Làm thế nào tôi có thể tìm hiểu ở đâu Email Thật đến từ?

Chỉ vì một email xuất hiện trong hộp thư đến của bạn có nhãn Bill.Smith @ somehost.com, không có nghĩa là Bill mà thực sự có bất cứ điều gì để làm với nó. Đọc trên như chúng tôi khám phá làm thế nào để khai thác trong và nhìn thấy nơi một email đáng ngờ thực sự đến từ đâu.

Ngày nay Hỏi và đáp phiên đến với chúng ta lịch sự của siêu người dùng-một phân khu của Exchange Stack, một nhóm cộng đồng ổ đĩa của Q & A các trang web.

Câu hỏi

Siêu người dùng đọc Sirwan muốn biết làm thế nào để tìm ra nơi email có xuất xứ từ:

Làm thế nào tôi có thể biết được nơi Email thực sự đến từ đâu?
Có cách nào để tìm thấy nó ra?
Tôi đã nghe nói về tiêu đề email, nhưng tôi không biết nơi tôi có thể nhìn thấy tiêu đề email ví dụ như trong Gmail.

Chúng ta hãy nhìn vào những tiêu đề email.

Những câu trả lời

Siêu người dùng đóng góp Tomas cung cấp một câu trả lời rất chi tiết và sâu sắc:

Xem ví dụ về lừa đảo đã được gửi đến cho tôi, giả vờ đó là từ bạn bè của tôi, nói rằng cô đã bị cướp và yêu cầu tôi hỗ trợ tài chính. Tôi đã thay đổi tên - giả sử rằng tôi là Bill, những kẻ lừa đảo đã gửi email đến  bill@domain.com , giả vờ anh là  alice@yahoo.com .Lưu ý rằng Bill có mong muốn  bill@gmail.com .

Đầu tiên, trong Gmail, sử dụng  hiển thị ban đầu :

Sau đó, các email đầy đủ và tiêu đề của nó sẽ mở ra:

Giao-To: bill@gmail.com
Nhận được: bởi 10.64.21.33 với SMTP id s1csp177937iee;
        Mon, 04:11:00 -0700 08 tháng 7 năm 2013 (PDT)
X-nhận: bởi 10.14.47.73 với SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 tháng 7 04:11:00 -0700 (PDT) 2013
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Nhận được: từ maxipes.logix.cz (maxipes.logix.cz [2a01: 348:0:6:5 d59: 50c3: 0: b0b1].)
        bởi mx.google.com với ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        cho <bill@gmail.com>
        (Phiên bản = TLSv1 mật mã = ​​RC4-SHA bit = 128/128);
        Mon, 08 tháng 7 04:11:00 -0700 (PDT) 2013
Nhận-SPF: trung tính (google.com: 2a01: 348:0:6:5 d59: 50c3: 0: b0b1 là không được phép cũng không từ chối đoán tốt nhất kỷ lục cho tên miền của SRS0 = Znlt = QW = yahoo.com = Alice @ miền . com) client-ip = 2a01: 348:0:6:5 d59: 50c3: 0: b0b1;
Chứng thực kết quả: mx.google.com;
       SPF = trung lập (google.com: 2a01: 348:0:6:5 d59: 50c3: 0: b0b1 là không được phép cũng không từ chối đoán tốt nhất kỷ lục cho tên miền của SRS0 = Znlt = QW = yahoo.com = alice@domain.com ) smtp.mail = SRS0 = Znlt = QW = yahoo.com = alice@domain.com
Nhận được: bởi maxipes.logix.cz (Postfix, từ userid 604)
    id C923E5D3A45; Mon, 08 Tháng bảy năm 2013 23:10:50 +1200 (NZST)
X-gốc-To: bill@domain.com
X-greylist: chậm 00:06:34 bởi SQLgrey-1.8.0-rc1
Nhận được: từ elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    bởi maxipes.logix.cz (Postfix) với ESMTP id B43175D3A44
    cho <bill@domain.com>; Mon, 08 Tháng 7 2013 23:10:48 +1200 (NZST)
Nhận được: từ [168.62.170.129] (helo = laurence39)
    bởi elasmtp-curtail.atl.sa.earthlink.net với esmtpa (Exim 4.67)
    (Phong bì-từ <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    cho bill@domain.com; Mon, 08 Tháng 7 2013 06:58:06 -0400
Từ: "Alice" <alice@yahoo.com>
Tiêu đề: Vấn đề du lịch Tệ ..... Vui lòng trả lời càng sớm càng tốt
Đến: bill@domain.com
Content-Type: multipart / alternative; ranh giới = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70"
MIME-Phiên bản: 1.0
Trả lời-To: alice@yahoo.com
Ngày: Thứ Hai, 08 tháng 7 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace:
X-nguồn gốc-IP: 168.62.170.129

[... Tôi đã cắt cơ thể email ...]

Các tiêu đề là để được đọc thứ tự thời gian từ dưới lên trên - lâu đời nhất là ở phía dưới.Tất cả các máy chủ mới trên đường sẽ thêm tin nhắn riêng của mình - bắt đầu với  nhận .Ví dụ:

Nhận được: từ maxipes.logix.cz (maxipes.logix.cz [2a01: 348:0:6:5 d59: 50c3: 0: b0b1].)
        bởi mx.google.com với ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        cho <bill@gmail.com>
        (Phiên bản = TLSv1 mật mã = ​​RC4-SHA bit = 128/128);
        Mon, 08 tháng 7 04:11:00 -0700 (PDT) 2013

Này nói rằng  mx.google.com  đã nhận được thư từ  maxipes.logix.cz  tại  Mon, 08 Tháng bảy 2013 04:11:00 -0700 (PDT) .

Bây giờ, để tìm thấy những  thực  người gửi email của bạn, mục tiêu của bạn là tìm các cửa ngõ đáng tin cậy cuối cùng - cuối cùng khi đọc các tiêu đề từ đầu, tức là đầu tiên trong thứ tự thời gian. Hãy bắt đầu bằng việc tìm kiếm máy chủ thư của Bill. Đối với điều này, bạn truy vấn bản ghi MX cho tên miền. Bạn có thể sử dụng một số  công cụ trực tuyến , hoặc trên Linux, bạn có thể truy vấn nó trên dòng lệnh (chú ý tên miền thực sự đã được thay đổi để  domain.com ):

~ $ Host-t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Vì vậy, bạn nhìn thấy các máy chủ thư cho domain.com là  maxipes.logix.cz  hoặc broucek.logix.cz . Do đó, (thứ tự thời gian đầu tiên) cuối cùng đáng tin cậy "hop" - hoặc cuối cùng đáng tin cậy "nhận hồ sơ" hoặc bất cứ điều gì bạn gọi nó - là một điều này:

Nhận được: từ elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    bởi maxipes.logix.cz (Postfix) với ESMTP id B43175D3A44
    cho <bill@domain.com>; Mon, 08 Tháng 7 2013 23:10:48 +1200 (NZST)

Bạn có thể tin tưởng vào điều này bởi vì điều này đã được ghi lại bởi máy chủ thư của Bill cho  domain.com . Máy chủ này đã nhận nó từ  209.86.89.64 . Điều này có thể được, và rất thường xuyên là, người gửi thực sự của email - trong trường hợp này, kẻ lừa đảo!Bạn có thể  kiểm tra IP này trên một danh sách đen . - Xem, ông được liệt kê trong 3 danh sách đen! Có là có một bản ghi bên dưới:

Nhận được: từ [168.62.170.129] (helo = laurence39)
    bởi elasmtp-curtail.atl.sa.earthlink.net với esmtpa (Exim 4.67)
    (Phong bì-từ <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    cho bill@domain.com; Mon, 08 Tháng 7 2013 06:58:06 -0400

nhưng bạn không thể thực sự tin tưởng này, bởi vì đó chỉ có thể được bổ sung bởi các scammer để quét sạch các dấu vết của mình và / hoặc  đặt một con đường sai . Tất nhiên vẫn có khả năng rằng các máy chủ  209.86.89.64  là vô tội và chỉ đóng vai trò như một tiếp sức cho những kẻ tấn công thực sự ở  168.62.170.129 , nhưng sau đó chuyển tiếp thường được coi là có tội và được rất thường xuyên danh sách đen. Trong trường hợp này,  168.62.170.129  là sạch sẽ  vì vậy chúng tôi có thể gần như chắc chắn cuộc tấn công đã được thực hiện từ  209.86.89.64 .

Và tất nhiên, như chúng ta biết rằng Alice sử dụng Yahoo! và  elasmtp-curtail.atl.sa.earthlink.net không phải là trên mạng Yahoo! (bạn có thể muốn  kiểm tra lại thông tin Whois IP của nó ), chúng ta có thể kết luận một cách an toàn rằng email này là không từ Alice, và rằng chúng ta không nên gửi cho cô ấy tiền cho kỳ nghỉ tuyên bố của mình ở Philippines.

Hai người đóng góp khác, Ex Umbris và Vijay, đề nghị, tương ứng, các dịch vụ sau đây để hỗ trợ việc giải mã của tiêu đề email: SpamCop và công cụ phân tích tiêu đề của Google .

---

Có một cái gì đó để thêm vào lời giải thích? Âm thanh ra trong các ý kiến này. Muốn đọc thêm câu trả lời từ người dùng Exchange stack am hiểu công nghệ khác?  Kiểm tra các chủ đề thảo luận đầy đủ ở đây .

Posted in: PcWindows