Tikai tāpēc, ka e-pasta ziņojums parādās jūsu iesūtnē ar nosaukumu [email protected], tas nenozīmē, ka Billam ar to bija kaut kas saistīts. Lasiet tālāk, kad mēs izpētīsim, kā iezagt un redzēt, no kurienes notika aizdomīgs e-pasta ziņojums.
Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, Q & A tīmekļa vietņu kopienas diskusiju grupu.
SuperUser lasītājs Sirwan vēlas uzzināt, kā noskaidrot, kur e-pasta vēstules patiesībā ir:
Kā es varu uzzināt, no kurienes patiešām tika sūtīts e-pasts?
Vai ir kāds veids, kā to noskaidrot?
Esmu dzirdējis par e-pasta galvenēm, bet es nezinu, kur es varu redzēt e-pasta galvenes, piemēram, Gmail.
Apskatīsim šīs e-pasta galvenes.
SuperUser ieguldītājs Tomas piedāvā ļoti detalizētu un izprotamu atbildi:
Skatiet piemēru par manis izlikto krāpšanos, izliekoties, ka tas ir no mana drauga, apgalvojot, ka viņa ir aplaupīta un lūdz man finansiālu palīdzību. Es esmu nomainījis vārdus - domājams, ka esmu Bill, scammer ir jānosūta e-pasts uz
[email protected], izliekoties, ka viņš ir[email protected]. Ņemiet vērā, ka Bill ir nosūtījis uz[email protected].Pirmkārt, pakalpojumā Gmail izmantojiet
rādīt oriģinālu:
Tad tiks atvērts pilns e-pasta ziņojums un tā galvenes:
Piegādāts-to: [email protected] Saņemts: līdz 10.64.21.33 ar SMTP id s1csp177937iee; Pirmdiena, 2011. gada 8. jūlijs 04:11:00 -0700 (PDT) X-saņemts: ar 10,14.47.73 ar SMTP id s49mr24756966eeb.71.1373281860071; Pirmdiena, 2011. gada 8. jūlijs 04:11:00 -0700 (PDT) Atgriešanās ceļš: Saņemts: no maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) ar mx.google.com ar ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 par (versija = TLSv1 cipher = RC4-SHA bits = 128/128); Pirmdiena, 2011. gada 8. jūlijs 04:11:00 -0700 (PDT) Saņemtie SPF: neitrāls (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nav ne atļauts, ne noliedzams ar vislabāko minējumu ierakstu [email protected] domēns) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentifikācijas rezultāti: mx.google.com; spf = neitrāls (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nav ne atļauts, ne noliedzams ar vislabāko mines ierakstu domēnam [email protected] ) [email protected] Saņemts: maxipes.logix.cz (Postfix, no userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLGREY-1.8.0-rc1 Saņemts: no elasmtp-cuttail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) ar maxipes.logix.cz (Postfix) ar ESMTP id B43175D3A44; Pirmdiena, 2011. gada 8. jūlijs 23:10:48 +1200 (NZST) Saņemts: no [168.62.170.129] (helo = laurence39) ar elasmtp-curtail.atl.sa.earthlink.net ar esmtpa (Exim 4.67) (aploksne-no ) id 1Uw98w-0006KI-6y par [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 No: "Alice" Temats: Briesmīgais ceļošanas jautājums ... Laipni atbildi ASAP uz: [email protected] Content-Type: multipart / alternative; robeža = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 atpakaļadrese [email protected] Datums: Mon, 8 jūlijs 2013 10:58:06 +0000 Ziņojuma ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... es esmu izgriezusi e-pasta iestādi ...]Galvenes tiek lasītas hronoloģiski no apakšas uz augšu - vecākie ir apakšā. Katrs jauns serveris ceļā pievienos savu ziņojumu - sākot ar
Saņemts. Piemēram:Saņemts: no maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]), izmantojot mx.google.com ar ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 (versijai = TLSv1 šifrs = RC4-SHA biti = 128/128); Pirmdiena, 2011. gada 8. jūlijs 04:11:00 -0700 (PDT)Tas saka, ka
mx.google.comir saņēmusi pastu nomaxipes.logix.czpiePirmdiena, 2011. gada 8. jūlijs 04:11:00 -0700 (PDT).Tagad, lai atrastureāls Jūsu e-pasta sūtītāja mērķis ir atrast pēdējo uzticamo vārteju - pēdējais, lasot virsrakstus no augšas, t.i., vispirms hronoloģiskā secībā. Sāksim rast Bils pasta serveri. Šim nolūkam jūs vaicājat domēna MX ierakstu. Jūs varat izmantot dažus tiešsaistes rīkus vai Linux, kuru jūs varat pieprasīt pēc komandrindas (ņemiet vērā, ka reālais domēna vārds tika mainīts uz
domain.com):~ $ saimniekdators-t MX domain.com domēns.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czTātad jūs redzat domēna.com pasta serveri
maxipes.logix.czvaibroucek.logix.cz. Tādējādi pēdējais (pirmais hronoloģiski) uzticamais "hop" - vai pēdējais uzticamais "Saņemtais ieraksts" jeb tas, ko jūs to saucat, ir šāds:Saņemts: no elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) ar maxipes.logix.cz (Postfix) ar ESMTP id B43175D3A44; Pirmdiena, 2011. gada 8. jūlijs 23:10:48 +1200 (NZST)Jūs varat uzticēties, jo tas tika reģistrēts Bila pasta serverī
domain.com. Šis serveris to dabūja209.86.89.64. Tas varētu būt un ļoti bieži ir patiesais e-pasta sūtītājs - šajā gadījumā scammer! Šo IP varat pārbaudīt melnajā sarakstā. - Redzi, viņš ir iekļauts 3 melnajos sarakstos! Zem tā ir vēl viens ieraksts:Saņemts: no [168.62.170.129] (helo = laurence39) ar elasmtp-curtail.atl.sa.earthlink.net ar esmtpa (Exim 4.67) (aploksne-no) id 1Uw98w-0006KI-6y par [email protected]; Pirmdiena, 2011. gada 8. jūlijs 06:58:06 -0400bet jūs to faktiski nevarat uzticēties, jo to var vienkārši pievienot scammer, lai noslaucītu viņa pēdas un / vaigulēt viltus taku. Protams, joprojām pastāv iespēja, ka serveris
209.86.89.64ir nevainīga un darbojas tikai kā reāls uzbrucējs168.62.170.129, bet tad relejs tiek bieži uzskatīts par vainīgu un ļoti bieži ir iekļauts melnajā sarakstā. Šajā gadījumā,168.62.170.129ir tīrs, lai mēs varētu būt gandrīz pārliecināti, ka uzbrukums notika209.86.89.64.Un, protams, kā mēs zinām, ka Alisa izmanto Yahoo! un
elasmtp-curtail.atl.sa.earthlink.netnav Yahoo! tīkls (iespējams, vēlēsities vēlreiz pārbaudīt savu IP Whois informāciju), mēs droši varam secināt, ka šis e-pasts nebija no Alises, un ka mums nevajadzētu viņam nosūtīt viņai nekādas naudas viņas atvaļinājumā Filipīnās.
Divas citas personas, Ex Umbris un Vijay, ieteica izmantot šādus pakalpojumus, lai palīdzētu e-pasta galvenes dekodēt: SpamCop un Google galvenes analīzes rīks.
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.
