Како могу сазнати одакле је стварно стигао емаил?
Само зато што се е-пошта појављује у вашем пријемном сандучету са ознаком Билл.Смитх@сомехост.цом, то не значи да је Билл заиста имао било какве везе са тим. Прочитајте даље док истражујемо како да копамо и видимо одакле потиче сумњива е-пошта.
Данашња сесија питања и одговора долази нам захваљујући СуперУсер-у - подели Стацк Екцханге-а, групне групације К&А веб сајтова у заједници.
Питање
Читач СуперУсер-а Сирван жели да зна како да схвати где е-поруке заправо потичу од:
Како могу знати одакле је заиста дошао Емаил?
Постоји ли начин да се то открије?
Чуо сам за заглавља е-поште, али не знам гдје могу видјети заглавља е-поште на примјер у Гмаил-у.
Погледајмо ова заглавља е-поште.
Одговори
Доприносник СуперУсер-а Томас нуди веома детаљан и детаљан одговор:
Видите пример преваре који ми је послат, претварајући се да је од мог пријатеља, тврдећи да је опљачкана и да ме пита за финансијску помоћ. Променила сам имена - претпоставимо да сам ја Билл, преварант је послао е-маил
билл@домаин.цом, претварајући се да јестеалице@иахоо.цом. Имајте на уму да је Билл напредоваобилл@гмаил.цом.Прво, у Гмаил-у, користите
схов оригинал:
Затим ће се отворити пуна е-пошта и њена заглавља:
Деливеред-То: билл@гмаил.цом Примљено: 10.64.21.33 са СМТП ид с1цсп177937иее; Мон, 8 Јул 2013 04:11:00 -0700 (ПДТ) Кс-Рецеивед: би 10.14.47.73 витх СМТП ид с49мр24756966ееб.71.1373281860071; Мон, 08 Јул 2013 04:11:00 -0700 (ПДТ) Повратна путања: Примљено: од макипес.логик.цз (макипес.логик.цз. [2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1] ]) од мк.гоогле.цом са ЕСМТПС ид ј47си6975462еег.108.2013.07.08.04.10.59 за (верзија = ТЛСв1 ципхер = РЦ4-СХА битс = 128/128); Мон, 08 Јул 2013 04:11:00 -0700 (ПДТ) Примљено-СПФ: неутрално (гоогле.цом: 2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1 није дозвољено нити одбијено по погодном запису за домаин оф СРС0=Знлт=КВ=иахоо.цом=алице@домаин.цом) цлиент-ип = 2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1; Аутхентицатион-Ресултс: мк.гоогле.цом; спф = неутрал (гоогле.цом: 2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1 није дозвољен нити одбијен од стране најбољег претпостављеног записа за домен СРС0=Знлт=КВ=иахоо.цом=алице@домаин.цом ) смтп.маил=СРС0=Знлт=КВ=иахоо.цом=алице@домаин.цом Рецеивед: би макипес.логик.цз (Постфик, фром усерид 604) ид Ц923Е5Д3А45; Мон, 8 Јул 2013 23:10:50 +1200 (НЗСТ) Кс-Оригинал-То: билл@домаин.цом Кс-Греилист: делаиед 00:06:34 би СКЛгреи-1.8.0-рц1 Примљено: од еласмтп-цуртаил .атл.са.еартхлинк.нет (еласмтп-цуртаил.атл.са.еартхлинк.нет [209.86.89.64]) од стране макипес.логик.цз (Постфик) са ЕСМТП ид Б43175Д3А44 за; Мон, 8 Јул 2013 23:10:48 +1200 (НЗСТ) Примљено: од [168.62.170.129] (хело = лауренце39) од еласмтп-цуртаил.атл.са.еартхлинк.нет са есмтпа (Еким 4.67) (енвелопе-фром ) ид 1Ув98в-0006КИ-6и за билл@домаин.цом; Мон, 08 Јул 2013 06:58:06 -0400 Од: "Алице" Тема: Террибле Травел Иссуе ... Љубазно одговори АСАП на: билл@домаин.цом Цонтент-Типе: мултипарт / алтернативе; Граница = "јткоС2ПА6ЛИОС7нЗ3бДеИХвхуКСФ = _9јкн70" МИМЕ-Версион: 1.0-Репли-То: алице@иахоо.цом Дате: Сун, 8 Јун 2013 10:58:06 +0000 Мессаге-Ид: Кс ЕЛНК-Траг: 52111ец6ц5е88д9189цб21дбд10цбф767е972де0д01да940е632614284761929еац30959а519613а350бадд9баб72ф9ц350бадд9баб72ф9ц350бадд9баб72ф9ц Кс Оригинатинг- ИП: 168.62.170.129 […] \ тЗаглавља се читају хронолошки од дна до врха - најстарија су на дну. Сваки нови сервер на путу ће додати своју поруку - почевши са
Примљен. На пример:Рецеивед: фром макипес.логик.цз (макипес.логик.цз. [2а01: 348: 0: 6: 5д59: 50ц3: 0: б0б1]) би мк.гоогле.цом витх ЕСМТПС ид ј47си6975462еег.108.2013.07.08.04.10. 59 фор (версион = ТЛСв1 ципхер = РЦ4-СХА битс = 128/128); Мон, 08 Јул 2013 04:11:00 -0700 (ПДТ) \ тТо каже
мк.гоогле.цомје примио пошту одмакипес.логик.цзатМон, 08 Јул 2013 04:11:00 -0700 (ПДТ) \ т.Сада, да нађемо прави Ваш пошиљалац е-поште, ваш циљ је да нађете последњи проверени мрежни пролаз - последњи када читате заглавља од врха, тј. прво у хронолошком реду. Почнимо тако што ћемо пронаћи Биллов маил сервер. У ту сврху постављате упит за МКС запис за домен. Можете користити неке онлине алате, или на Линуку можете га упитати на командној линији (имајте на уму да је право име домена промењено у
домаин.цом):~ $ хост -т МКС домаин.цом домен.цом МКС 10 броуцек.логик.цз домаин.цом МКС 5 макипес.логик.цзДакле, видите маил сервер за домаин.цом је
макипес.логик.цзилиброуцек.логик.цз. Дакле, последњи (први хронолошки) поуздани "хоп" - или последњи поуздани "примљени запис" или како га већ зовете - је овај:Рецеивед: фром еласмтп-цуртаил.атл.са.еартхлинк.нет (еласмтп-цуртаил.атл.са.еартхлинк.нет [209.86.89.64]) би макипес.логик.цз (Постфик) витх ЕСМТП ид Б43175Д3А44 за; Мон, 8 Јул 2013 23:10:48 +1200 (НЗСТ)Ово можете вјеровати јер је то забиљежио Биллов послужитељ поште
домаин.цом. Овај сервер је добио од209.86.89.64. То би могао бити, и врло често, прави пошиљалац е-маила - у овом случају преварант! Можете да проверите ову ИП адресу на црној листи. - Видите, он је наведен у 3 црне листе! Испод њега је још један рекорд:Рецеивед: фром [168.62.170.129] (хело = лауренце39) би еласмтп-цуртаил.атл.са.еартхлинк.нет с есмтпа (Еким 4.67) (енвелопе-фром) ид 1Ув98в-0006КИ-6и фор билл@домаин.цом; Мон, 08 Јул 2013 06:58:06 -0400али ти не можеш да верујеш у ово, јер би то могло бити додато од стране преваранта да би избрисао своје трагове и / или положи лажни траг. Наравно, још увек постоји могућност да сервер
209.86.89.64је невина и деловала је само као релеј за правог нападача168.62.170.129, али онда се релеј често сматра кривим и често је на црној листи. У овом случају,168.62.170.129Чисто је тако да можемо бити сигурни да је напад извршен209.86.89.64.И наравно, као што знамо да Алице користи Иахоо! и
еласмтп-цуртаил.атл.са.еартхлинк.нетније на Иахоо! мрежа (можда ћете желети да поново проверите њене информације о ИП Вхоис), можемо са сигурношћу закључити да ова порука није била од Алице, и да јој не треба слати новац на њен тражени одмор на Филипинима.
Још два сарадника, Ек Умбрис и Вијаи, препоручили су следеће услуге за помоћ у декодирању заглавља е-поште: СпамЦоп и Гооглеов алат за анализу заглавља.
Имате ли нешто да додате објашњењу? Звучи у коментарима. Желите ли прочитати више одговора од других технолошки паметних Стацк Екцханге корисника? Погледајте цео дискусију овде.
