Jak mogę się dowiedzieć, skąd naprawdę pochodzi wiadomość e-mail?

Aug 8, 2025
Chmura i Internet
TREŚĆ NIENARUSZONA

To, że e-mail pojawia się w Twojej skrzynce odbiorczej oznaczony jako [email protected], nie oznacza, że ​​Bill faktycznie miał z tym coś wspólnego. Czytaj dalej, gdy odkrywamy, jak się zagłębić i zobaczyć, skąd faktycznie pochodzi podejrzana wiadomość e-mail.

Dzisiejsza sesja pytań i odpowiedzi jest dostępna dzięki uprzejmości SuperUser - części Stack Exchange, grupy witryn z pytaniami i odpowiedziami, prowadzonej przez społeczność.

Pytanie

Czytnik SuperUser Sirwan chce wiedzieć, skąd pochodzą wiadomości e-mail:

Skąd mogę wiedzieć, skąd naprawdę pochodzi e-mail?
Czy jest jakiś sposób, żeby się tego dowiedzieć?
Słyszałem o nagłówkach e-maili, ale nie wiem, gdzie mogę je zobaczyć, na przykład w Gmailu.

Przyjrzyjmy się tym nagłówkom e-maili.

Odpowiedzi

Współautor SuperUser Tomas oferuje bardzo szczegółową i wnikliwą odpowiedź:

Zobacz przykład oszustwa, który został do mnie wysłany, udając, że pochodzi od mojej przyjaciółki, twierdząc, że została okradziona i prosząc mnie o pomoc finansową. Zmieniłem nazwiska - przypuśćmy, że jestem Bill, oszust wysłał e-mail do [email protected] udając, że jest [email protected] . Zauważ, że Bill przekazał dalej do [email protected] .

Najpierw w Gmailu użyj Pokaż oryginał :

Następnie otworzy się pełna wiadomość e-mail i jej nagłówki: 

Dostarczone do: [email protected]
Otrzymano: przez 10.64.21.33 z identyfikatorem SMTP s1csp177937iee;
        Pon., 8 Lip 2013 04:11:00 -0700 (PDT)
X-Received: do 10.14.47.73 z identyfikatorem SMTP s49mr24756966eeb.71.1373281860071;
        Pon., 08 Lip 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Otrzymano: z maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        przez mx.google.com z identyfikatorem ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59
        dla <[email protected]>
        (wersja = szyfr TLSv1 = bity RC4-SHA = 128/128);
        Pon., 08 Lip 2013 04:11:00 -0700 (PDT)
Otrzymano-SPF: neutralny (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolony ani zabroniony na podstawie najlepszego przypuszczenia rekordu dla domeny SRS0=Znlt=QW=yahoo.com=alice@domain .com) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;
Wyniki uwierzytelniania: mx.google.com;
       spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nie jest dozwolone ani zabronione na podstawie najlepszego przypuszczenia dla domeny [email protected] ) [email protected]
Otrzymane: przez maxipes.logix.cz (Postfix, od identyfikatora użytkownika 604)
    id C923E5D3A45; Pon., 8 Lip 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: opóźnione 00:06:34 przez SQLgrey-1.8.0-rc1
Otrzymano: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    przez maxipes.logix.cz (Postfix) z identyfikatorem ESMTP B43175D3A44
    dla <[email protected]>; Pon., 8 Lip 2013 23:10:48 +1200 (NZST)
Otrzymano: od [168.62.170.129] (helo = laurence39)
    autor: elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67)
    (koperta-od <[email protected]>)
    id 1Uw98w-0006KI-6y
    dla [email protected]; Poniedziałek, 08 lipca 2013, 06:58:06 -0400
Od: „Alice” <[email protected]>
Temat: Problem z okropną podróżą ..... Uprzejmie odpowiedz jak najszybciej
Do: [email protected]
Content-Type: wieloczęściowa / alternatywna; boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70"
Wersja MIME: 1.0.0
Odpowiedź do: [email protected]
Data: Pon., 8 lipca 2013 r. 10:58:06 + 0000
Identyfikator wiadomości: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9b
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Nagłówki należy czytać chronologicznie od dołu do góry - najstarsze znajdują się na dole. Każdy nowy serwer po drodze doda własną wiadomość - zaczynając od Odebrane . Na przykład: 

Otrzymano: z maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        przez mx.google.com z identyfikatorem ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59
        dla <[email protected]>
        (wersja = szyfr TLSv1 = bity RC4-SHA = 128/128);
        Pon., 08 Lip 2013 04:11:00 -0700 (PDT)

To mówi, że mx.google.com otrzymał wiadomość od maxipes.logix.cz w Pon., 08 Lip 2013 04:11:00 -0700 (PDT) .

Teraz, aby znaleźć real nadawcy Twojego e-maila, Twoim celem jest znalezienie ostatniej zaufanej bramy - ostatnia podczas czytania nagłówków od góry, czyli pierwsza w kolejności chronologicznej. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu należy wysłać zapytanie o rekord MX dla domeny. Możesz użyć niektórych narzędzia online , lub w Linuksie możesz wysłać zapytanie w linii poleceń (pamiętaj, że prawdziwa nazwa domeny została zmieniona na domain.com ): 

~ $ host -t MX domena.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Widzisz więc, że serwer pocztowy dla domena.com to maxipes.logix.cz lub broucek.logix.cz . Stąd ostatni (pierwszy chronologicznie) zaufany „przeskok” - lub ostatni zaufany „Odebrany rekord”, czy jakkolwiek to nazwiesz - to ten: 

Otrzymano: z elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    przez maxipes.logix.cz (Postfix) z identyfikatorem ESMTP B43175D3A44
    dla <[email protected]>; Pon., 8 Lip 2013 23:10:48 +1200 (NZST)

Możesz temu ufać, ponieważ zostało to zarejestrowane przez serwer pocztowy Billa dla domain.com . Ten serwer ma to z 209.86.89.64 . Może to być, i bardzo często jest, prawdziwy nadawca wiadomości e-mail - w tym przypadku oszust! Możesz sprawdź ten adres IP na czarnej liście . - Widzisz, jest wymieniony na 3 czarnych listach! Pod nim jest jeszcze jeden rekord: 

Otrzymano: od [168.62.170.129] (helo = laurence39)
    autor: elasmtp-curtail.atl.sa.earthlink.net z esmtpa (Exim 4.67)
    (koperta-od <[email protected]>)
    id 1Uw98w-0006KI-6y
    dla [email protected]; Poniedziałek, 8 lipca 2013 r., Godz. 06:58:06 -0400

ale nie możesz temu ufać, ponieważ oszust mógłby to po prostu dodać, aby usunąć jego ślady i / lub położyć fałszywy ślad . Oczywiście nadal istnieje możliwość, że serwer 209.86.89.64 jest niewinny i działał tylko jako przekaźnik dla prawdziwego napastnika pod adresem 168.62.170.129 , ale wtedy przekaźnik jest często uważany za winnego i bardzo często znajduje się na czarnej liście. W tym przypadku, 168.62.170.129 to czyste więc możemy być prawie pewni, że atak został wykonany z 209.86.89.64 .

Oczywiście, ponieważ wiemy, że Alice korzysta z Yahoo! i elasmtp-curtail.atl.sa.earthlink.net nie ma w Yahoo! sieć (możesz chcieć ponownie sprawdź jego informacje IP Whois ), możemy spokojnie stwierdzić, że ten e-mail nie pochodzi od Alicji i że nie powinniśmy wysyłać jej żadnych pieniędzy na jej rzekome wakacje na Filipinach.

Dwóch innych współpracowników, Ex Umbris i Vijay, poleciło odpowiednio następujące usługi pomagające w dekodowaniu nagłówków wiadomości e-mail: SpamCop i Narzędzie Google do analizy nagłówków .

How Can I Find Out Where An Email Really Came From? (5 Solutions!!)

How Email Really Works?

How Email Really Works VIDEO

How To Really Stop Getting Spam Email

Email Validation Process: How Email Verification Really Works? |The Concept Behind Verifying Emails

How To Get The Email Addresses You Really Need!

How Much Do E-Mail Scammers Really Make?

How To Write An Email (No, Really) | Victoria Turk | TEDxAthens

How YouTube REALLY Works

How To Know If An Email Is Real

Chmura i Internet - Najpopularniejsze artykuły

Jak zaplanować podróż do wielu miejsc docelowych w Mapach Google

Chmura i Internet Aug 2, 2025

TREŚĆ NIENARUSZONA Niezależnie od tego, czy planujesz dzień w mieście, czy chcesz zorganizować idealną podróż po całym kraju, Mapy Google umożliwiają dodanie do dziewi..

Co to jest wideo HEVC H.265 i dlaczego jest tak ważne w przypadku filmów 4K?

Chmura i Internet Feb 10, 2025

TREŚĆ NIENARUSZONA 4K to kolejna wielka rzecz w telewizorach , i Filmy 4K zaczynają pojawiać się wszędzie . Ale wideo 4K zajmuje mnóstwo miejsca,..

Jak kanały YouTube zarabiają pieniądze?

Chmura i Internet Jan 30, 2025

TREŚĆ NIENARUSZONA Większość ludzi zdaje sobie sprawę, że popularne kanały YouTube zarabiają pieniądze, ale nie jest od razu oczywiste, jak to zrobić. Jest ku temu pow�..

Jak usunąć zdjęcie z historii na Instagramie

Chmura i Internet Jul 14, 2025

TREŚĆ NIENARUSZONA Funkcja Story na Instagramie jest świetny, ale podobnie jak w przypadku wszystkich funkcji Story, łatwo jest pozwolić pamięci mięśniowej prz..

Jak powstrzymać Facebooka przed pokazywaniem wspomnień z „tego dnia” (przynajmniej tymczasowo)

Chmura i Internet Dec 1, 2024

TREŚĆ NIENARUSZONA Funkcja „Tego dnia” na Facebooku może być co najmniej irytująca, a co najwyżej może wywołać bolesne wspomnienia, do których niekoniecznie chcesz w..

Jak przenieść bibliotekę zdjęć Apple do innej lokalizacji

Chmura i Internet Jul 12, 2025

Nowa aplikacja Apple Zdjęcia została wydana jako część ostatniej aktualizacji systemu. Domyślnie Zdjęcia tworzy swoją bibliotekę w folderze Obrazy, ale można ją łatwo pr..

Jak zsynchronizować dane przeglądarki z Firefox Sync

Chmura i Internet Dec 14, 2024

Firefox Sync umożliwia dostęp do otwartych kart, zakładek, historii, haseł i preferencji w każdym miejscu, niezależnie od tego, czy używasz laptopa, komputera stacjonarnego c..

Oczyść strony internetowe do robienia notatek lub drukowania w łatwy sposób

Chmura i Internet Dec 30, 2024

Szukasz prostego sposobu na usunięcie wszystkich śmieci ze strony internetowej i zachowanie formatowania, aby można było je kopiować / wklejać lub ładnie drukować jednym kliknięciem?..

Kategorie