Hvordan kan jeg finde ud af, hvor en e-mail virkelig kom fra?
Bare fordi en email vises i din indbakke, der hedder [email protected], betyder ikke, at Bill faktisk havde noget at gøre med det. Læs videre, da vi undersøger, hvordan man graver ind og se, hvor en mistænkelig e-mail faktisk kom fra.
Dagens Spørgsmål og Svar session kommer til os med venlig hilsen af SuperUser-en underafdeling af Stack Exchange, en community-drive gruppering af Q & A websteder.
Spørgsmålet
SuperUser-læser Sirwan ønsker at vide, hvordan man finder ud af, hvor e-mails faktisk stammer fra:
Hvordan kan jeg vide, hvor en e-mail virkelig kom fra?
Er der nogen måde at finde ud af det?
Jeg har hørt om e-mailoverskrifter, men jeg ved ikke, hvor kan jeg se e-mailoverskrifter, f.eks. I Gmail.
Lad os tage et kig på disse e-mail-overskrifter.
Svarene
SuperUser bidragyder Tomas tilbyder et meget detaljeret og indsigt svar:
Se et eksempel på svindel, der er blevet sendt til mig, foregiver det fra min ven, hævder at hun er blevet røvet og beder mig om økonomisk hjælp. Jeg har ændret navnene - antag at jeg er Bill, svindleren har sendt en email til
[email protected]
, foregive han er[email protected]
. Bemærk at Bill har frem til[email protected]
.Først i Gmail, brug
Vis originalen
:Derefter åbnes den fulde email og dens overskrifter:
Leveret til: [email protected] Modtaget: ved 10.64.21.33 med SMTP id s1csp177937iee; Mandag, 8 Jul 2013 04:11:00 -0700 (PDT) X-Modtaget: ved 10.14.47.73 med SMTP-id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Retursti: Modtaget: fra maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) af mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version = TLSv1 cipher = RC4-SHA bits = 128/128); Måned, 08 Jul 2013 04:11:00 -0700 (PDT) Modtaget-SPF: Neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 er hverken tilladt eller nægtet af den bedste genspejling for domæne af [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentificeringsresultater: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 er hverken tilladt eller nægtet af det bedste guess-record for domænet af [email protected] ) [email protected] Modtaget: ved maxipes.logix.cz (Postfix, fra userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-Til: [email protected] X-Greylist: forsinket 00:06:34 af SQLgrey-1.8.0-rc1 Modtaget: fra elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) af maxipes.logix.cz (Postfix) med ESMTP id B43175D3A44 for; Måned, 8 Jul 2013 23:10:48 +1200 (NZST) Modtaget: fra [168.62.170.129] (helo = laurence39) af elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Exim 4.67) (konvolut-fra ) id 1Uw98w-0006KI-6y til [email protected]; Måned, 08 Jul 2013 06:58:06 -0400 Fra: "Alice" Emne: Forfærdeligt rejseudgave ... Venligst svar ASAP Til: [email protected] Indholdstype: multipart / alternativ; grænse = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Dato: Mon, 8 jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Jeg har skåret email-koden ...]
Overskrifterne skal læses kronologisk fra bund til top - ældste er nederst. Hver nye server undervejs vil tilføje sin egen besked - begynder med
Modtaget
. For eksempel:Modtaget: fra maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) af mx.google.com med ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 for (version = TLSv1-ciffer = RC4-SHA bits = 128/128); Mandag, 08 Jul 2013 04:11:00 -0700 (PDT)
Dette siger det
mx.google.com
har modtaget mail framaxipes.logix.cz
påMandag, 08 Jul 2013 04:11:00 -0700 (PDT)
.Nu for at finde ægte Afsender af din email, dit mål er at finde den sidste betroede gateway - sidst når du læser overskrifterne fra toppen, dvs. først i kronologisk rækkefølge. Lad os begynde med at finde Bill's mailserver. Til dette spørger du MX-rekord for domænet. Du kan bruge nogle onlineværktøjer, eller på Linux kan du spørge det på kommandolinjen (bemærk det rigtige domænenavn blev ændret til
domain.com
):~ $ vært -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Så du ser mail serveren for domain.com er
maxipes.logix.cz
ellerbroucek.logix.cz
. Derfor er den sidste (først kronologisk) betroede "hop" - eller sidst betroede "Modtaget rekord" eller hvad du kalder det - er dette:Modtaget: fra elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) af maxipes.logix.cz (Postfix) med ESMTP id B43175D3A44 for; Mandag, 8 Jul 2013 23:10:48 +1200 (NZST)
Du kan stole på dette, fordi dette blev optaget af Bills mail server for
domain.com
. Denne server fik den fra209.86.89.64
. Dette kunne være, og meget ofte er den rigtige afsender af e-mailen - i dette tilfælde svindleren! Du kan tjekke denne IP på en blacklist. - Se, han er opført i 3 sortlister! Der er endnu en rekord under den:Modtaget: fra [168.62.170.129] (helo = laurence39) af elasmtp-curtail.atl.sa.earthlink.net med esmtpa (Exim 4.67) (konvolut-fra) id 1Uw98w-0006KI-6y for [email protected]; Mandag, 08 Jul 2013 06:58:06 -0400
men du kan faktisk ikke stole på det, for det kunne bare tilføjes af svindleren for at udslette sine spor og / eller læg et falsk spor. Selvfølgelig er der stadig mulighed for at serveren
209.86.89.64
er uskyldig og kun handlet som et relæ for den rigtige angriber på168.62.170.129
, men så anses relæet ofte for at være skyldig og er meget ofte sortlistet. I dette tilfælde,168.62.170.129
er ren, så vi kan være næsten sikre på, at angrebet blev gjort fra209.86.89.64
.Og selvfølgelig, som vi ved, at Alice bruger Yahoo! og
elasmtp-curtail.atl.sa.earthlink.net
er ikke på Yahoo! netværk (du vil muligvis gerne kontrollere dens IP Whois information), kan vi sikkert konkludere, at denne email ikke var fra Alice, og at vi ikke skulle sende hende nogen penge til hendes hævdede ferie i Filippinerne.
To andre bidragsydere, Ex Umbris og Vijay, anbefalede henholdsvis følgende tjenester til at hjælpe med afkodning af e-mail-overskrifter: SpamCop og Google's Header Analysis-værktøj.
Har du noget at tilføje til forklaringen? Lyde af i kommentarerne. Vil du læse flere svar fra andre tech-savvy Stack Exchange brugere? Tjek den fulde diskussionstråd her.