Домашняя » как » Как я могу узнать, откуда действительно пришло письмо?

    Как я могу узнать, откуда действительно пришло письмо?

    То, что в вашем почтовом ящике появляется сообщение с пометкой [email protected], не означает, что Билл на самом деле имеет к этому какое-то отношение. Читайте дальше, когда мы рассмотрим, как копаться и видеть, откуда на самом деле пришло подозрительное письмо.

    Сегодняшняя сессия Вопросов и Ответов приходит к нам благодаря SuperUser - подразделению Stack Exchange, групповой группе веб-сайтов вопросов и ответов..

    Вопрос

    Читатель SuperUser Sirwan хочет знать, откуда на самом деле исходят электронные письма:

    Как я могу узнать, откуда на самом деле пришло письмо??
    Есть ли способ узнать это?
    Я слышал о заголовках писем, но не знаю, где я могу увидеть заголовки писем, например, в Gmail.

    Давайте посмотрим на эти заголовки электронной почты.

    Ответы

    Сотрудник SuperUser Томас предлагает очень подробный и проницательный ответ:

    Посмотрите на пример мошенничества, который мне прислали, притворяясь, что это от моего друга, утверждая, что ее обокрали, и прося у меня финансовой помощи. Я изменил имена - предположим, что я Билл, мошенник отправил электронное письмо на адрес [email protected], делая вид, что он [email protected]. Обратите внимание, что Билл направил [email protected].

    Во-первых, в Gmail используйте показать оригинал:

    Затем откроется полное письмо и его заголовки:

    Доставлено: [email protected] Получено: 10.64.21.33 с SMTP-идентификатором s1csp177937iee; Понедельник, 8 июля 2013 г. 04:11:00 -0700 (PDT) X-Получено: по 10.14.47.73 с SMTP-идентификатором s49mr24756966eeb.71.1373281860071; Понедельник, 08 июля 2013 г. 04:11:00 -0700 (PDT) Обратный путь: Получено: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) ]) от mx.google.com с идентификатором ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 для (версия = шифр TLSv1 = биты RC4-SHA = 128/128); Понедельник, 08 июля 2013 г. 04:11:00 -0700 (PDT) Получено-SPF: нейтрально (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не разрешено и не отклонено в соответствии с записью наилучшего предположения для домен [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Результаты аутентификации: mx.google.com; spf = нейтральный (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не разрешен и не запрещен в соответствии с записями лучших предположений для домена [email protected] ) [email protected] Получено: по maxipes.logix.cz (Постфикс, из идентификатора пользователя 604) id C923E5D3A45; Понедельник, 8 июля 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: отложено 00:06:34 SQLgrey-1.8.0-rc1 Получено: от elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP-идентификатором B43175D3A44 для; Понедельник, 8 июля 2013 23:10:48 +1200 (NZST) Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y для [email protected]; Понедельник, 08 июля 2013 г. 06:58:06 -0400 От: «Алиса» Тема: Ужасная проблема с путешествиями… Пожалуйста, ответьте как можно скорее: [email protected] Тип контента: multipart / alternative; граница = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Дата: Пн, 8 июля 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… я сократил тело письма…] 

    Заголовки должны читаться в хронологическом порядке снизу вверх - самые старые находятся внизу. Каждый новый сервер добавит свое собственное сообщение - начиная с Получено. Например:

    Получено: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) от mx.google.com с ESMTPS-идентификатором j47si6975462eeg.108.2013.07.08.04.10. 59 для (версия = шифр TLSv1 = биты RC4-SHA = 128/128); Пн, 8 июля 2013 04:11:00 -0700 (PDT) 

    Это говорит о том, что mx.google.com получил письмо от maxipes.logix.cz в Пн, 8 июля 2013 04:11:00 -0700 (PDT).

    Теперь, чтобы найти реальный отправитель вашей электронной почты, ваша цель - найти последний доверенный шлюз - последний при чтении заголовков сверху, т. е. сначала в хронологическом порядке. Давайте начнем с поиска почтового сервера Билла. Для этого вы запрашиваете запись MX для домена. Вы можете использовать некоторые онлайн-инструменты или в Linux вы можете запросить его в командной строке (обратите внимание, реальное доменное имя было изменено на domain.com):

    ~ $ host -t MX domain.com domain.com MX 10 Броучек.logix.cz domain.com MX 5 maxipes.logix.cz 

    Итак, вы видите почтовый сервер для domain.com maxipes.logix.cz или же broucek.logix.cz. Следовательно, последний (первый в хронологическом порядке) доверенный «прыжок» - или последняя доверенная «полученная запись» или как вы там ее называете - это:

    Получено: от elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) от maxipes.logix.cz (Postfix) с ESMTP-идентификатором B43175D3A44 для; Понедельник, 8 июля 2013 23:10:48 +1200 (NZST) 

    Вы можете доверять этому, потому что это было записано почтовым сервером Билла для domain.com. Этот сервер получил его от 209.86.89.64. Это может быть и очень часто является реальным отправителем письма - в данном случае мошенником! Вы можете проверить этот IP в черном списке. - Видите ли, он указан в 3 черных списках! Под ним есть еще одна запись:

    Получено: от [168.62.170.129] (helo = laurence39) от elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y для [email protected]; Пн, 08 Jul 2013 06:58:06 -0400 

    но вы не можете доверять этому, потому что это может быть добавлено мошенником, чтобы стереть его следы и / или проложить ложный след. Конечно, все еще существует вероятность того, что сервер 209.86.89.64 невиновен и действовал только как реле для реального злоумышленника в 168.62.170.129, но тогда реле часто считается виновным и очень часто заносится в черный список. В этом случае, 168.62.170.129 чисто, поэтому мы можем быть почти уверены, что атака была сделана из 209.86.89.64.

    И конечно, как мы знаем, Алиса использует Yahoo! а также elasmtp-curtail.atl.sa.earthlink.netне на Yahoo! сети (вы можете захотеть перепроверить информацию об IP-адресах Whois), мы можем с уверенностью заключить, что это письмо не было получено от Алисы, и что мы не должны отправлять ей деньги на ее заявленный отпуск на Филиппинах..

    Два других участника, Ex Umbris и Vijay, рекомендовали, соответственно, следующие услуги для помощи в расшифровке заголовков электронной почты: SpamCop и инструмент анализа заголовков Google..


    Есть что добавить к объяснению? Звук выключен в комментариях. Хотите узнать больше ответов от других технически подкованных пользователей Stack Exchange? Ознакомьтесь с полным обсуждением здесь.