Как я могу узнать, откуда действительно пришло письмо?
То, что в вашем почтовом ящике появляется сообщение с пометкой [email protected], не означает, что Билл на самом деле имеет к этому какое-то отношение. Читайте дальше, когда мы рассмотрим, как копаться и видеть, откуда на самом деле пришло подозрительное письмо.
Сегодняшняя сессия Вопросов и Ответов приходит к нам благодаря SuperUser - подразделению Stack Exchange, групповой группе веб-сайтов вопросов и ответов..
Вопрос
Читатель SuperUser Sirwan хочет знать, откуда на самом деле исходят электронные письма:
Как я могу узнать, откуда на самом деле пришло письмо??
Есть ли способ узнать это?
Я слышал о заголовках писем, но не знаю, где я могу увидеть заголовки писем, например, в Gmail.
Давайте посмотрим на эти заголовки электронной почты.
Ответы
Сотрудник SuperUser Томас предлагает очень подробный и проницательный ответ:
Посмотрите на пример мошенничества, который мне прислали, притворяясь, что это от моего друга, утверждая, что ее обокрали, и прося у меня финансовой помощи. Я изменил имена - предположим, что я Билл, мошенник отправил электронное письмо на адрес
[email protected]
, делая вид, что он[email protected]
. Обратите внимание, что Билл направил[email protected]
.Во-первых, в Gmail используйте
показать оригинал
:Затем откроется полное письмо и его заголовки:
Доставлено: [email protected] Получено: 10.64.21.33 с SMTP-идентификатором s1csp177937iee; Понедельник, 8 июля 2013 г. 04:11:00 -0700 (PDT) X-Получено: по 10.14.47.73 с SMTP-идентификатором s49mr24756966eeb.71.1373281860071; Понедельник, 08 июля 2013 г. 04:11:00 -0700 (PDT) Обратный путь: Получено: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) ]) от mx.google.com с идентификатором ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 для (версия = шифр TLSv1 = биты RC4-SHA = 128/128); Понедельник, 08 июля 2013 г. 04:11:00 -0700 (PDT) Получено-SPF: нейтрально (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не разрешено и не отклонено в соответствии с записью наилучшего предположения для домен [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не разрешен и не запрещен в соответствии с записями лучших предположений для домена [email protected] ) [email protected] Получено: по maxipes.logix.cz (Постфикс, из идентификатора пользователя 604) id C923E5D3A45; Понедельник, 8 июля 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: отложено 00:06:34 SQLgrey-1.8.0-rc1 Получено: от elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP-идентификатором B43175D3A44 для; Понедельник, 8 июля 2013 23:10:48 +1200 (NZST) Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y для [email protected]; Понедельник, 08 июля 2013 г. 06:58:06 -0400 От: «Алиса» Тема: Ужасная проблема с путешествиями… Пожалуйста, ответьте как можно скорее: [email protected] Тип контента: multipart / alternative; граница = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Дата: Пн, 8 июля 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… я сократил тело письма…]
Заголовки должны читаться в хронологическом порядке снизу вверх - самые старые находятся внизу. Каждый новый сервер добавит свое собственное сообщение - начиная с
Получено
. Например:Получено: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) от mx.google.com с ESMTPS-идентификатором j47si6975462eeg.108.2013.07.08.04.10. 59 для (версия = шифр TLSv1 = биты RC4-SHA = 128/128); Пн, 8 июля 2013 04:11:00 -0700 (PDT)
Это говорит о том, что
mx.google.com
получил письмо отmaxipes.logix.cz
вПн, 8 июля 2013 04:11:00 -0700 (PDT)
.Теперь, чтобы найти реальный отправитель вашей электронной почты, ваша цель - найти последний доверенный шлюз - последний при чтении заголовков сверху, т. е. сначала в хронологическом порядке. Давайте начнем с поиска почтового сервера Билла. Для этого вы запрашиваете запись MX для домена. Вы можете использовать некоторые онлайн-инструменты или в Linux вы можете запросить его в командной строке (обратите внимание, реальное доменное имя было изменено на
domain.com
):~ $ host -t MX domain.com domain.com MX 10 Броучек.logix.cz domain.com MX 5 maxipes.logix.cz
Итак, вы видите почтовый сервер для domain.com
maxipes.logix.cz
или жеbroucek.logix.cz
. Следовательно, последний (первый в хронологическом порядке) доверенный «прыжок» - или последняя доверенная «полученная запись» или как вы там ее называете - это:Получено: от elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP-идентификатором B43175D3A44 для; Понедельник, 8 июля 2013 23:10:48 +1200 (NZST)
Вы можете доверять этому, потому что это было записано почтовым сервером Билла для
domain.com
. Этот сервер получил его от209.86.89.64
. Это может быть и очень часто является реальным отправителем письма - в данном случае мошенником! Вы можете проверить этот IP в черном списке. - Видите ли, он указан в 3 черных списках! Под ним есть еще одна запись:Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y для [email protected]; Пн, 08 Jul 2013 06:58:06 -0400
но вы не можете доверять этому, потому что это может быть добавлено мошенником, чтобы стереть его следы и / или проложить ложный след. Конечно, все еще существует вероятность того, что сервер
209.86.89.64
невиновен и действовал только как реле для реального злоумышленника в168.62.170.129
, но тогда реле часто считается виновным и очень часто заносится в черный список. В этом случае,168.62.170.129
чисто, поэтому мы можем быть почти уверены, что атака была сделана из209.86.89.64
.И конечно, как мы знаем, Алиса использует Yahoo! а также
elasmtp-curtail.atl.sa.earthlink.net
не на Yahoo! сети (вы можете захотеть перепроверить информацию об IP-адресах Whois), мы можем с уверенностью заключить, что это письмо не было получено от Алисы, и что мы не должны отправлять ей деньги на ее заявленный отпуск на Филиппинах..
Два других участника, Ex Umbris и Vijay, рекомендовали, соответственно, следующие услуги для помощи в расшифровке заголовков электронной почты: SpamCop и инструмент анализа заголовков Google..
Есть что добавить к объяснению? Звук выключен в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.