Як я можу дізнатися, звідки насправді прийшов лист?


107

Як я можу знати, звідки насправді походить електронний лист? Чи є спосіб це дізнатися?

Я чув про заголовки електронної пошти, але не знаю, де можна побачити заголовки електронної пошти, наприклад, у Gmail. Будь-яка допомога?


btw. IP-адреса в заголовку gmail є у форматі IPv6: v6decode.com
користувач956584

Відповіді:


147

Нижче дивіться приклад афери, яку мені надіслали, прикидаючись моїм другом, стверджуючи, що її пограбували, і просять у мене фінансової допомоги. Я змінив імена - я "Білл", а шахрай надіслав електронний лист bill@domain.com, прикидаючись alice@yahoo.com. Зауважте, що Білл пересилає електронний лист на адресу bill@gmail.com.

Спочатку в Gmail натисніть show original:

Меню повідомлення> Показати оригінал

Відкриється повний електронний лист та його заголовки:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Заголовки слід читати хронологічно знизу вгору - найдавніші - внизу. Кожен новий сервер на шляху додає власне повідомлення - починаючи з Received. Наприклад:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Це говорить про те, що mx.google.comотримав пошту від maxipes.logix.czо Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Тепер, щоб знайти справжнього відправника електронної пошти, ви повинні знайти найраніший надійний шлюз - останній під час читання заголовків зверху. Почнемо з пошуку поштового сервера Білла. Для цього запитуйте MX-запис для домену. Ви можете використовувати онлайн-інструменти, такі як Mx Toolbox , або в Linux ви можете запросити його в командному рядку (зверніть увагу, що справжнє доменне ім’я було змінено на domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

І ви побачите поштовий сервер для domain.com є maxipes.logix.czабо broucek.logix.cz. Отже, останній (перший хронологічно) довірений "хоп" - або останній довірений "Отриманий запис" або як би ви його не називали - це такий:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Ви можете довіряти цьому, оскільки це було записано поштовим сервером Білла для domain.com. Цей сервер отримав його від 209.86.89.64. Це може бути, і дуже часто це справжній відправник електронної пошти - в цьому випадку шахрай! Ви можете перевірити цю IP-адресу у чорному списку . - Дивіться, він занесений у 3 чорні списки! Під ним є ще один запис:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Але будьте обережні, довіряючи, що це справжнє джерело електронної пошти. Скарга може просто додати скаржника, щоб стерти його сліди та / або прокласти помилковий слід . Існує ще ймовірність, що сервер 209.86.89.64невинний і просто ретрансляція справжнього нападника на 168.62.170.129. У цьому випадку 168.62.170.129 чистий, тому ми можемо бути майже впевнені, що атака була здійснена 209.86.89.64.

Ще один момент, про який слід пам’ятати, це те, що Аліса використовує Yahoo! (alice@yahoo.com) і elasmtp-curtail.atl.sa.earthlink.netне в Yahoo! мережа (ви можете повторно перевірити інформацію про IP-адресу ). Тому ми можемо сміливо зробити висновок, що цей електронний лист не від Аліси, і ми не повинні надсилати їй гроші на Філіппіни.


15
Або ви можете вставити заголовки в SpamCop і дозволити цьому все розшифрувати за вас. Навіть вони надішлють повідомлення про спам відповідальному систематичному адміністратору.
Ex Exbrbris

8
Або ви також можете скористатися інструментом аналізу заголовків google
Vijay

2
Це болісно часто - до того моменту, коли я зазвичай раджу людям, які отримують таку електронну пошту, запитувати щось, про що тільки власник електронної пошти Адді знав би, що це неправда;)
Journeyman Geek

9
@JourneymanGeek Найкраща практика - це не відповідати - відповідь (або натискання будь-якого посилання або завантаження зовнішніх ресурсів, наприклад, зображень) може вказувати масовим спамерам, що ваша електронна адреса є дійсною, і хтось насправді її читає.
Боб

1
Як системний адміністратор, мені довелося зіткнутися з кількома анонімними, дуже образливими та неприємними електронними листами, надісланими одному з наших співробітників кілька років тому. Зворотне відстеження заголовків було тупиком, оскільки відправник (на жаль) був достатньо кмітливим, щоб використовувати анонімний ретейлер ( en.wikipedia.org/wiki/Anonymous_remailer ). У таких випадках ви практично нічого не можете зробити (можливо, якщо ви не працюєте в АНБ).
абстракс

10

Щоб знайти IP-адресу:

Клацніть на перевернутий трикутник біля Відповісти. Виберіть Показати оригінал.

Знайдіть Received: fromIP-адресу між квадратними дужками []. (приклад Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)

Якщо ви знайшли кілька отриманих: із шаблонів, виберіть останній.

( Джерело )

Після цього ви можете використовувати сайт pythonclub , iplocation.net або ip lookup, щоб дізнатися місце розташування.


що IP призначений для поштового сервера або місцезнаходження особи, яка надіслала електронний лист?
Сірван Афіфі

1
Це поштовий сервер. Не впевнений, чи існує спосіб визначити, з якого IP-адреса введено електронну пошту.
Лука

Вибір останнього запису "Отримано:" - не найкраща стратегія - він міг би бути доданий зловмисником, щоб намалювати червону оселедець по трасі. Натомість ви повинні знайти останню, якій довіряєте . Дивіться мою відповідь
Томаш

6

Те, як потрапити до заголовків, залежить від клієнтів електронної пошти. Багато клієнтів дозволяють легко бачити оригінальний формат повідомлення. Інші (MicroSoft Outlook) ускладнюють його.

Щоб визначити, хто насправді надіслав повідомлення, корисний шлях повернення. Однак це може бути підроблено. Адреса зворотного шляху, яка не відповідає адресі Від, викликає підозру. Для них є законні причини, такі як повідомлення, переслані зі списків розсилки, або посилання, надіслані з веб-сайтів. (Було б краще, якби веб-сайт використовував адресу відповіді для ідентифікації особи, яка пересилає посилання.)

Для визначення походження повідомлення читайте зверху вниз через отримані заголовки. Їх може бути кілька. Більшість матиме IP-адресу сервера, на якому вони отримали форму повідомлення. Деякі проблеми, з якими ви зіткнетеся:

  • Деякі сайти використовують зовнішню програму для сканування повідомлень, які повторно надсилають повідомлення після сканування. Вони можуть ввести localhost або інші дивні адреси.
  • Деякі сервери приховують адреси, опускаючи вміст.
  • Деякі спами включатимуть підроблені отримані заголовки, спрямовані на введення вас в оману.
  • Приватна (10.0.0.0/8, 172.16.0.0/12 та 192.168.0.0/16) IP-адреса може з’являтися, але має сенс лише в мережі, з якої вони прийшли.

Ви завжди повинні мати можливість визначити, який сервер в Інтернеті надіслав вам повідомлення. Подальше відстеження залежить від конфігурації серверів, що відправляють.


FYI в останніх програмах Microsoft Outlooks потрібно відкрити повідомлення у власному вікні, тоді це лише Файл, Властивості. Це не складно.
Rup

1

Я використовую http://whatismyipaddress.com/trace-email . Якщо ви користуєтеся Gmail, натисніть Показати оригінал (у розділі Детальніше, поруч із кнопкою Відповісти, скопіюйте заголовки, вставте їх на цей веб-сайт та натисніть Отримати джерело. Ви отримаєте інформацію про географічне місцезнаходження та карту взамін


0

також є деякі інструменти для аналізу заголовків електронної пошти та вилучення даних електронної пошти для вас,
наприклад:

  1. eMailTrackerPro

    який може простежити електронну пошту до її географічного розташування, включаючи фільтр спаму

  2. MSGTAG

  3. PoliteMail

  4. Супер програмне забезпечення для маркетингу електронної пошти

  5. Зендіо


eMailTracketPro не працює ..! Щойно я завантажив пробну версію. і він застряг
Md Faisal
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.