Як я можу знати, звідки насправді походить електронний лист? Чи є спосіб це дізнатися?
Я чув про заголовки електронної пошти, але не знаю, де можна побачити заголовки електронної пошти, наприклад, у Gmail. Будь-яка допомога?
Відповіді:
Нижче дивіться приклад афери, яку мені надіслали, прикидаючись моїм другом, стверджуючи, що її пограбували, і просять у мене фінансової допомоги. Я змінив імена - я "Білл", а шахрай надіслав електронний лист bill@domain.com, прикидаючись alice@yahoo.com. Зауважте, що Білл пересилає електронний лист на адресу bill@gmail.com.
Спочатку в Gmail натисніть show original:
Відкриється повний електронний лист та його заголовки:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Заголовки слід читати хронологічно знизу вгору - найдавніші - внизу. Кожен новий сервер на шляху додає власне повідомлення - починаючи з Received. Наприклад:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Це говорить про те, що mx.google.comотримав пошту від maxipes.logix.czо Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
Тепер, щоб знайти справжнього відправника електронної пошти, ви повинні знайти найраніший надійний шлюз - останній під час читання заголовків зверху. Почнемо з пошуку поштового сервера Білла. Для цього запитуйте MX-запис для домену. Ви можете використовувати онлайн-інструменти, такі як Mx Toolbox , або в Linux ви можете запросити його в командному рядку (зверніть увагу, що справжнє доменне ім’я було змінено на domain.com):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
І ви побачите поштовий сервер для domain.com є maxipes.logix.czабо broucek.logix.cz. Отже, останній (перший хронологічно) довірений "хоп" - або останній довірений "Отриманий запис" або як би ви його не називали - це такий:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Ви можете довіряти цьому, оскільки це було записано поштовим сервером Білла для domain.com. Цей сервер отримав його від 209.86.89.64. Це може бути, і дуже часто це справжній відправник електронної пошти - в цьому випадку шахрай! Ви можете перевірити цю IP-адресу у чорному списку . - Дивіться, він занесений у 3 чорні списки! Під ним є ще один запис:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Але будьте обережні, довіряючи, що це справжнє джерело електронної пошти. Скарга може просто додати скаржника, щоб стерти його сліди та / або прокласти помилковий слід . Існує ще ймовірність, що сервер 209.86.89.64невинний і просто ретрансляція справжнього нападника на 168.62.170.129. У цьому випадку 168.62.170.129 чистий, тому ми можемо бути майже впевнені, що атака була здійснена 209.86.89.64.
Ще один момент, про який слід пам’ятати, це те, що Аліса використовує Yahoo! (alice@yahoo.com) і elasmtp-curtail.atl.sa.earthlink.netне в Yahoo! мережа (ви можете повторно перевірити інформацію про IP-адресу ). Тому ми можемо сміливо зробити висновок, що цей електронний лист не від Аліси, і ми не повинні надсилати їй гроші на Філіппіни.
Щоб знайти IP-адресу:
Клацніть на перевернутий трикутник біля Відповісти. Виберіть Показати оригінал.
Знайдіть Received: fromIP-адресу між квадратними дужками []. (приклад Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)
Якщо ви знайшли кілька отриманих: із шаблонів, виберіть останній.
( Джерело )
Після цього ви можете використовувати сайт pythonclub , iplocation.net або ip lookup, щоб дізнатися місце розташування.
Те, як потрапити до заголовків, залежить від клієнтів електронної пошти. Багато клієнтів дозволяють легко бачити оригінальний формат повідомлення. Інші (MicroSoft Outlook) ускладнюють його.
Щоб визначити, хто насправді надіслав повідомлення, корисний шлях повернення. Однак це може бути підроблено. Адреса зворотного шляху, яка не відповідає адресі Від, викликає підозру. Для них є законні причини, такі як повідомлення, переслані зі списків розсилки, або посилання, надіслані з веб-сайтів. (Було б краще, якби веб-сайт використовував адресу відповіді для ідентифікації особи, яка пересилає посилання.)
Для визначення походження повідомлення читайте зверху вниз через отримані заголовки. Їх може бути кілька. Більшість матиме IP-адресу сервера, на якому вони отримали форму повідомлення. Деякі проблеми, з якими ви зіткнетеся:
Ви завжди повинні мати можливість визначити, який сервер в Інтернеті надіслав вам повідомлення. Подальше відстеження залежить від конфігурації серверів, що відправляють.
Я використовую http://whatismyipaddress.com/trace-email . Якщо ви користуєтеся Gmail, натисніть Показати оригінал (у розділі Детальніше, поруч із кнопкою Відповісти, скопіюйте заголовки, вставте їх на цей веб-сайт та натисніть Отримати джерело. Ви отримаєте інформацію про географічне місцезнаходження та карту взамін
також є деякі інструменти для аналізу заголовків електронної пошти та вилучення даних електронної пошти для вас,
наприклад:
який може простежити електронну пошту до її географічного розташування, включаючи фільтр спаму
MSGTAG
PoliteMail
Супер програмне забезпечення для маркетингу електронної пошти
Зендіо