Mājas lapa » » Kā es varu uzzināt, no kurienes e-pasts tiešām nāca?

    Kā es varu uzzināt, no kurienes e-pasts tiešām nāca?

    Tikai tāpēc, ka e-pasts parādās jūsu iesūtnē, kas apzīmēta ar [email protected], nenozīmē, ka Bill faktiski ar to bija saistīts. Lasiet tālāk, kad mēs izpētām, kā jūs varat iekļūt un uzzināt, no kurienes aizdomīgs e-pasts.

    Šodienas jautājumu un atbilžu sesija mums sniedz pieklājību no SuperUser-Stack Exchange apakšnodaļas, kas ir kopienu disku Q & A tīmekļa vietņu grupa.

    Jautājums

    SuperUser lasītājs Sirwan vēlas uzzināt, kā noskaidrot, no kurienes e-pasta vēstules faktiski nāk no:

    Kā es varu zināt, no kurienes e-pasts tiešām nāk?
    Vai ir kāds veids, kā to atrast?
    Esmu dzirdējis par e-pasta galvenēm, bet es nezinu, kur es varu redzēt e-pasta galvenes, piemēram, pakalpojumā Gmail.

    Apskatīsim šīs e-pasta galvenes.

    Atbildes

    SuperUser ziedotājs Tomas piedāvā ļoti detalizētu un saprotamu atbildi:

    Skatiet manis nosūtīto scam piemēru, izliekoties, ka tas ir no mana drauga, apgalvojot, ka viņa ir aplaupīta un lūdza man finansiālu palīdzību. Es esmu nomainījis vārdus - pieņemsim, ka es esmu Bill, scammer ir nosūtījis e-pastu uz [email protected], izliekoties, viņš ir [email protected]. Ņemiet vērā, ka Bill ir uz priekšu [email protected].

    Pirmkārt, izmantojiet Gmail rādīt oriģinālu:

    Tad tiks atvērts pilns e-pasts un tā galvenes:

    Piegādāts līdz: [email protected] Saņemts: līdz 10.64.21.33 ar SMTP id s1csp177937iee; Pirmdiena, 2013. gada 8. jūlijs 04:11:00 -0700 (PDT) X-Saņemts: ar 10.14.47.73 ar SMTP id s49mr24756966eeb.71.1373281860071; Pirmdiena, 08 jūlijs 2013 04:11:00 -0700 (PDT) Atgriešanās ceļš: Saņemts: no maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) ar mx.google.com ar ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 par (versija = TLSv1 cipher = RC4-SHA bitiem = 128/128); Pirmdiena, 2013. gada 8. jūlijs 04:11:00 -0700 (PDT) Saņemts-SPF: neitrāls (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nav ne atļauts, ne noraidīts ar labāko uzminēto ierakstu domēns [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentifikācijas rezultāti: mx.google.com; spf = neitrāls (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nav atļauts un nedz liegts ar labāko domu ierakstu domēnam [email protected] ) [email protected] Saņemts: maxipes.logix.cz (Postfix, no userid 604) id C923E5D3A45; Pirmdiena, 2013. gada 8. jūlijs 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: aizkavējies 00:06:34, ko veicis SQLgrey-1.8.0-rc1 Saņemts: no elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) ar maxipes.logix.cz (Postfix) ar ESMTP id B43175D3A44 par; Pirmdiena, 2013. gada 8. jūlijs 23:10:48 +1200 (NZST) Saņemts: no [168.62.170.129] (helo = laurence39) ar elasmtp-curtail.atl.sa.earthlink.net ar esmtpa (Exim 4.67) (aploksne no ) id 1Uw98w-0006KI-6y par norēķ[email protected]; Pirmdiena, 2013. gada 8. jūlijs 06:58:06 -0400 No: "Alice" Temats: Briesmīgs ceļojuma jautājums… Lūdzu, atbildiet uz ASAP Uz: [email protected] Satura veids: vairāku partiju / alternatīva; robeža = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 atpakaļadrese [email protected] Datums: Mon, 8 jūlijs 2013 10:58:06 +0000 Ziņojuma ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… Es esmu sagriezusi e-pasta struktūru ...] 

    Virsraksti jālasa hronoloģiski no apakšas uz augšu - vecākie ir apakšā. Katrs jaunais serveris ceļā pievienos savu ziņojumu - sākot ar Saņemts. Piemēram:

    Saņemts: no maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) ar mx.google.com ar ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 (versijai = TLSv1 šifrēt = RC4-SHA bitiem = 128/128); Pirmdiena, 2013. gada 8. jūlijs 04:11:00 -0700 (PDT) 

    Tas nozīmē, ka mx.google.com ir saņēmis vēstuli no maxipes.logix.cz pie Pirmdiena, 2013. gada 8. jūlijs 04:11:00 -0700 (PDT).

    Tagad, lai atrastu reāls jūsu e-pasta sūtītājs, tavs mērķis ir atrast pēdējo uzticamo vārteju - pēdējo, lasot galvenes no augšas, t.i., vispirms hronoloģiskā secībā. Sāksim, atrodot Bila pasta serveri. Šim nolūkam vaicājat domēna MX ierakstu. Jūs varat izmantot dažus tiešsaistes rīkus, vai arī Linux var vaicāt to komandrindā (ņemiet vērā, ka reālais domēna vārds tika mainīts uz domain.com):

    ~ $ host -t MX domēns.com domēns.com MX 10 broucek.logix.cz domēns.com MX 5 maxipes.logix.cz 

    Tātad jūs redzat domēna.com pasta serveri maxipes.logix.cz vai broucek.logix.cz. Tādējādi pēdējais (pirmais hronoloģiskais) uzticamais “apiņu” - vai pēdējais uzticamais “Saņemtais ieraksts” jeb kāds tas, ko jūs to saucat - ir šāds:

    Saņemts: no elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) ar maxipes.logix.cz (Postfix) ar ESMTP id B43175D3A44 par; Pirmdiena, 2013. gada 8. jūlijs 23:10:48 +1200 (NZST) 

    To var uzticēt, jo to ierakstīja Bila pasta serveris domain.com. Šis serveris to ieguva 209.86.89.64. Tas varētu būt un ļoti bieži ir īsts e-pasta sūtītājs - šajā gadījumā scammer! Šo IP varat pārbaudīt melnajā sarakstā. - Skatiet, viņš ir iekļauts 3 melnajos sarakstos! Zem tā ir vēl viens ieraksts:

    Saņemts: no [168.62.170.129] (helo = laurence39) ar elasmtp-curtail.atl.sa.earthlink.net ar esmtpa (Exim 4.67) (aploksnes no) ID 1Uw98w-0006KI-6y par [email protected]; Pirmdiena, 2013. gada 8. jūlijs 06:58:06 -0400 

    taču jūs to nevarat uzticēties, jo scammer to var vienkārši pievienot, lai iznīcinātu viņa pēdas un / vai likt nepatiesu taku. Protams, joprojām pastāv iespēja, ka serveris 209.86.89.64 ir nevainīgs un darbojas tikai kā reāls uzbrucējs 168.62.170.129, bet tad relejs bieži tiek uzskatīts par vainīgu un bieži vien ir melnajā sarakstā. Šajā gadījumā, 168.62.170.129 ir tīrs, tāpēc mēs varam būt gandrīz pārliecināti, ka uzbrukums tika izdarīts 209.86.89.64.

    Un, protams, mēs zinām, ka Alice izmanto Yahoo! un elasmtp-curtail.atl.sa.earthlink.netnav Yahoo! tīklā (iespējams, vēlēsieties atkārtoti pārbaudīt tās IP Whois informāciju), mēs varam droši secināt, ka šis e-pasts nav no Alises, un ka mums nevajadzētu nosūtīt viņai naudu viņas pieprasītajām brīvdienām Filipīnās.

    Vēl divi dalībnieki, Ex Umbris un Vijay, ieteica šādus pakalpojumus, lai palīdzētu e-pasta galvenes dekodēt: SpamCop un Google galvenes analīzes rīks.


    Vai kaut kas jāpievieno paskaidrojumam? Skaņas izslēgšana komentāros. Vai vēlaties lasīt vairāk atbildes no citiem tehnoloģiju gudriem Stack Exchange lietotājiem? Apskatiet pilnu diskusiju pavedienu šeit.