To, że e-mail pojawia się w Twojej skrzynce odbiorczej oznaczonej [email protected], nie oznacza, że Bill miał z tym coś wspólnego. Czytaj dalej, gdy odkrywamy, jak się zagłębić i zobaczyć, skąd rzeczywiście pochodzi podejrzana wiadomość e-mail.
Dzisiejsza sesja pytań i odpowiedzi przychodzi do nas dzięki uprzejmości SuperUser — pododdziału Stack Exchange, społecznościowej grupy witryn internetowych z pytaniami i odpowiedziami.
Pytanie
Czytnik SuperUser Sirwan chce wiedzieć, jak dowiedzieć się, skąd faktycznie pochodzą e-maile:
Jak mogę się dowiedzieć, skąd naprawdę pochodzi wiadomość e-mail?
Czy jest jakiś sposób, żeby się tego dowiedzieć?
Słyszałem o nagłówkach e-maili, ale nie wiem, gdzie mogę zobaczyć nagłówki e-maili na przykład w Gmailu.
Rzućmy okiem na te nagłówki e-maili.
Odpowiedzi
Współtwórca SuperUser Tomas oferuje bardzo szczegółową i wnikliwą odpowiedź:
Zobacz przykład oszustwa, który został do mnie wysłany, udając, że pochodzi od mojej przyjaciółki, twierdząc, że została okradziona i prosząc mnie o pomoc finansową. Zmieniłem imiona — załóżmy, że jestem Bill, oszust wysłał e-mail na adres
[email protected], udając, że jest[email protected]. Zauważ, że Bill przekazał do[email protected].Najpierw w Gmailu użyj
show original:
Następnie otworzy się pełna wiadomość e-mail i jej nagłówki:
[... I have cut the email body ...]
Delivered-To: [email protected]
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yaho[email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=ali[email protected]) [email protected]
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <[email protected]>)
id 1Uw98w-0006KI-6y
for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <[email protected]>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: [email protected]
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: [email protected]
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129Nagłówki należy czytać chronologicznie od dołu do góry — najstarsze znajdują się na dole. Każdy nowy serwer po drodze doda własną wiadomość — zaczynając od
Received. Na przykład:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
To mówi, że
mx.google.comotrzymał pocztę odmaxipes.logix.czwMon, 08 Jul 2013 04:11:00 -0700 (PDT).Teraz, aby znaleźćprawdziwynadawcy wiadomości e-mail, Twoim celem jest znalezienie ostatniej zaufanej bramy — ostatniej przy czytaniu nagłówków od góry, czyli pierwszej w kolejności chronologicznej. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu zapytaj rekord MX dla domeny. Możesz użyć niektórychnarzędzia online, lub w Linuksie możesz wysłać zapytanie w wierszu poleceń (zauważ, że prawdziwa nazwa domeny została zmieniona na
domain.com):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Więc widzisz, że serwer poczty dla domeny domain.com to
maxipes.logix.czlubbroucek.logix.cz. Stąd ostatni (pierwszy chronologicznie) zaufany „przeskok” – lub ostatni zaufany „odebrany rekord” lub jakkolwiek to nazwiesz – to ten:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Możesz temu zaufać, ponieważ zostało to zarejestrowane przez serwer pocztowy Billa przez
domain.com. Ten serwer dostał to od209.86.89.64. To może być i bardzo często jest prawdziwym nadawcą wiadomości e-mail — w tym przypadku oszustem! Możeszsprawdź ten adres IP na czarnej liście. — Widzisz, jest na 3 czarnych listach! Pod nim jest jeszcze jeden rekord:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <[email protected]>)
id 1Uw98w-0006KI-6y
for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
ale tak naprawdę nie możesz temu ufać, ponieważ oszust może po prostu dodać to, aby zatrzeć jego ślady i/lubpołożyć fałszywy ślad. Oczywiście nadal istnieje możliwość, że serwer
209.86.89.64jest niewinny i działał tylko jako przekaźnik dla prawdziwego napastnika w168.62.170.129, ale wtedy sztafeta jest często uznawana za winną i bardzo często jest umieszczana na czarnej liście. W tym przypadku,168.62.170.129to czystewięc możemy być prawie pewni, że atak został wykonany z209.86.89.64.I oczywiście, ponieważ wiemy, że Alicja korzysta z Yahoo! oraz
elasmtp-curtail.atl.sa.earthlink.netnie znajduje się na Yahoo! sieć (możesz chciećponownie sprawdź jego informacje o adresie IP Whois), możemy spokojnie dojść do wniosku, że ten e-mail nie pochodził od Alicji i że nie powinniśmy wysyłać jej żadnych pieniędzy na jej wakacje na Filipinach.
Dwóch innych współpracowników, Ex Umbris i Vijay, zaleciło odpowiednio następujące usługi wspomagające dekodowanie nagłówków wiadomości e-mail: SpamCop oraz Narzędzie do analizy nagłówków Google.
Masz coś do dodania do wyjaśnienia? Dźwięk w komentarzach. Chcesz przeczytać więcej odpowiedzi od innych doświadczonych technologicznie użytkowników Stack Exchange?Sprawdź pełny wątek dyskusji tutaj.