Те, що у вашій поштовій скриньці з’являється електронний лист із написом [email protected], ще не означає, що Білл насправді мав із ним щось спільне. Читайте далі, коли ми досліджуємо, як копатись і дізнаємось, звідки насправді надійшов підозрілий електронний лист.
Сьогоднішня сесія запитань та відповідей надійшла до нас люб’язно від SuperUser - підрозділу Stack Exchange, групи об’єднань веб-сайтів із запитаннями та відповідями.
Питання
Читач SuperUser Сірван хоче знати, як з’ясувати, звідки насправді походять електронні листи:
Як я можу дізнатися, звідки насправді надійшов електронний лист?
Чи є спосіб дізнатися це?
Я чув про заголовки електронних листів, але не знаю, де можна побачити заголовки електронних листів, наприклад, у Gmail.
Давайте поглянемо на ці заголовки електронних листів.
Відповіді
Співавтор SuperUser Томас пропонує дуже детальну та проникливу відповідь:
Дивіться приклад афери, яку мені надіслали, вдаючи, що це від моєї подруги, стверджуючи, що її пограбували, і просячи у мене фінансової допомоги. Я змінив імена - припустимо, що я Білл, шахрай надіслав електронне повідомлення на
[email protected], вдаючи, що він є[email protected]. Зверніть увагу, що Білл має надіслати[email protected].По-перше, у Gmail використовуйте
показати оригінал:
Потім відкриється повний електронний лист та його заголовки:
Доставлено: [email protected] Отримано: до 10.64.21.33 з ідентифікатором SMTP s1csp177937iee; Пн, 8 липня 2013 04:11:00 -0700 (PDT) Отримано X: 10.14.47.73 з ідентифікатором SMTP s49mr24756966eeb.71.1373281860071; Пн, 08 липня 2013 04:11:00 -0700 (PDT) Зворотний шлях: <[email protected]> Отримано: від maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) mx.google.com з ідентифікатором ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 для <[email protected]> (версія = шифр TLSv1 = біти RC4-SHA = 128/128); Пн, 08 липня 2013 04:11:00 -0700 (PDT) Отримано-SPF: нейтральний (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не дозволений, ані відхилений найкращим припущенням для домену SRS0=Znlt=QW=yahoo.com=alice@domain .com) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Результати автентифікації: mx.google.com; spf = нейтральний (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не дозволяється і не заперечується найкращим припущенням для домену [email protected] ) [email protected] Отримано: maxipes.logix.cz (Postfix, з ідентифікатора користувача 604) ідентифікатор C923E5D3A45; Пн, 8 липня 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: затримано 00:06:34 за допомогою SQLgrey-1.8.0-rc1 Отримано: від elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz (Postfix) з ідентифікатором ESMTP B43175D3A44 для <[email protected]>; Пн, 8 липня 2013 23:10:48 +1200 (NZST) Отримано: від [168.62.170.129] (helo = laurence39) автор elasmtp-curtail.atl.sa.earthlink.net з esmtpa (Exim 4.67) (конверт від <[email protected]>) ідентифікатор 1Uw98w-0006KI-6y для [email protected]; Пн, 08 липня 2013 06:58:06 -0400 Від: "Аліса" <[email protected]> Тема: Жахливий випуск подорожей ..... Будь ласка, відповідь якомога швидше На адресу: [email protected] Тип вмісту: багаточастинний / альтернативний; border = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" Версія MIME: 1.0 Відповідь: [email protected] Дата: пн, 8 липня 2013 10:58:06 +0000 Ідентифікатор повідомлення: <[email protected]> X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c350badd9bab72 X-Origin-IP: 168.62.170.129 [... I have cut the email body ...]Заголовки слід читати хронологічно знизу вгору - найстаріші знаходяться внизу. Кожен новий сервер на шляху додасть своє власне повідомлення - починаючи з
Отримано. Наприклад:Отримано: від maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) mx.google.com з ідентифікатором ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 для <[email protected]> (версія = шифр TLSv1 = біти RC4-SHA = 128/128); Пн, 08 липня 2013 04:11:00 -0700 (PDT)Це говорить це
mx.google.comотримав пошту відmaxipes.logix.czвПн, 08 липня 2013 04:11:00 -0700 (PDT).Тепер, щоб знайти справжній відправник електронної пошти, ваша мета - знайти останній надійний шлюз - останній при читанні заголовків зверху, тобто перший у хронологічному порядку. Почнемо з пошуку поштового сервера Білла. Для цього ви запитуєте запис MX для домену. Ви можете використовувати деякі Інтернет-інструменти , або в Linux ви можете зробити запит у командному рядку (зверніть увагу, справжнє доменне ім'я було змінено на
domain.com):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czОтже, ви бачите поштовий сервер для domain.com
maxipes.logix.czабоbroucek.logix.cz. Отже, останнім (першим хронологічно) довіреним "стрибком" - або останнім довіреним "Отриманим записом" або як би ви його не називали, є цей:Отримано: від elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz (Postfix) з ідентифікатором ESMTP B43175D3A44 для <[email protected]>; Пн, 8 липня 2013 23:10:48 +1200 (NZST)Ви можете цьому довіряти, оскільки це було записано поштовим сервером Білла для
domain.com. Цей сервер отримав це з209.86.89.64. Це може бути, і дуже часто є, справжнім відправником електронного листа - в даному випадку шахраєм! Ти можеш перевірте цей IP у чорному списку . - Дивіться, він занесений до 3 чорних списків! Під ним є ще один запис:Отримано: від [168.62.170.129] (helo = laurence39) автор elasmtp-curtail.atl.sa.earthlink.net з esmtpa (Exim 4.67) (конверт від <[email protected]>) ідентифікатор 1Uw98w-0006KI-6y для [email protected]; Пн, 08 липня 2013 06:58:06 -0400але ви насправді не можете довіряти цьому, оскільки це може просто додати шахрай, щоб знищити його сліди та / або прокласти помилковий слід . Звичайно, все ще існує можливість того, що сервер
209.86.89.64невинний і діяв лише як реле для справжнього зловмисника168.62.170.129, але тоді реле часто вважається винним і дуже часто потрапляє до чорного списку. В цьому випадку,168.62.170.129чиста тому ми можемо бути майже впевнені, що атака була здійснена з209.86.89.64.І звичайно, як ми знаємо, що Аліса використовує Yahoo! і
elasmtp-curtail.atl.sa.earthlink.netне на Yahoo! мережі (можливо, ви захочете перевірте інформацію про свій Whois IP ), ми можемо сміливо дійти висновку, що цей електронний лист не від Аліси, і що ми не повинні надсилати їй грошей на заявлену відпустку на Філіппінах.
Ще два співавтори, Ex Umbris та Vijay, рекомендували, відповідно, такі послуги для допомоги в декодуванні заголовків електронної пошти: SpamCop і Інструмент аналізу заголовків Google .
