Skąd mogę wiedzieć, skąd naprawdę pochodzi wiadomość e-mail? Czy jest jakiś sposób, aby się tego dowiedzieć?
Słyszałem o nagłówkach wiadomości e-mail, ale nie wiem, gdzie mogę zobaczyć nagłówki wiadomości e-mail, na przykład w Gmailu. Jakaś pomoc?
networking
email
gmail
headers
Sirwan Afifi
źródło
źródło
Odpowiedzi:
Zobacz poniżej przykład oszustwa, które zostało mi wysłane, udając, że pochodzi od mojego przyjaciela, twierdząc, że została okradziona i prosi mnie o pomoc finansową. Zmieniłem nazwy - jestem „Bill”, a oszust wysłał wiadomość e-mail na adres
[email protected]
, udawać kogoś[email protected]
. Pamiętaj, że Bill przekazuje swój e-mail na adres[email protected]
.Najpierw w Gmailu kliknij
show original
:Otworzy się pełny e-mail i jego nagłówki:
Nagłówki należy odczytywać chronologicznie od dołu do góry - najstarsze znajdują się na dole. Każdy nowy serwer po drodze dodaje własną wiadomość - zaczynając od
Received
. Na przykład:To mówi tak
mx.google.com
otrzymał wiadomość odmaxipes.logix.cz
wMon, 08 Jul 2013 04:11:00 -0700 (PDT)
.Teraz, aby znaleźć real nadawca wiadomości e-mail, musisz znaleźć najwcześniejszą zaufaną bramę - ostatnią, gdy czytasz nagłówki z góry. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu zapytaj rekord MX dla domeny. Możesz użyć narzędzi online, takich jak Mx Toolbox lub w Linuksie możesz wysłać zapytanie do wiersza poleceń (zauważ, że prawdziwa nazwa domeny została zmieniona na
domain.com
):Zobaczysz serwer poczty dla domeny domain.com
maxipes.logix.cz
lubbroucek.logix.cz
. Dlatego ostatni (pierwszy chronologicznie) zaufany „przeskok” - lub ostatni zaufany „Odebrany rekord” lub jakkolwiek go nazwiesz - to ten:Możesz zaufać temu, ponieważ został zarejestrowany przez serwer pocztowy Billa dla
domain.com
. Ten serwer to dostał209.86.89.64
. Może to być i bardzo często jest prawdziwy nadawca wiadomości e-mail - w tym przypadku oszust! Możesz sprawdź ten adres IP na czarnej liście . - Widzisz, on jest wymieniony na 3 czarnych listach! Poniżej znajduje się kolejny rekord:Uważaj jednak, że jest to prawdziwe źródło wiadomości e-mail. Skarga na czarnej liście mogła zostać dodana przez oszusta, aby usunąć jego ślady i / lub położyć fałszywy ślad . Nadal istnieje możliwość, że serwer
209.86.89.64
jest niewinny i jest tylko przekaźnikiem dla prawdziwego napastnika168.62.170.129
. W tym przypadku,168.62.170.129
to czyste więc możemy być prawie pewni, że atak został wykonany209.86.89.64
.Kolejną kwestią, o której należy pamiętać, jest to, że Alice używa Yahoo! ([email protected]) i
elasmtp-curtail.atl.sa.earthlink.net
nie jest w Yahoo! sieć (możesz chcieć sprawdź ponownie informacje IP Whois ). Dlatego możemy bezpiecznie stwierdzić, że ten e-mail nie pochodzi od Alice i nie powinniśmy wysyłać jej pieniędzy na Filipiny.źródło
Aby znaleźć adres IP:
Kliknij odwrócony trójkąt obok opcji Odpowiedz. Wybierz Pokaż oryginał.
Szukać
Received: from
po którym następuje adres IP między nawiasami kwadratowymi []. (przykład:Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com
)Jeśli znajdziesz więcej niż jeden odebrany: z wzorców, wybierz ostatni.
( Źródło )
Po tym możesz użyć strona pythonclub , iplocation.net lub wyszukiwanie IP aby znaleźć lokalizację.
źródło
Sposób uzyskiwania nagłówków różni się w zależności od klienta poczty e-mail. Wielu klientów pozwala łatwo zobaczyć oryginalny format wiadomości. Inne (MicroSoft Outlook) utrudniają to.
Aby ustalić, kto naprawdę wysłał wiadomość, pomocna jest ścieżka powrotu. Jednak może być sfałszowany. Adres zwrotny, który nie pasuje do adresu From, jest powodem do podejrzeń. Istnieją uzasadnione powody, dla których mogą się różnić, takie jak wiadomości przekazywane z list mailingowych lub linki wysyłane ze stron internetowych. (Byłoby lepiej, gdyby strona internetowa użyła adresu zwrotnego do identyfikacji osoby przekazującej link).
Aby określić pochodzenie wiadomości odczytywanej od góry do dołu przez otrzymane nagłówki. Może być ich kilka. Większość będzie miała adres IP serwera, na który otrzymała formularz wiadomości. Niektóre problemy, które napotkasz:
Zawsze powinieneś być w stanie określić, który serwer w Internecie wysłał Ci wiadomość. Dalsze śledzenie zależy od konfiguracji serwerów wysyłających.
źródło
używam http://whatismyipaddress.com/trace-email . Jeśli korzystasz z Gmaila, kliknij Pokaż oryginał (w Więcej, obok przycisku Odpowiedz, skopiuj nagłówki, wklej je na tę stronę i kliknij Pobierz źródło. Otrzymasz informacje o geolokalizacji i mapę w zamian
źródło
istnieją również narzędzia do analizy nagłówków wiadomości e-mail i wyodrębniania danych e-mailowych
na przykład :
eMailTrackerPro
które mogą śledzić e-mail z powrotem do jego lokalizacji geograficznej, w tym filtr spamu
MSGTAG
PoliteMail
Super Email Marketing Software
Zendio
źródło