Kaip galiu sužinoti, iš kur išsiųstas el. Paštas?
Tiesiog todėl, kad el. Laiškas rodomas jūsų pašto dėžutėje, pažymėtoje „[email protected]“, tai nereiškia, kad Billas su juo turėjo ką nors daryti. Skaitykite, kaip mes tyrinėjame, kaip kasti ir pamatyti, iš kur kilo įtartinas el.
Šiandienos „Klausimų ir atsakymų“ sesijos metu mes galime pasveikinti „SuperUser“ - „Stack Exchange“ padalinį, bendruomenės diską „Q&A“ svetainių grupavimas.
Klausimas
„SuperUser“ skaitytojas „Sirwan“ nori žinoti, kaip išsiaiškinti, kur iš tikrųjų kilę laiškai:
Kaip galiu žinoti, iš kur iš tikrųjų buvo gautas el. Paštas?
Ar yra kokių nors būdų tai išsiaiškinti?
Girdėjau apie el. Laiškų antraštes, bet nežinau, kur galiu pamatyti el. Pašto antraštes, pvz., „Gmail“.
Pažvelkime į šiuos el. Laiškų antraštes.
Atsakymai
„SuperUser“ autorius Tomas siūlo labai išsamų ir įžvalgus atsakymą:
Žiūrėkite man sukurtą sukčiavimo pavyzdį, apsimetau, kad tai yra mano draugo, teigdamas, kad ji buvo apiplėšta ir paprašė man gauti finansinę pagalbą. Aš pakeitiau pavadinimus - tarkime, kad aš esu Billas, scammer atsiuntė laišką
[email protected]
, apsimeta, kad jis yra[email protected]
. Atkreipkite dėmesį, kad Billas turi būti pateiktas[email protected]
.Pirma, naudokite „Gmail“
rodyti originalą
:Tada atidaromas visas el. Laiškas ir jo antraštės:
Pristatytas į: [email protected] Gauta: iki 10.64.21.33 su SMTP ID s1csp177937iee; Pirmadienis, 2013 m. Liepos 8 d. 04:11:00 -0700 (PDT) X-Gauta: iki 10.14.47.73 su SMTP ID s49mr24756966eeb.71.1373281860071; Pirmadienis, liepos 8, 2013 04:11:00 -0700 (PDT) Grįžti-kelias: Gauta: iš maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) mx.google.com su ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 už (versija = TLSv1 šifras = RC4-SHA bitai = 128/128); Pirmadienis, 2013 m. Liepos 8 d. 04:11:00 -0700 (PDT) Gautas-SPF: neutralus (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 neleidžiamas ir neleidžiamas geriausio atspėjimo įrašo domeno [email protected]) klientas-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentifikavimo rezultatai: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 neleidžiamas ir neleidžiamas pagal geriausius [email protected] domeno atspėjimų įrašus ) [email protected] Gauta: maxipes.logix.cz (Postfix, nuo userid 604) id C923E5D3A45; Pirmadienis, 2013 m. Liepos 8 d. 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: atidėtas 00:06:34, kurį pateikė SQLgrey-1.8.0-rc1 Gauta: nuo elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]), kurią pateikė maxipes.logix.cz (Postfix) su ESMTP id B43175D3A44 už; Pirmadienis, 2013 m. Liepos 8 d. 23:10:48 +1200 (NZST) Gauta: nuo [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net su esmtpa (Exim 4.67) (vok. ) id 1Uw98w-0006KI-6y už [email protected]; Pirmadienis, 2013 m. Liepos 08 d. 06:58:06 -0400 Iš: "Alice" Tema: Siaubingi kelionių klausimai ... Atsakykite į ASAP atsakymą: [email protected] Turinio tipas: daugialypė / alternatyvi; riba = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 atsakymui: [email protected] data: Pir 8 Lie 2013 10:58:06 0000 žinutė ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X Originating- IP: 168.62.170.129 [… Aš sumažinau el. Pašto įstaigą ...]
Antraštės turi būti skaitomos chronologiškai iš apačios į viršų - seniausios yra apačioje. Kiekvienas naujas kelyje esantis serveris pridės savo pranešimą - pradedant nuo
Gauta
. Pavyzdžiui:Gauta: iš maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) pateikė mx.google.com su ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 (versija = TLSv1 šifras = RC4-SHA bitai = 128/128); Pirmadienis, 2013 m. Liepos 8 d. 04:11:00 -0700 (PDT)
Tai sako
mx.google.com
gavo laišką išmaxipes.logix.cz
nePirmadienis, 2013 m. Liepos 8 d. 04:11:00 -0700 (PDT)
.Dabar, norėdami rasti tikras Jūsų el. laiško siuntėjas, jūsų tikslas yra surasti paskutinį patikimą sąsają - paskutinį kartą, kai skaitykite antraštes iš viršaus, t. y. pirmiausia chronologine tvarka. Pradėkime ieškodami Bill'o pašto serverio. Tam prašote domeno MX įrašo. Jūs galite naudoti kai kuriuos internetinius įrankius, arba „Linux“ galite paklausti ją komandų eilutėje (atkreipkite dėmesį, kad realus domeno vardas buvo pakeistas į
domain.com
):~ $ host -t MX domenas.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Taigi matote, kad domeno.com pašto serveris yra
maxipes.logix.cz
arbabroucek.logix.cz
. Taigi, paskutinė (pirmoji chronologinė) patikima „apynių“ - arba paskutinis patikimas „Gautas įrašas“, ar tai, ką jūs vadinate - tai:Gauta: iš elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) pagal maxipes.logix.cz (Postfix) su ESMTP id B43175D3A44 už; Pirmadienis, 2013 m. Liepos 8 d. 23:10:48 +1200 (NZST)
Galite pasitikėti, nes tai buvo įrašyta „Bill“ pašto serveryje
domain.com
. Šis serveris jį gavo209.86.89.64
. Tai gali būti ir labai dažnai yra tikrasis el. Laiško siuntėjas - šiuo atveju scammer! Šį IP galite patikrinti juodajame sąraše. - Žr. Jis yra įtrauktas į 3 juoduosius sąrašus! Toliau yra dar vienas įrašas:Gauta: nuo [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net su esmtpa (Exim 4.67) (vok. Nuo) ID 1Uw98w-0006KI-6y už [email protected]; Pirmadienis, liepos 8, 2013 06:58:06 -0400
bet jūs iš tikrųjų negalite pasitikėti tuo, nes jį gali pridėti tik sukčiai, kad sunaikintų jo pėdsakus ir (arba) nustatyti klaidingą taką. Žinoma, vis dar yra galimybė, kad serveris
209.86.89.64
yra nekaltas ir veikė tik kaip realaus užpuoliko relė168.62.170.129
, tačiau tada relė dažnai laikoma kalta ir dažnai yra įtraukta į juodąjį sąrašą. Tokiu atveju,168.62.170.129
yra švarus, todėl galime būti tikri, kad išpuolis buvo padarytas209.86.89.64
.Žinoma, kaip žinome, kad „Alice“ naudoja „Yahoo! ir
elasmtp-curtail.atl.sa.earthlink.net
nėra „Yahoo! tinklas (galbūt norėsite iš naujo patikrinti savo „IP Whois“ informaciją), galime saugiai nuspręsti, kad šis el. laiškas buvo ne iš „Alice“, ir kad neturėtume siųsti jos pinigų į jos prašomą atostogas Filipinuose.
Kiti du „Ex Umbris“ ir „Vijay“ patarėjai rekomendavo toliau išvardytas paslaugas, skirtas padėti el. Pašto antraštių dekodavimui: „SpamCop“ ir „Google“ antraštės analizės įrankis.
Ar ką nors papildyti paaiškinimu? Garsas išjungtas komentaruose. Norite perskaityti daugiau atsakymų iš kitų „tech-savvy Stack Exchange“ vartotojų? Čia rasite visą diskusijų temą.