Pagina principala » HOWTO » Cum pot afla unde a venit un e-mail de la?

    Cum pot afla unde a venit un e-mail de la?

    Doar pentru că un e-mail apare în căsuța dvs. poștală etichetat [email protected], nu înseamnă că Bill are de fapt ceva de-a face cu asta. Citiți mai departe pe măsură ce explorăm cum să vă grăbiți și să vedeți de unde provenea de fapt un e-mail suspect.

    Sesiunea de întrebări și răspunsuri din ziua de azi vine de la amabilitatea programului SuperUser - o subdiviziune a Stack Exchange, o grupare de comunicații pe site-uri web Q & A.

    Intrebarea

    Cititorul de super-utilizatori Sirwan vrea să știe cum să afle unde provin emailurile:

    Cum pot să știu de unde a venit într-adevăr un e-mail??
    Există vreo modalitate de a afla acest lucru?
    Am auzit despre anteturile de e-mail, dar nu știu unde pot vedea anteturile de e-mail, de exemplu, în Gmail.

    Să aruncăm o privire la aceste anteturi de e-mail.

    Raspunsurile

    Contributor SuperUser Tomas oferă un răspuns foarte detaliat și plin de înțelepciune:

    Vedeți un exemplu de înșelătorie care mi-a fost trimisă, pretinzând că este de la prietenul meu, susținând că a fost jefuită și că mi-a cerut ajutor financiar. Am schimbat numele - să presupun că sunt Bill, scammerul a trimis un e-mail către [email protected], pretinzând că este [email protected]. Rețineți că Bill a înaintat [email protected].

    Mai întâi, în Gmail, utilizați Afișați originalul:

    Apoi, se va deschide e-mailul complet și antetele acestuia:

    Livrat: la [email protected] Primit: de 10.64.21.33 cu id SMTP s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-primit: de 10.14.47.73 cu id SMTP s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Calea de returnare: Primit: de la maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) de către mx.google.com cu ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 pentru (versiunea = TLSv1 cipher = RC4-SHA bits = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: Neutru (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) domeniu al [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentificare-Rezultate: mx.google.com; spf = neutru (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nu este nici permisă, nici refuzată de cea mai bună înregistrare de ghici pentru domeniul [email protected] ) [email protected] Primit: de către maxipes.logix.cz (Postfix, de la userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-Pentru: [email protected] X-Greylist: amânat 00:06:34 de SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de către maxipes.logix.cz (Postfix) cu codul ESMTP id B43175D3A44 pentru; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Primit: de la [168.62.170.129] (helo = laurence39) de elasmtp-curtail.atl.sa.earthlink.net cu esmtpa (Exim 4.67) (plic ) id 1Uw98w-0006KI-6y pentru [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 De la: "Alice" Subiect: Problemă teribilă de călătorie ... Răspundeți Răspundeți la: [email protected] Tip de conținut: multipart / alternativă; graniță = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Răspuns-To: [email protected] Data: Luni, 8 Jul anul 2013 10:58:06 +0000 Mesaj ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... am redus corpul de e-mail ...] 

    Antetele trebuie citite cronologic de jos în sus - cele mai vechi sunt în partea de jos. Fiecare server nou pe drum va adăuga un mesaj propriu - începând cu Primit. De exemplu:

    Primit: de la maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) de către mx.google.com cu ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 pentru (versiunea = TLSv1 cipher = biti RC4-SHA = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) 

    Asta spune asta mx.google.com a primit poșta de la maxipes.logix.cz la Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

    Acum, pentru a găsi real expeditorul e-mail-ului dvs., scopul dvs. este acela de a găsi ultimul portal de încredere - ultima dată când citiți anteturile de sus, adică mai întâi în ordinea cronologică. Să începem prin găsirea serverului de corespondență al lui Bill. Pentru aceasta, interogați înregistrarea MX pentru domeniu. Aveți posibilitatea să utilizați niște instrumente online sau pe Linux puteți să o căutați pe linia de comandă (rețineți că numele real al domeniului a fost modificat) domain.com):

    ~ $ gazdă-t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Deci, vedeți serverul de mail pentru domain.com este maxipes.logix.cz sau broucek.logix.cz. Prin urmare, ultima (prima cronologică) de încredere "hamei" - sau ultima încredere în "Înregistrări primite" sau orice altceva îl numiți - este acesta:

    Primit: de la elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) de către maxipes.logix.cz (Postfix) cu codul ESMTP id B43175D3A44 pentru; Luni, 8 Iul 2013 23:10:48 +1200 (NZST) 

    Puteți avea încredere în acest lucru deoarece acest lucru a fost înregistrat de serverul de mail al lui Bill pentru domain.com. Acest server a primit-o de la 209.86.89.64. Acest lucru ar putea fi, și foarte des este, adevăratul expeditor al e-mailului - în acest caz, scammer! Puteți verifica această IP pe o listă neagră. - Vedeți, este listat în 3 liste negre! Există încă o înregistrare sub ea:

    Primit: de la [168.62.170.129] (helo = laurence39) de elasmtp-curtail.atl.sa.earthlink.net cu esmtpa (Exim 4.67) (plic de la) id 1Uw98w-0006KI-6y pentru [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 

    dar nu puteți avea încredere în acest lucru, deoarece acest lucru ar putea fi adăugat doar de scammer pentru a șterge urmele lui și / sau pune o pistă falsă. Desigur, există încă posibilitatea ca serverul 209.86.89.64 este nevinovat și a acționat doar ca un releu pentru atacantul real la 168.62.170.129, dar atunci releul este adesea considerat a fi vinovat și este foarte adesea inclus în lista neagră. În acest caz, 168.62.170.129 este curat, astfel încât putem fi aproape siguri că a fost făcut atacul 209.86.89.64.

    Și bineînțeles, așa cum știm că Alice utilizează Yahoo! și elasmtp-curtail.atl.sa.earthlink.netnu este pe Yahoo! (poate doriți să verificați din nou informațiile despre IP Whois), putem concluziona în mod sigur că acest e-mail nu a fost de la Alice și că nu ar trebui să îi trimitem nici un ban în vacanța ei revendicată în Filipine.

    Alți doi contribuabili, Ex Umbris și Vijay, au recomandat, respectiv, următoarele servicii pentru asistarea decodificării anteturilor de e-mail: SpamCop și instrumentul Analiza antetului Google.


    Aveți ceva de adăugat la explicație? Sunați în comentariile. Doriți să citiți mai multe răspunsuri de la alți utilizatori de tehnologie Stack Exchange? Check out discuția completă aici.