Šiandieninė klausimų ir atsakymų sesija ateina pas mus "SuperUser" - "Stack Exchange", "Q &A" interneto svetainių grupių bendruomenės, padalinys.
Klausimas
"SuperUser" skaitytuvas "Sirwan" nori sužinoti, kaip išsiaiškinti, kuriuose el. Laiškuose iš tikrųjų kilo:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Pažvelkime į šias el. Pašto antraštes.
Atsakymai
"SuperUser" autorius Tomas siūlo labai išsamų ir įžvalgus atsakymą:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
apsimeta, kad jis yra
. Atkreipkite dėmesį, kad Billas pateikė
Pirmiausia "Gmail" naudokite
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Antraštės turi būti skaitomos chronologiškai nuo apačios į viršų - seniausios yra apačioje. Kiekvienas naujas serveris taip pat pridės savo pranešimą - pradedant nuo
Received
. Pavyzdžiui:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Tai sako, kad
mx.google.com
gavo laišką iš
maxipes.logix.cz
ne
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Dabar raskitetikras Jūsų laiško siuntėjas, jūsų tikslas yra surasti paskutinį patikimą vartai - paskutinį kartą skaitant antraštes iš viršaus, t. y. pirmiausia chronologine tvarka. Pradėkime nuo Bill'o pašto serverio nustatymo. Tam jūs užklausote domeno MX įrašą. Galite naudoti kai kuriuos internetinius įrankius arba Linux, kuriuos galite užklausti pagal komandinę eilutę (atkreipkite dėmesį į tikrąjį domeno pavadinimą, kuris buvo pakeistas į
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Taigi, jūs matote pašto domeno domain.com
maxipes.logix.cz
arba
broucek.logix.cz
. Taigi, paskutinis (pirmasis chronologiškai) patikimas "hopas" - arba paskutinis patikimas "Gautas įrašas" arba ką jūs vadinate - tai tas pats:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Tai galite pasitikėti, nes tai buvo užfiksuotas Bill'o pašto serveris
domain.com
. Šis serveris gavo jį iš
209.86.89.64
. Tai gali būti ir labai dažnai yra tikrasis el. Pašto siuntėjas - šiuo atveju scammer! Šį IP galite patikrinti juodajame sąraše. - Žiūrėk, jis yra išvardytas 3 juodajame sąraše! Yra dar vienas įrašas žemiau jo:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
bet jūs iš tikrųjų to negalite pasitikėti, nes tą gali pridėti tik sukčiai, kad būtų sunaikinti jo pėdsakai ir / arbanuleiskite klaidingą taką. Žinoma, vis dar yra galimybė, kad serveris
209.86.89.64
yra nekaltas ir veikia tik kaip tikrojo užpuoliko relė
168.62.170.129
bet tada relė dažnai laikoma kalta ir labai dažnai juodajame sąraše. Tokiu atveju,
168.62.170.129
yra švarus, todėl galime būti beveik tikri, kad išpuolis įvykdytas
209.86.89.64
Ir, žinoma, kaip mes žinome, kad "Alice" naudoja "Yahoo!" ir
elasmtp-curtail.atl.sa.earthlink.net
nėra "Yahoo!" tinklas (galbūt norėsite pakartotinai patikrinti savo IP Whois informaciją), mes galime džiaugtis, kad šis el. laiškas buvo ne iš "Alice", ir kad mes neturėtume nusiųsti jos jokiems pinigams į jos prašomą atostogas Filipinuose.
Du kiti dalyviai, "Ex Umbris" ir "Vijay", atitinkamai rekomendavo šias paslaugas, padedančias el. Pašto antraščių dekodavimui: "SpamCop" ir "Google" antraščių analizės įrankis.
Ar turite ką nors įtraukti į paaiškinimą? Garsas išjungtas komentaruose. Norite skaityti daugiau atsakymų iš kitų "Tech-savvy Stack Exchange" vartotojų? Patikrinkite visą diskusijų temą čia.