Vain siksi, että sähköpostiviesti näkyy postilaatikossasi, joka on merkitty [email protected], ei tarkoita sitä, että Billilla olisi todellisuudessa ollut mitään tekemistä sen kanssa. Lue, kun tutkimme, miten kaivaa sisään ja nähdä, miltä epäilyttävä sähköposti todella tuli.
Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin ansiosta. Tämä on Stack Exchange -jako, joka on Q & A-sivustojen yhteisöjoukkoyhtymä.
SuperUser-lukija Sirwan haluaa tietää, miten selvittää, mistä sähköposteista todella on peräisin:
Kuinka voin tietää, mistä sähköposti todella tuli?
Onko mitään keinoa löytää se?
Olen kuullut sähköpostin otsikoista, mutta en tiedä, mistä näen sähköpostiotsikoita esimerkiksi Gmailissa.
Katsotaanpa nämä sähköpostiotsikot.
SuperUser-avustaja Tomas tarjoaa erittäin yksityiskohtaisen ja oivaltavan vastauksen:
Katso esimerkki huijauksesta, joka on lähetetty minulle ja teeskennellä, että se on ystäväni mukaan ja että hänet on ryöstetty ja pyysi minulta taloudellista apua. Olen muuttanut nimiä - oletan, että olen Bill, huijari on lähettänyt sähköpostia osoitteeseen
[email protected], teeskentelevästi hän on[email protected]. Huomaa, että Bill on siirtynyt eteenpäin[email protected].Ensinnäkin, käytä Gmailia
näytä alkuperäinen:
Tällöin täysi sähköposti ja sen otsikot avautuvat:
Lähetetty: [email protected] Saatu: 10.64.21.33 SMTP-tunnuksella s1csp177937iee; Mon, 8 Heinäkuu 2013 04:11:00 -0700 (PDT) X-vastaanotettu: 10.14.47.73 SMTP-tunnuksella s49mr24756966eeb.71.1373281860071; Mon, 08 Hei 2013 04:11:00 -0700 (PDT) Palautuspolku: vastaanotettu: maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) mx.google.com kanssa ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 (versio = TLSv1 salaus = RC4-SHA bittiä = 128/128); Mon, 08 Hei 2013 04:11:00 -0700 (PDT) Vastaanotettu-SPF: neutraali (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole sallittua eikä kielletty domain SRS0 = [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Todennus-tulokset: mx.google.com; spf = neutraali (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole sallittua eikä kielletty [email protected] ) [email protected] Vastaanotettu: maxipes.logix.cz (Postfix, käyttäjältä 604) id C923E5D3A45; Mon, 8 Hei 2013 23:10:50 +1200 (NZST) X-Alkuperäinen-To: [email protected] X-Greylist: viivästynyt 00:06:34 SQLgrey-1.8.0-rc1 vastaanotettu: from elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz (Postfix) kanssa ESMTP id B43175D3A44 varten; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Vastaanotettu: [168.62.170.129] (helo = laurence39) by elasmtp-curtail.atl.sa.earthlink.net esmtpa (Exim 4.67) (kirjekuori-alkaen ) id 1Uw98w-0006KI-6y osoitteeseen [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Lähettäjä: "Alice" Aihe: Terrible Travel Issue ... Ystävällisesti vastaa ASAP Jotta: [email protected] Content-Type: multipart / vaihtoehto; raja = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 vastausosoitetta: [email protected] Date: Mon, 08 heinäkuu 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... leikannut sähköpostin ruumiin ...]Yläosat on luettava kronologisesti alhaalta ylös - vanhimmat ovat alareunassa. Jokainen uusi palvelin matkalla lisää oman viestinsä - alkaen
Otettu vastaan. Esimerkiksi:Vastaanotetut: maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com ESMTPS-tunnuksella j47si6975462eeg.108.2013.07.08.04.10. 59 (versio = TLSv1-salaus = RC4-SHA bittiä = 128/128); Mon, 08 Heinäkuu 2013 04:11:00 -0700 (PDT)Tämä sanoo
mx.google.comon saanut postiamaxipes.logix.czatMon, 08 Heinäkuu 2013 04:11:00 -0700 (PDT).Nyt, löytääksesitodellinen sähköpostisi lähettäjä, tavoitteenasi on löytää viimeinen luotettu yhdyskäytävä - viimeinen lukeminen otsikoista ylhäältä, eli ensin kronologisessa järjestyksessä. Aloita etsimällä Billin sähköpostipalvelin. Tätä varten kysyt verkkotunnuksen MX-tietueen. Voit käyttää joitain online-työkaluja, tai Linuxissa voit kysyä sitä komentoriviltä (huomaa, että todellinen verkkotunnus on muutettu
domain.com):~ $ host -t MX verkkotunnuksen domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czJoten näet domain-palvelimen sähköpostipalvelun
maxipes.logix.cztaibroucek.logix.cz. Näin ollen viimeinen (ensimmäinen kronologisesti) luotettu "hop" - tai viimeinen luotettu "vastaanotettu tietue" tai mitä kutsutte sitä - on tämä:Vastaanotettu: osoitteesta elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) maxipes.logix.cz (Postfix) kanssa ESMTP id B43175D3A44 varten; Mon, 8 Hei 2013 23:10:48 +1200 (NZST)Voit luottaa siihen, koska Billin sähköpostipalvelin tallensi sen
domain.com. Tämä palvelin sai sen209.86.89.64. Tämä voisi olla, ja hyvin usein, todellinen sähköposti lähettäjä - tässä tapauksessa huijari! Voit tarkistaa tämän IP: n mustalla listalla. - Katso, hänet on listattu kolmessa mustassa listassa! Tässä on vielä yksi ennätys:Vastaanotettu: [168.62.170.129] (helo = laurence39) by elasmtp-curtail.atl.sa.earthlink.net esmtpa (Exim 4.67) (kirjekuori-alkamispäivä) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400mutta et voi oikeasti luottaa tähän, sillä huijaaja voi vain lisätä sen jälkiä ja / tailaittaa väärän polun. Tietenkin palvelimelle on edelleen mahdollista
209.86.89.64on viaton ja toimii vain välittäjänä todellisen hyökkääjän kohdalla168.62.170.129, mutta sitten releen katsotaan usein olevan syyllinen ja se on usein mustalla listalla. Tässä tapauksessa,168.62.170.129on puhdas, joten voimme olla melkein varma siitä, että hyökkäys on tehty209.86.89.64.Ja tietenkin, koska tiedämme, että Alice käyttää Yahoo! ja
elasmtp-curtail.atl.sa.earthlink.netei ole Yahoo! verkko (voit halutessasi tarkistaa sen IP Whois -tiedot uudelleen), voimme turvallisesti päätellä, että tämä sähköposti ei ollut Alicesta, eikä meidän pitäisi lähettää hänelle mitään rahaa Filippiineillä olevalle lomalleen.
Kaksi muuta osallistujaa, Ex Umbris ja Vijay, suosittelivat vastaavasti seuraavia palveluja sähköpostiosoitteiden koodauksen estämiseen: SpamCop ja Googlen Header Analysis -työkalu.
Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.
