = laurence39) από elasmtp-curtail.atl.sa.earthlink.net με esmtpa (Exim 4.67) (φάκελο από) id 1Uw98w-0006KI-6y για το [email protected]; Δευτ, 08 Ιουλ 2013 06:58:06 -0400 

    αλλά δεν μπορείτε πραγματικά να εμπιστεύεστε αυτό, γιατί αυτό θα μπορούσε απλά να προστεθεί από τον απατεώνα για να εξαλείψει τα ίχνη του ή / και θέσει ένα ψευδή ίχνος. Φυσικά, εξακολουθεί να υπάρχει η πιθανότητα ότι ο διακομιστής 209.86.89.64 είναι αθώος και ενεργεί μόνο ως ρελέ για τον πραγματικό εισβολέα στο 168.62.170.129, αλλά στη συνέχεια το ρελέ θεωρείται συχνά ένοχος και είναι συχνά μαύρος. Σε αυτήν την περίπτωση, 168.62.170.129 είναι καθαρό, ώστε να είμαστε σχεδόν βέβαιοι ότι η επίθεση έγινε από 209.86.89.64.

    Και φυσικά, καθώς γνωρίζουμε ότι η Alice χρησιμοποιεί το Yahoo! και elasmtp-curtail.atl.sa.earthlink.netδεν είναι στο Yahoo! (ίσως θελήσετε να ελέγξετε ξανά τις πληροφορίες IP Whois), μπορούμε να συμπεράνουμε με σιγουριά ότι αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου δεν ήταν από την Alice και ότι δεν θα έπρεπε να της αποστείλουμε χρήματα στις διακοπές της στις Φιλιππίνες.

    Δύο άλλοι συνεισφέροντες, οι Ex Umbris και Vijay, συνέστησαν, αντίστοιχα, τις ακόλουθες υπηρεσίες για την υποβοήθηση της αποκωδικοποίησης των κεφαλίδων email: Το SpamCop και το εργαλείο ανάλυσης κεφαλίδων της Google.


    Έχετε κάτι να προσθέσετε στην εξήγηση; Απενεργοποιήστε τα σχόλια. Θέλετε να διαβάσετε περισσότερες απαντήσεις από άλλους τεχνολογικούς χρήστες Stack Exchange; Δείτε το πλήρες νήμα συζήτησης εδώ.