איך אני יכול לגלות איפה דואל באמת הגיע?
רק בגלל הדוא"ל מופיע בתיבת הדואר הנכנס שלך שכותרתו [email protected], אין זה אומר כי ביל היה למעשה משהו לעשות עם זה. המשך לקרוא בעודנו בודקים כיצד לחפור פנימה ולראות מהיכן הגיע דוא"ל חשוד.
מפגש השאלות והתשובות של היום מגיע אלינו באדיבות SuperUser - חלוקה מחודשת של Stack Exchange, קיבוץ קהילתי של אתרי Q & A.
השאלה
SuperUser הקורא Sirwan רוצה לדעת איך להבין איפה מיילים למעשה מקורם:
איך אני יכול לדעת מאיפה באמת הגיע דוא"ל?
האם יש דרך למצוא אותו?
שמעתי על כותרות דוא"ל, אבל אני לא יודע איפה אני יכול לראות כותרות דוא"ל למשל ב- Gmail.
בוא נסתכל על כותרות הדוא"ל האלה.
התשובות
סופר תומס תומאס מציע תגובה מפורטת ומובנת מאוד:
ראה דוגמה של הונאה שנשלח אלי, מעמיד פנים שזה מהחבר שלי, בטענה שהיא כבר שדדו ולבקש ממני סיוע כספי. שיניתי את השמות - נניח שאני ביל, את scammer יש לשלוח דוא"ל
ביל@domain.com
, מעמיד פנים שהוא[email protected]
. שים לב כי ביל יש קדימהביל@gmail.com
.ראשית, ב- Gmail, השתמש
הראה מקור
Youלאחר מכן, הדוא"ל המלא והכותרות שלו ייפתחו:
נמסר אל: [email protected] התקבל: על ידי 10.64.21.33 עם SMTP מזהה s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: על ידי 10.14.47.73 עם מזהה SMTP s49mr24756966eeb.71.1373281860071; יום שני, 08 יולי 2013 04:11:00 -0700 (PDT) נתיב החזרה: התקבל: מ maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) על ידי mx.google.com עם ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.599 (גרסה = TLSv1 cipher = RC4-SHA bits = 128/128); יום שני, 08 יולי 2013 04:11:00 -0700 (PDT) Received-SPF: Neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 אינו מותר או נמנע על ידי שיא הניחוש הטוב ביותר עבור domain of [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; אימות - תוצאות: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 אינו מותר או נדחה על ידי שיא הניחושים הטוב ביותר עבור דומיין של [email protected] ) [email protected] התקבלו: על ידי maxipes.logix.cz (Postfix, מ userid 604) מזהה C923E5D3A45; יום שני, 8 יולי 2013 23:10:50 +1200 (NZST) X-Original-to: [email protected] X-Greylist: מתעכב 00:06:34 על-ידי SQLgrey-1.8.0-rc1 שהתקבל: מ- elasmtp-curtail . (byfix) עם מזהה ESMTP B43175D3A44 עבור; יום שני, 8 יולי 2013 23:10:48 +1200 (NZST) התקבל: מ [168.62.170.129] (helo = laurence39) על ידי elasmtp-curtail.atl.sa.earthlink.net עם esmtpa (Exim 4.67) (מעטפה מ ) מזהה 1Uw98w-0006KI-6y עבור [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 מ: "אליס" נושא: נושא נסיעות נורא ... תשובה חביב בהקדם האפשרי ל: [email protected] תוכן סוג: multipart / Alternative; הגבול = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" גירסה MIME: 1.0 לתשובה: [email protected] תאריך: יום שני, 8 Jul 2013 10:58:06 0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... יש לי לחתוך את גוף הדוא"ל ...]
הכותרות יש לקרוא כרונולוגית מלמטה למעלה - הישן ביותר בתחתית. כל שרת חדש בדרך יוסיף הודעה משלו - החל מ
קיבלו
. לדוגמה:התקבל: מ maxipes.logix.cz (maxa.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) על ידי mx.google.com עם ESMTPS מזהה. 59 עבור (גרסה = TLSv1 cipher = RC4-SHA bits = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
זה אומר את זה
mx.google.com
קיבל את הדואר מmaxipes.logix.cz
בMon, 08 Jul 2013 04:11:00 -0700 (PDT)
.עכשיו, כדי למצוא את אמיתי שולח הדוא"ל שלך, המטרה שלך היא למצוא את השער האחרון מהימן - האחרון בעת קריאת כותרות מלמעלה, כלומר הראשון בסדר כרונולוגי. בואו נתחיל למצוא את שרת הדואר של ביל. לשם כך, אתה שואל את רשומת ה- MX עבור הדומיין. אתה יכול להשתמש בכלים מקוונים, או על לינוקס אתה יכול שאילתה על שורת הפקודה (שים לב שם התחום האמיתי השתנה
domain.com
)~ $ host -t מושלם domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
אז אתה רואה את שרת הדואר עבור domain.com הוא
maxipes.logix.cz
אוbroucek.logix.cz
. לפיכך, האחרון (כרונולוגית) מהימן "הופ" - או האחרון מהימן "התקבל שיא" או מה שאתה קורא לזה - זה אחד:התקבל: מ elimestp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) על ידי maxipes.logix.cz (Postfix) עם מזהה ESMTP B43175D3A44 עבור; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
אתה יכול לסמוך על זה כי זה נרשם על ידי שרת הדואר של ביל עבור
domain.com
. שרת זה קיבל את זה209.86.89.64
. זה יכול להיות, ולעתים קרובות הוא, השולח האמיתי של הדוא"ל - במקרה זה את scammer! תוכל לבדוק את כתובת IP זו ברשימה שחורה. - ראה, הוא מופיע ב 3 רשימות שחורות! יש עוד רשומה מתחתיה:התקבל: מ [168.62.170.129] (helo = laurence39) על ידי elasmtp-curtail.atl.sa.earthlink.net עם esmtpa (Exim 4.67) (מעטפה מ) מזהה 1Uw98w-0006KI-6y עבור [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
אבל אתה לא יכול באמת לסמוך על זה, כי זה יכול פשוט להיות הוסיף על ידי scammer למחות את עקבות ו / או להניח שביל שקר. כמובן שיש עדיין את האפשרות כי השרת
209.86.89.64
הוא חף מפשע ופעל רק בתור ממסר עבור התוקף האמיתי ב168.62.170.129
, אבל אז ממסר נחשב לעתים קרובות להיות אשם הוא לעתים קרובות מאוד ברשימה השחורה. במקרה הזה,168.62.170.129
הוא נקי כדי שנוכל להיות כמעט בטוחים שההתקפה נגמרה209.86.89.64
.וכמובן, כפי שאנו יודעים כי אליס משתמשת Yahoo! ו
elasmtp-curtail.atl.sa.earthlink.net
הוא לא על Yahoo! רשת (ייתכן שתרצה לבדוק מחדש את מידע ה- IP של Whois), אנו עשויים להסיק בבטחה שהדוא"ל הזה לא היה מאליס, ושאסור לשלוח לה כסף לחופשה הנתבעת בפיליפינים.
שני תורמים נוספים, אקס אומבריס וויגיי, המליצו, בהתאמה, את השירותים הבאים לסיוע בפענוח של כותרות דוא"ל: SpamCop ו- Google's Header Analysis Tool.
יש לך משהו להוסיף להסבר? נשמע את ההערות. רוצה לקרוא תשובות נוספות ממשתמשים אחרים בעלי ידע טכנולוגי מתמצא? בדוק את נושא הדיון המלא כאן.