Hvordan kan jeg finde ud af, hvor en e-mail virkelig kommer fra?

Aug 8, 2025
Cloud og Internet
UCACHED INDHOLD

Bare fordi en e-mail vises i din indbakke mærket [email protected], betyder det ikke, at Bill rent faktisk havde noget at gøre med det. Læs videre, når vi undersøger, hvordan man graver ind og ser, hvor en mistænkelig e-mail faktisk kom fra.

Dagens Spørgsmål og svar-session kommer til os med tilladelse fra SuperUser - en underafdeling af Stack Exchange, en gruppedrevsgruppe af Q & A-websteder.

Spørgsmålet

SuperUser-læser Sirwan vil vide, hvordan man finder ud af, hvor e-mails faktisk stammer fra:

Hvordan kan jeg vide, hvor en e-mail virkelig kom fra?
Er der nogen måde at finde ud af det?
Jeg har hørt om e-mail-overskrifter, men jeg ved ikke, hvor kan jeg se e-mail-overskrifter for eksempel i Gmail.

Lad os se på disse e-mail-overskrifter.

Svarene

SuperUser-bidragsyder Tomas tilbyder et meget detaljeret og indsigtsfuldt svar:

Se et eksempel på fidus, der er sendt til mig, idet jeg foregiver, at det er fra min ven, og hævder, at hun er blevet røvet, og beder mig om økonomisk støtte. Jeg har ændret navnene - antag, at jeg er Bill, som svindleren har sendt en e-mail til [email protected] foregiver at han er [email protected] . Bemærk, at Bill har sendt videre til [email protected] .

Først i Gmail skal du bruge Vis originalen :

Derefter åbnes den fulde e-mail og dens overskrifter: 

Leveret til: [email protected]
Modtaget: ved 10.64.21.33 med SMTP id s1csp177937iee;
        Man, 8 Jul 2013 04:11:00 -0700 (PDT)
X-modtaget: af 10.14.47.73 med SMTP id s49mr24756966eeb.71.1373281860071;
        Man, 08 Jul 2013 04:11:00 -0700 (PDT)
Retursti: <SRS0=Znlt=QW=yahoo.com=alice@domæne.com>
Modtaget: fra maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        af mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        til <[email protected]>
        (version = TLSv1-chiffer = RC4-SHA-bits = 128/128);
        Man, 08 Jul 2013 04:11:00 -0700 (PDT)
Modtaget SPF: neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 er hverken tilladt eller nægtet af den bedste gætteregistrering for domænet SRS0=Znlt=QW=yahoo.com=alice@domain .com) klient-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;
Godkendelsesresultater: mx.google.com;
       spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 er hverken tilladt eller nægtet af den bedste gætterekord for domænet [email protected] ) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domæne.com
Modtaget: af maxipes.logix.cz (Postfix, fra userid 604)
    id C923E5D3A45; Man, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: forsinket 00:06:34 af SQLgrey-1.8.0-rc1
Modtaget: fra elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    af maxipes.logix.cz (Postfix) med ESMTP id B43175D3A44
    til <[email protected]>; Man, 8 Jul 2013 23:10:48 +1200 (NZST)
Modtaget: fra [168.62.170.129] (helo = laurence39)
    af elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Eks. 4.67)
    (kuvert-fra <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Man, 8. juli 2013 06:58:06 -0400
Fra: "Alice" <[email protected]>
Emne: Frygtelig rejseudgave ..... Svar venligst ASAP
Til: [email protected]
Indholdstype: multipart / alternativ; grænse = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70"
MIME-version: 1.0
Svar til: [email protected]
Dato: Man, 8. juli 2013 10:58:06 +0000
Meddelelses-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Overskrifterne skal læses kronologisk fra bund til top - ældste er nederst. Hver ny server på vej tilføjer sin egen besked - startende med Modtaget . For eksempel: 

Modtaget: fra maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        af mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        til <[email protected]>
        (version = TLSv1-chiffer = RC4-SHA-bits = 128/128);
        Man, 08 Jul 2013 04:11:00 -0700 (PDT)

Dette siger det mx.google.com har modtaget mailen fra maxipes.logix.cz at Mon, 08 Jul 2013 04:11:00 -0700 (PDT) .

Nu for at finde ægte afsender af din e-mail, dit mål er at finde den sidst pålidelige gateway - sidst når du læser overskrifterne ovenfra, dvs. først i kronologisk rækkefølge. Lad os starte med at finde Regions mailserver. Til dette forespørger du MX-post for domænet. Du kan bruge nogle online-værktøjer , eller på Linux kan du forespørge om det på kommandolinjen (bemærk det rigtige domænenavn blev ændret til domain.com ): 

~ $ vært -t MX domæne.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Så du ser mailserveren til domain.com er maxipes.logix.cz eller broucek.logix.cz . Derfor er den sidste (første kronologiske) tillid til "hop" - eller sidst betroede "Modtaget post" eller hvad du end kalder det - denne: 

Modtaget: fra elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    af maxipes.logix.cz (Postfix) med ESMTP id B43175D3A44
    til <[email protected]>; Man, 8 Jul 2013 23:10:48 +1200 (NZST)

Du kan stole på dette, fordi dette blev optaget af Bills mailserver til domain.com . Denne server fik det fra 209.86.89.64 . Dette kan være og er meget ofte den rigtige afsender af e-mailen - i dette tilfælde svindleren! Du kan tjek denne IP på en sortliste . - Se, han er opført i 3 sortlister! Der er endnu en rekord under den: 

Modtaget: fra [168.62.170.129] (helo = laurence39)
    af elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Eks. 4.67)
    (kuvert-fra <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Man, 8. juli 2013 06:58:06 -0400

men du kan faktisk ikke stole på dette, fordi det bare kunne tilføjes af svindleren for at udslette hans spor og / eller læg et falsk spor . Selvfølgelig er der stadig muligheden for, at serveren 209.86.89.64 er uskyldig og fungerede kun som et stafet for den rigtige angriber ved 168.62.170.129 , men så anses relæet ofte for at være skyldig og er meget ofte sortlistet. I dette tilfælde, 168.62.170.129 er ren så vi kan være næsten sikre på, at angrebet blev udført fra 209.86.89.64 .

Og selvfølgelig, som vi ved, at Alice bruger Yahoo! og elasmtp-curtail.atl.sa.earthlink.net er ikke på Yahoo! netværk (du måske vil Kontroller dens IP-Whois-oplysninger igen ), kan vi sikkert konkludere, at denne e-mail ikke var fra Alice, og at vi ikke skulle sende hende nogen penge til hendes påståede ferie i Filippinerne.

To andre bidragydere, Ex Umbris og Vijay, anbefalede henholdsvis følgende tjenester til at hjælpe med afkodning af e-mail-overskrifter: SpamCop og Googles værktøj til headeranalyse .

.indgangsindhold .indgangsfod

How Can I Find Out Where An Email Really Came From? (5 Solutions!!)

How Email Really Works?

How Email Really Works VIDEO

How To Really Stop Getting Spam Email

Email Validation Process: How Email Verification Really Works? |The Concept Behind Verifying Emails

How To Get The Email Addresses You Really Need!

How Much Do E-Mail Scammers Really Make?

How To Write An Email (No, Really) | Victoria Turk | TEDxAthens

How YouTube REALLY Works

How To Know If An Email Is Real

Cloud og Internet - Mest populære artikler

Den ultimative guide til aktivering af mørk tilstand overalt

Cloud og Internet Dec 26, 2024

UCACHED INDHOLD Skrab Dino Vi er store fans af mørk tilstand, så vi har skrevet mange artikler om, hvordan man bruger det i forskellige app..

Sådan forhindres videoer i automatisk afspilning i Firefox

Cloud og Internet Feb 5, 2025

Det ser ud til, at alle nyhedswebsteder begynder at afspille video automatisk i disse dage. Disse er utroligt irriterende, men heldigvis er det let at blokere i Firefox. So..

Sådan omdøber du dine Amazon Echo-enheder

Cloud og Internet Jul 10, 2025

UCACHED INDHOLD Hvis du kun har et eller to ekkoer, betyder det måske ikke noget, om de kaldes kedelige og gentagne navne som "Johns ekko" og "Johns andet ekko" i Alexa-appen. Me..

Sådan overføres hurtigt dine filer og indstillinger til en ny pc (eller Mac)

Cloud og Internet Aug 26, 2025

At migrere dine filer, indstillinger og programmer til en ny pc kan være lidt skræmmende, især hvis du ikke er helt organiseret. Disse værktøjer og enkle tip hjælper dig med a..

Søg hurtigt efter orddefinitioner med TheFreeDictionary til IE 8

Cloud og Internet Jun 30, 2025

UCACHED INDHOLD Under browsing i Internet Explorer har du muligvis brug for en hurtig definition, ordbogsadgang eller en oversættelse af et ord. Definer med TheFreeDictionary-accelerator g..

Føj en liste over ikke-Google-opgaver til Chrome

Cloud og Internet Sep 5, 2025

UCACHED INDHOLD De fleste mennesker stoler på en opgaveliste for at hjælpe dem med at huske, hvad de skal gøre, men ikke alle vil have en, der er bundet til en Google-konto. Hvis du har ..

Kontroller nemt en stor mængde faner i Google Chrome

Cloud og Internet Aug 27, 2025

UCACHED INDHOLD Begynder tingene at komme ud af kontrol for dig, når du har mange faner åbne i Google Chrome? Få kontrol tilbage og administrer nemt disse faner med Tab Menu-udvidelsen. ..

Læs artikler i Wall Street Journal uden at betale en krone (lovligt)

Cloud og Internet May 16, 2025

Hvor mange gange har du klikket på et link til en Wall Street Journal-artikel for kun at løbe smack ind i deres betalte væg? Det er oprørende, du kan kun læse et par sætninger ... men d..

Kategorier