Ακριβώς επειδή εμφανίζεται ένα μήνυμα ηλεκτρονικού ταχυδρομείου στα εισερχόμενά σας με την ένδειξη [email protected], δεν σημαίνει ότι ο Μπιλ είχε πραγματικά να κάνει με αυτό. Διαβάστε παρακάτω καθώς διερευνούμε πώς να σκάψουμε και να δούμε από πού προήλθε πραγματικά ένα ύποπτο email.
Η σημερινή συνεδρία Ερωτήσεων & Απαντήσεων μας προσφέρει ευγενική προσφορά του SuperUser - μιας υποδιαίρεσης του Stack Exchange, μιας κοινότητας ομαδοποίησης ιστότοπων Q&A.
Το ερώτημα
Ο αναγνώστης SuperUser Sirwan θέλει να μάθει πώς να καταλάβει από πού προέρχονται πραγματικά τα email:
Πώς μπορώ να ξέρω από πού προήλθε πραγματικά ένα email;
Υπάρχει τρόπος να το μάθετε;
Έχω ακούσει για κεφαλίδες email, αλλά δεν ξέρω πού μπορώ να δω κεφαλίδες email για παράδειγμα στο Gmail.
Ας ρίξουμε μια ματιά σε αυτές τις κεφαλίδες email.
Οι απαντήσεις
Ο συνεργάτης του SuperUser Tomas προσφέρει μια πολύ λεπτομερή και διορατική απάντηση:
Δείτε ένα παράδειγμα απάτης που μου έχει σταλεί, προσποιούμαι ότι προέρχεται από τον φίλο μου, ισχυριζόμενος ότι έχει ληστευθεί και μου ζητά οικονομική βοήθεια. Έχω αλλάξει τα ονόματα - ας υποθέσουμε ότι είμαι ο Bill, ο απατεώνας έχει στείλει ένα email στο
[email protected], προσποιούμενος ότι είναιαλίκη@υαηοο.κομ. Σημειώστε ότι ο Μπιλ έχει προωθήσει[email protected].Πρώτα, στο Gmail, χρησιμοποιήστε
εμφάνιση πρωτότυπου:
Στη συνέχεια, θα ανοίξει το πλήρες email και οι κεφαλίδες του:
Παραδόθηκε σε: [email protected] Ελήφθη: έως 10.64.21.33 με αναγνωριστικό SMTP s1csp177937iee; Δευ, 8 Ιουλ 2013 04:11:00 -0700 (PDT) X-Ελήφθη: έως 10.14.47.73 με SMTP id s49mr24756966eeb.71.1373281860071; Δευ, 08 Ιουλ 2013 04:11:00 -0700 (PDT) Επιστροφή-διαδρομή: <[email protected]> Ελήφθη: από maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) από mx.google.com με αναγνωριστικό ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 για <[email protected]> (έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128); Δευ, 08 Ιουλ 2013 04:11:00 -0700 (PDT) Λήψη-SPF: ουδέτερο (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη εγγραφή εικασίας για τομέα SRS0=Znlt=QW=yahoo.com=alice@domain .com) πελάτης-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Authentication-Results: mx.google.com; spf = netral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 δεν επιτρέπεται ούτε απορρίπτεται από την καλύτερη καταγραφή εικόνων για τομέα [email protected] ) [email protected] Ελήφθη: από maxipes.logix.cz (Postfix, από το userid 604) id C923E5D3A45; Δευ, 8 Ιουλ 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: καθυστέρηση 00:06:34 από SQLgrey-1.8.0-rc1 Ελήφθη: από elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) από maxipes.logix.cz (Postfix) με αναγνωριστικό ESMTP B43175D3A44 για <[email protected]>; Δευ, 8 Ιουλ 2013 23:10:48 +1200 (NZST) Ελήφθη: από [168.62.170.129] (helo = laurence39) από elasmtp-curtail.atl.sa.earthlink.net με esmtpa (Exim 4.67) (φάκελος-από <[email protected]>) id 1Uw98w-0006KI-6y για [email protected]; Δευ, 08 Ιουλ 2013 06:58:06 -0400 Από: "Alice" <[email protected]> Θέμα: Τρομερό ταξιδιωτικό ζήτημα ..... Παρακαλώ απαντήστε το συντομότερο δυνατόν Προς: [email protected] Τύπος περιεχομένου: πολλαπλό / εναλλακτικό; όριο = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" Έκδοση MIME: 1.0 Απάντηση σε: [email protected] Ημερομηνία: Δευ, 8 Ιουλ 2013 10:58:06 +0000 Αναγνωριστικό μηνύματος: <[email protected]> X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9b X-Originating-IP: 168.62.170.129 [... I have cut the email body ...]Οι κεφαλίδες πρέπει να διαβάζονται χρονολογικά από κάτω προς τα πάνω - τα παλαιότερα βρίσκονται στο κάτω μέρος. Κάθε νέος διακομιστής στο δρόμο θα προσθέσει το δικό του μήνυμα - ξεκινώντας από
Λήφθηκε. Για παράδειγμα:Ελήφθη: από maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) από mx.google.com με αναγνωριστικό ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 για <[email protected]> (έκδοση = TLSv1 cipher = RC4-SHA bits = 128/128); Δευ, 08 Ιουλ 2013 04:11:00 -0700 (PDT)Αυτό το λέει
μχ.γοογλε.κομέλαβε το μήνυμα απόμαξίπης.λογιχ.κζστοΔευ, 08 Ιουλ 2013 04:11:00 -0700 (PDT).Τώρα, για να βρείτε το πραγματικός αποστολέας του email σας, ο στόχος σας είναι να βρείτε την τελευταία αξιόπιστη πύλη - τελευταία όταν διαβάζετε τις κεφαλίδες από την κορυφή, δηλαδή πρώτα με τη χρονολογική σειρά. Ας ξεκινήσουμε βρίσκοντας τον διακομιστή αλληλογραφίας του Bill. Για αυτό, ζητάτε εγγραφή MX για τον τομέα. Μπορείτε να χρησιμοποιήσετε μερικά διαδικτυακά εργαλεία ή στο Linux μπορείτε να το ζητήσετε στη γραμμή εντολών (σημειώστε ότι το πραγματικό όνομα τομέα άλλαξε σε
δομαίν.κομ):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czΟπότε βλέπετε ότι ο διακομιστής αλληλογραφίας για το domain.com είναι
μαξίπης.λογιχ.κζήβρούσεκ.λογιχ.κζ. Ως εκ τούτου, το τελευταίο (πρώτο χρονολογικά) αξιόπιστο “hop” - ή το τελευταίο αξιόπιστο “Received record” ή ό, τι το λέτε - είναι αυτό:Ελήφθη: από elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) από maxipes.logix.cz (Postfix) με αναγνωριστικό ESMTP B43175D3A44 για <[email protected]>; Δευ, 8 Ιουλ 2013 23:10:48 +1200 (NZST)Μπορείτε να το εμπιστευτείτε, επειδή καταγράφηκε από τον διακομιστή αλληλογραφίας του Bill για
δομαίν.κομ. Αυτός ο διακομιστής το πήρε από209.θ6.θ9.64. Αυτό θα μπορούσε να είναι, και πολύ συχνά, είναι ο πραγματικός αποστολέας του email - σε αυτήν την περίπτωση ο απατεώνας! Μπορείς ελέγξτε αυτήν την IP σε μια μαύρη λίστα . - Βλέπετε, περιλαμβάνεται σε 3 μαύρες λίστες! Υπάρχει ακόμη ένας άλλος δίσκος κάτω από αυτό:Ελήφθη: από [168.62.170.129] (helo = laurence39) από elasmtp-curtail.atl.sa.earthlink.net με esmtpa (Exim 4.67) (φάκελος-από <[email protected]>) id 1Uw98w-0006KI-6y για [email protected]; Δευ, 08 Ιουλ 2013 06:58:06 -0400αλλά δεν μπορείτε να το εμπιστευτείτε, γιατί αυτό θα μπορούσε να προστεθεί από τον απατεώνα για να εξαφανίσει τα ίχνη του και / ή βάλτε ένα ψεύτικο μονοπάτι . Φυσικά υπάρχει ακόμα η πιθανότητα ο διακομιστής
209.θ6.θ9.64είναι αθώος και λειτούργησε μόνο ως ρελέ για τον πραγματικό επιτιθέμενο στο168.62.170.129, αλλά τότε το ρελέ θεωρείται συχνά ένοχο και πολύ συχνά μαύρη λίστα. Σε αυτήν την περίπτωση,168.62.170.129είναι καθαρό έτσι μπορούμε να είμαστε σχεδόν σίγουροι ότι η επίθεση έγινε από209.θ6.θ9.64.Και φυσικά, όπως γνωρίζουμε ότι η Αλίκη χρησιμοποιεί το Yahoo! και
elasmtp-curtail.atl.sa.earthlink.netδεν είναι στο Yahoo! δίκτυο (μπορεί να θέλετε ελέγξτε ξανά τις πληροφορίες του IP Whois ), μπορούμε να συμπεράνουμε με ασφάλεια ότι αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου δεν προήλθε από την Αλίκη και ότι δεν πρέπει να της στείλουμε χρήματα στις διακοπές της στις Φιλιππίνες.
Δύο άλλοι συνεισφέροντες, οι Ex Umbris και Vijay, πρότειναν, αντίστοιχα, τις ακόλουθες υπηρεσίες για να βοηθήσουν στην αποκωδικοποίηση των κεφαλίδων email: SpamCop και Εργαλείο ανάλυσης κεφαλίδας της Google .
