Як дізнатися, звідки вийшла електронна пошта?

Тільки тому, що електронна пошта з'являється у папці "Вхідні" з позначкою [email protected], це не означає, що Білл дійсно має щось пов'язане з нею. Прочитайте далі, як ми досліджуємо, як копатися і бачити, звідки підозріла електронна пошта.

Сьогоднішня сесія запитань та відповідей приходить до нас люб'язно від SuperUser - підрозділу Stack Exchange, групування спільноти веб-сайтів з запитань та відповідей.

Питання

Читач SuperUser Sirwan хоче знати, як з'ясувати, звідки насправді посилаються електронні листи:

Як я можу знати, звідки дійсно з'явилася електронна пошта?
Чи є спосіб знайти це?
Я чув про заголовки електронної пошти, але не знаю, де можна побачити заголовки електронної пошти, наприклад, у Gmail.

Давайте поглянемо на ці заголовки електронної пошти.

Відповіді

Співробітник SuperUser Tomas пропонує дуже детальний та глибокий відгук:

Подивіться приклад афери, який був надісланий мені, роблячи вигляд, що він від мого друга, стверджуючи, що вона була пограбована і просить мене про фінансову допомогу. Я змінив імена - припустимо, що я - Білль, шахрайство надіслав електронний лист [email protected], роблячи вигляд, що він є [email protected]. Зверніть увагу, що Білл має намір [email protected].

По-перше, у Gmail використовуйте показати оригінал:

Потім відкриється повна адреса електронної пошти та її заголовки:

Доставлено-To: [email protected] Отримано: 10.64.21.33 з ідентифікатором SMTP s1csp177937iee; Пн, 8 липня 2013 04:11:00 -0700 (PDT) X-Received: на 10.14.47.73 з ідентифікатором SMTP s49mr24756966eeb.71.1373281860071; Пн, 08 Липня 2013 04:11:00 -0700 (PDT) Повернення: Отримано: від maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) на mx.google.com з ідентифікатором ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 для (версія = TLSv1 cipher = RC4-SHA біт = 128/128); Пн, 08 Липня 2013 04:11:00 -0700 (PDT) Отриманий-SPF: нейтральний (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не дозволений, ні не заперечений записом найкращих припущень для домен [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Результати аутентифікації: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не дозволено, ані не заперечується записом доменів для [email protected]) ) [email protected] Отримано: maxipes.logix.cz (Postfix, з userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: відкладено 00:06:34 від SQLgrey-1.8.0-rc1 Отримано: від elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) на maxipes.logix.cz (Postfix) з ідентифікатором ESMTP B43175D3A44 для; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Отримано: від [168.62.170.129] (helo = laurence39) на elasmtp-curtail.atl.sa.earthlink.net з esmtpa (Exim 4.67) (конверт-з ) id 1Uw98w-0006KI-6y для [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: "Аліса" Тема: Страшна подорож… Прохання відповісти як можна швидше: [email protected] Content-Type: multipart / alternative; межа = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Дата: Понеділок, 8 липня 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Я вирізав тіло листа ...] 

Заголовки читаються хронологічно знизу вгору - найстаріші знаходяться внизу. Кожен новий сервер на шляху додасть своє повідомлення - починаючи з Отримано. Наприклад:

Отримано: від maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) на mx.google.com з ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 для (версія = TLSv1 шифр = біти RC4-SHA = 128/128); Пн, 08 липня 2013 р. 04:11:00 -0700 (PDT) 

Це говорить про це mx.google.com отримав пошту від maxipes.logix.cz в Пн, 08 липня 2013 р. 04:11:00 -0700 (PDT).

Тепер, щоб знайти реальний відправнику вашої електронної пошти, ваша мета - знайти останній надійний шлюз - останній при читанні заголовків зверху, тобто спочатку в хронологічному порядку. Почнемо з пошуку поштового сервера Білла. Для цього ви запитуєте запис MX для домену. Ви можете скористатися деякими онлайн-інструментами, або на Linux ви можете запитувати його в командному рядку (зверніть увагу, що реальне доменне ім'я було змінено на domain.com):

~ $ host -t MX домен.com домен.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

Таким чином, ви бачите поштовий сервер для domain.com maxipes.logix.cz або broucek.logix.cz. Таким чином, останній (перший хронологічно) довірений "хоп" - або останній довірений "отриманий запис", або як ви його називаєте - це:

Отримано: від elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) на maxipes.logix.cz (Postfix) з ідентифікатором ESMTP B43175D3A44 для; Пн, 8 липня 2013 р. 23:10:48 +1200 (NZST) 

Ви можете довіряти цьому, оскільки це було записано поштовим сервером Білла для domain.com. Цей сервер отримав його від 209.86.89.64. Це може бути, і дуже часто, справжній відправник електронної пошти - в даному випадку це шахрай! Ви можете перевірити цей IP-адрес у чорному списку. - Дивись, він перерахований в 3 чорних списку! Під ним є ще один запис:

Отримано: від [168.62.170.129] (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net з esmtpa (Exim 4.67) (конверт-з) id 1Uw98w-0006KI-6y для [email protected]; Пн, 08 липня 2013 в 06:58:06 -0400 

але ви не можете насправді довіряти цьому, тому що це може бути просто додано шахраєм, щоб стерти його сліди та / або закласти помилковий слід. Звичайно ще є можливість, що сервер 209.86.89.64 невинний і виступав лише як естафета реального зловмисника 168.62.170.129, але тоді естафету часто вважають винною і дуже часто в чорному списку. В цьому випадку, 168.62.170.129 чистий, тому ми можемо бути майже впевнені, що атака зроблена 209.86.89.64.

І, звичайно, як відомо, Аліса використовує Yahoo! і elasmtp-curtail.atl.sa.earthlink.netне на сайті Yahoo! мережі (ви можете повторно перевірити інформацію про IP Whois), ми можемо з упевненістю зробити висновок, що це повідомлення не було від Аліси, і що ми не повинні надсилати їй жодних грошей на її заявлену відпустку на Філіппінах.

Два інших учасника, Ex Umbris і Vijay, рекомендували, відповідно, наступні послуги для надання допомоги в розшифровці заголовків електронної пошти: SpamCop і інструмент Google Header Analysis.

Маєте щось додати до пояснення? Звучить в коментарях. Хочете прочитати більше відповідей від інших технологічних користувачів Stack Exchange? Перегляньте повний потік обговорення тут.