Hur kan jag ta reda på var en e-post verkligen kom ifrån?
Bara för att ett e-postmeddelande visas i din inkorg märkt [email protected], betyder inte att Bill faktiskt hade något att göra med det. Läs vidare när vi utforskar hur man gräver in och se var ett misstänkt e-post faktiskt kom ifrån.
Dagens Question & Answer-session kommer till oss med tillstånd av SuperUser-en indelning av Stack Exchange, en community-drive-gruppering av Q & A-webbplatser.
Frågan
SuperUser-läsare Sirwan vill veta hur man ska ta reda på var e-postmeddelanden faktiskt härrör från:
Hur kan jag veta var en e-post verkligen kom ifrån?
Finns det något sätt att ta reda på det?
Jag har hört talas om e-postrubriker, men jag vet inte var kan jag se e-posthuvud, till exempel i Gmail.
Låt oss ta en titt på dessa e-postrubriker.
Svaren
SuperUser-bidragsgivaren Tomas erbjuder ett mycket detaljerat och insiktsfullt svar:
Se ett exempel på bluff som har skickats till mig, låtsas att det är från min vän, hävdar att hon har blivit rånad och frågar mig om ekonomiskt stöd. Jag har bytt namn - anta att jag är Bill, skrämmaren har skickat ett mail till
[email protected]
, låtsas som han är[email protected]
. Observera att Bill har vidarebefordran till[email protected]
.Först, i Gmail, använd
visa original
:Då öppnas hela e-postmeddelandet och dess rubriker:
Levereras till: [email protected] Mottaget: vid 10.64.21.33 med SMTP-id s1csp177937e Måndag, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: vid 10.14.47.73 med SMTP-ID s49mr24756966eeb.71.1373281860071; Måndag, 08 Jul 2013 04:11:00 -0700 (PDT) Returväg: Mottagen: från maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) av mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 för (version = TLSv1 cipher = RC4-SHA bitar = 128/128); Mån, 08 jul 2013 04:11:00 -0700 (PDT) Mottagen-SPF: neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 är varken tillåtet eller nekad av bästa gissningsrekord för domän av [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentiseringsresultat: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 är varken tillåtet eller nekad av bästa gissningsrekord för domänen [email protected] ) [email protected] Mottaget: av maxipes.logix.cz (Postfix, från userid 604) id C923E5D3A45; Mån, 8 jul 2013 23:10:50 +1200 (NZST) X-Original-Till: [email protected] X-Greylist: försenad 00:06:34 av SQLgrey-1.8.0-rc1 Mottagen: från elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz (Postfix) med ESMTP-id B43175D3A44 för; Mån, 8 jul 2013 23:10:48 +1200 (NZST) Mottaget: från [168.62.170.129] (helo = laurence39) av elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Exim 4.67) (kuvert-från ) id 1Uw98w-0006KI-6y för [email protected]; Måndag, 08 Jul 2013 06:58:06 -0400 Från: "Alice" Ämne: Terrible Travel Issue ... Vänligen svar ASAP Till: [email protected] Content-Type: multipart / alternative; gräns = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1,0 Svara till: [email protected] Datum: tor 8 jul 2013 10:58:06 0000 Meddelande-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Jag har klippt mailkroppen ...]
Rubrikerna ska läsas kronologiskt från botten till toppen - äldsta är längst ner. Varje ny server på vägen kommer att lägga till sitt eget meddelande - från och med
Mottagen
. Till exempel:Mottagen: från maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) av mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 för (version = TLSv1-ciffer = RC4-SHA-bitar = 128/128); Må, 08 jul 2013 04:11:00 -0700 (PDT)
Detta säger det
mx.google.com
har fått posten frånmaxipes.logix.cz
påMå, 08 jul 2013 04:11:00 -0700 (PDT)
.Nu, för att hitta verklig avsändare av ditt e-postmeddelande, ditt mål är att hitta den senaste pålitliga gatewayen - senast när du läser rubrikerna från början, dvs först i kronologisk ordning. Låt oss börja med att hitta Bills mailserver. För detta frågar du MX-post för domänen. Du kan använda vissa onlineverktyg eller på Linux kan du fråga det på kommandoraden (notera att det verkliga domännamnet har ändrats till
domain.com
):~ $ värd -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Så ser du postservern för domain.com är
maxipes.logix.cz
ellerbroucek.logix.cz
. Därför är den sista (första kronologiska) betrodda "hop" - eller senast tillförlitliga "Mottagna inspelningen" eller vad du kallar det - den här:Mottagen: från elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) av maxipes.logix.cz (Postfix) med ESMTP-id B43175D3A44 för; Må, 8 jul 2013 23:10:48 +1200 (NZST)
Du kan lita på det här eftersom det spelades in av Bills postserver för
domain.com
. Den här servern fick den från209.86.89.64
. Det här kan vara, och ofta är den riktiga avsändaren av e-posten - i det här fallet scammaren! Du kan kolla denna IP på en svart lista. - Se, han är listad i 3 svartlistor! Det finns ytterligare en rekord under den:Mottagen: från [168.62.170.129] (helo = laurence39) av elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Exim 4.67) (kuvert-från) id 1Uw98w-0006KI-6y för [email protected]; Må, 08 jul 2013 06:58:06 -0400
men du kan inte ens lita på det här, för det kan bara läggas till av svindlaren för att torka ut sina spår och / eller lägga en falsk spår. Självklart finns det fortfarande möjlighet att servern
209.86.89.64
är oskyldig och fungerade bara som ett relä för den riktiga angriparen på168.62.170.129
, men då anses reläet vara skyldigt och är ofta svartlistat. I detta fall,168.62.170.129
är ren så vi kan vara nästan säkra på att attacken gjordes från209.86.89.64
.Och såklart, som vi vet att Alice använder Yahoo! och
elasmtp-curtail.atl.sa.earthlink.net
är inte på Yahoo! nätverket (du kanske vill kontrollera sin IP-vem information) kan vi säkert dra slutsatsen att det här e-postmeddelandet inte var från Alice, och att vi inte skulle skicka några pengar till hennes påstådda semester i Filippinerna.
Två andra bidragsgivare, Ex Umbris och Vijay, rekommenderade respektive följande tjänster för att hjälpa till med avkodning av e-posthuvud: SpamCop och Googles huvudanalysverktyg.
Har du något att lägga till förklaringen? Ljud av i kommentarerna. Vill du läsa mer svar från andra tech-savvy Stack Exchange-användare? Kolla in hela diskussionsgängan här.