Hvordan kan jeg finne ut hvor en e-post virkelig kom fra?
Bare fordi en e-post dukker opp i innboksen din, merket [email protected], betyr ikke at Bill faktisk hadde noe å gjøre med det. Les videre når vi undersøker hvordan du graver inn og ser hvor en mistenkelig e-post faktisk kom fra.
Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en gruppedriving av Q & A-nettsider.
Spørsmålet
SuperUser leser Sirwan ønsker å vite hvordan man finner ut hvor e-post faktisk kommer fra:
Hvordan kan jeg vite hvor en e-post virkelig kom fra?
Er det noen måte å finne det ut?
Jeg har hørt om e-postoverskrifter, men jeg vet ikke hvor kan jeg se e-postoverskrifter, for eksempel i Gmail.
La oss ta en titt på disse e-posthodene.
Svarene
SuperUser-bidragsyter Tomas tilbyr et svært detaljert og innsiktsfullt svar:
Se et eksempel på svindel som har blitt sendt til meg, la som om det er fra min venn, hevder at hun har blitt ranet og ber meg om økonomisk hjelp. Jeg har endret navnene - antar at jeg er Bill, har svindleren sendt en epost til
[email protected]
, late som han er[email protected]
. Legg merke til at Bill har videresendt til[email protected]
.Først, i Gmail, bruk
Vis originalen
:Deretter åpnes hele eposten og overskriftene:
Leveres til: [email protected] Mottatt: ved 10.64.21.33 med SMTP-ID s1csp177937iee; Måned, 8 Jul 2013 04:11:00 -0700 (PDT) X-mottatt: ved 10.14.47.73 med SMTP-ID s49mr24756966eeb.71.1373281860071; Mandag, 08 Jul 2013 04:11:00 -0700 (PDT) Retursti: Mottatt: fra maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) av mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (versjon = TLSv1 cipher = RC4-SHA bits = 128/128); Måned, 08 Jul 2013 04:11:00 -0700 (PDT) Mottatt-SPF: nøytral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 er ikke tillatt eller nektet av beste gjetningspost for domene i SRS0=Znlt=QW=yahoo.com [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentiseringsresultater: mx.google.com; spf = nøytral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 er ikke tillatt eller nektet av beste gjetningspost for domene i [email protected] ) [email protected] Mottatt: ved maxipes.logix.cz (Postfix, fra userid 604) ID C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-Til: [email protected] X-Greylist: forsinket 00:06:34 av SQLgrey-1.8.0-rc1 Mottatt: fra elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz (Postfix) med ESMTP ID B43175D3A44 for; Ma, 8 jul 2013 23:10:48 +1200 (NZST) Mottatt: fra [168.62.170.129] (helo = laurence39) av elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Exim 4.67) (konvolutt fra ) ID 1Uw98w-0006KI-6y for [email protected]; Måned, 08 Jul 2013 06:58:06 -0400 Fra: "Alice" Emne: Terrible Travel Issue ... Vennligst svar ASAP Til: [email protected] Content-Type: multipart / alternative; boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Svar til: [email protected] Dato: Man 8 juli 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Jeg har kuttet e-posten ...]
Overskriftene skal leses kronologisk fra bunn til topp - eldste er nederst. Hver ny server på vei vil legge til sin egen melding - starter med
Mottatt
. For eksempel:Mottatt: fra maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) av mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 for (versjon = TLSv1-kryptering = RC4-SHA biter = 128/128); Ma, 08 jul 2013 04:11:00 -0700 (PDT)
Dette sier det
mx.google.com
har mottatt posten framaxipes.logix.cz
påMa, 08 jul 2013 04:11:00 -0700 (PDT)
.Nå, for å finne ekte avsender av e-posten din, målet ditt er å finne den siste pålitelige gatewayen - sist når du leser topptekstene fra toppen, dvs. først i kronologisk rekkefølge. La oss begynne med å finne Bill's mail server. For dette spør du MX-posten for domenet. Du kan bruke noen elektroniske verktøy, eller på Linux kan du spørre det på kommandolinjen (merk at det virkelige domenenavnet ble endret til
domain.com
):~ $ vert -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Så du ser e-postserveren for domain.com er
maxipes.logix.cz
ellerbroucek.logix.cz
. Derfor er den siste (først kronologisk) klarerte "hop" - eller sist betrodd "Mottatt post" eller hva du kaller det - er dette:Mottatt: fra elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz (Postfix) med ESMTP ID B43175D3A44 for; Ma, 8 jul 2013 23:10:48 +1200 (NZST)
Du kan stole på dette fordi dette ble registrert av Bills postserver for
domain.com
. Denne serveren fikk den fra209.86.89.64
. Dette kan være, og veldig ofte er den ekte avsenderen av e-posten - i dette tilfellet svindleren! Du kan sjekke denne IP-en på en svarteliste. - Se, han er oppført i 3 svartelister! Det er enda en plate under det:Mottatt: fra [168.62.170.129] (helo = laurence39) av elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Exim 4.67) (konvolutt fra) ID 1Uw98w-0006KI-6y for [email protected]; Mandag, 08 Jul 2013 06:58:06 -0400
men du kan faktisk ikke stole på dette, fordi det bare kunne legges til av svindleren for å tørke ut sporene sine og / eller legg en falsk sti. Selvfølgelig er det fortsatt muligheten for at serveren
209.86.89.64
er uskyldig og handlet bare som et relé for den virkelige angriperen på168.62.170.129
, men da er reléet ofte ansett for å være skyldig og er ofte svartlistet. I dette tilfellet,168.62.170.129
er ren, så vi kan være nesten sikre på at angrepet ble gjort fra209.86.89.64
.Og selvfølgelig, som vi vet at Alice bruker Yahoo! og
elasmtp-curtail.atl.sa.earthlink.net
er ikke på Yahoo! nettverk (du vil kanskje sjekke sin IP-informasjon), kan vi sikkert konkludere med at denne e-posten ikke var fra Alice, og at vi ikke skulle sende henne noen penger til hennes hevdet ferie på Filippinene.
To andre bidragsytere, Ex Umbris og Vijay, anbefalte henholdsvis følgende tjenester for å hjelpe til med dekoding av e-posthodede: SpamCop og Googles headeranalyseverktøy.
Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.