Kako lahko ugotovim, kje je res poštna pošta?

Kazalo:

Video: Kako lahko ugotovim, kje je res poštna pošta?

Video: Kako lahko ugotovim, kje je res poštna pošta?
Video: Конфиденциальность, безопасность, общество — информатика для руководителей бизнеса, 2016 г. 2024, Marec
Kako lahko ugotovim, kje je res poštna pošta?
Kako lahko ugotovim, kje je res poštna pošta?
Anonim
Samo zato, ker se v vašem nabiralniku pojavi e-poštno sporočilo, označeno z Bill.Smith@somehost.com, ne pomeni, da je Bill dejansko imel kaj opraviti z njim. Preberite, kako raziščemo, kako kopati in videti, od kod prihaja sumljiv e-poštni naslov.
Samo zato, ker se v vašem nabiralniku pojavi e-poštno sporočilo, označeno z [email protected], ne pomeni, da je Bill dejansko imel kaj opraviti z njim. Preberite, kako raziščemo, kako kopati in videti, od kod prihaja sumljiv e-poštni naslov.

Današnja seja vprašanj in odgovorov nam je prisotna v SuperUserju, ki je razdeljena na Stack Exchange, skupino pogonskih skupin na spletnih straneh Q & A.

Vprašanje

Bralec SuperUserja Sirwan želi vedeti, kako ugotoviti, kje v resnici izhajajo e-poštna sporočila:

How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.

Oglejmo si te glave e-pošte.

Odgovori

Prispevek SuperUserja Tomasa ponuja zelo podroben in vpogledljiv odgovor:

See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to

[email protected]

pretvarjam se, da je

[email protected]

. Upoštevajte, da je predlog poslal

[email protected]

Najprej v Gmailu uporabite

show original

:

Potem se odpre polno ime in glave:
Potem se odpre polno ime in glave:

Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]

Glave je treba brati kronološko od dna do vrha - najstarejši so na dnu. Vsak nov strežnik na poti bo dodal svoje sporočilo - začenši z

Received

. Na primer:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

To pravi

mx.google.com

je prejel pošto

maxipes.logix.cz

na

Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Zdaj, da bi našliresnično pošiljatelja vašega e-poštnega sporočila, je vaš cilj iskanje zadnjega zaupanja vrednega prehoda - nazadnje pri branju glave od zgoraj, to je najprej v kronološkem vrstnem redu. Začnimo z iskanjem poštnega strežnika Billa. Za to poizvedujete MX zapis za domeno. Uporabljate lahko nekaj spletnih orodij ali na Linuxu, ki jo lahko poizvedujete v ukazni vrstici (upoštevajte, da je bilo pravo ime domene spremenjeno v

domain.com

):

~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

Torej vidite poštni strežnik za domeno.com

maxipes.logix.cz

ali

broucek.logix.cz

. Zato je zadnja (prva kronološko) zaupanja vredna »hmelja« - ali nazadnje zaupanja vredna »Prejeti zapis« ali karkoli že pokličete - je ta:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

To lahko zaupate, ker je bil to zabeležen s poštnim strežnikom Billa

domain.com

. Ta strežnik ga je dobil

209.86.89.64

. To je lahko in pogosto je pravi pošiljatelj e-pošte - v tem primeru prevara! Ta IP lahko preverite na črnem seznamu. - Glej, naštet je v treh črnih seznamih! Pod njim je še en zapis:

Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400

vendar tega ne morete dejansko zaupati, ker bi ga lahko dodal le prevarant, da bi izbrisal njegove sledove in / alipostaviti napačno pot. Seveda obstaja še vedno možnost, da strežnik

209.86.89.64

je nedolžen in samo deluje kot rele za pravi napadalec na

168.62.170.129

potem pa se rele pogosto šteje za krivega in je zelo pogosto na črni listi. V tem primeru,

168.62.170.129

je čista, zato smo skoraj prepričani, da je bil napad izveden

209.86.89.64

In seveda, kot vemo, da Alice uporablja Yahoo! in

elasmtp-curtail.atl.sa.earthlink.net

ni na Yahoo! omrežje (morda boste želeli znova preveriti svoje podatke o Whoisu), lahko varno sklepamo, da to e-poštno sporočilo ni bilo iz Alice in da ji ne smemo poslati nobenega denarja na njene zahtevane počitnice na Filipinih.

Dva druga sodelavca, Ex Umbris in Vijay, sta priporočila naslednje storitve za pomoč pri dekodiranju glave e-pošte: SpamCop in orodje Google Analytics Header.

Imate kaj dodati k razlagi? Zvok v komentarjih. Želite prebrati več odgovorov od drugih uporabniških članov stack Exchange? Oglejte si celotno temo za razpravo tukaj.

Priporočena: