Само защото имейлът се показва в пощенската кутия с надпис "[email protected]", това не означава, че Бил всъщност има нещо общо с него. Прочетете, докато проучваме как да се вкопчим и да видим откъде идва подозрителният имейл.
Днешната сесия за въпроси и отговори се отнася до нас с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединяване на уеб сайтове с въпроси и отговори.
Въпроса
Четецът на SuperUser Sirwan иска да знае как да разбере откъде идват имейлите:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Нека да разгледаме тези заглавки на имейли.
Отговорите
Contributor на SuperUser Tomas предлага много подробен и проницателен отговор:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
След това се отваря пълният имейл и заглавията му:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Заглавията трябва да се четат хронологично отдолу нагоре - най-старите са на дъното. Всеки нов сървър по пътя ще добави собствено послание - като се започне от
Received
Например:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Това казва това
mx.google.com
е получил пощата от
maxipes.logix.cz
при
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Сега, за да намеритереален изпращач на имейла, целта ви е да намерите последния надежден шлюз - последно, когато четете заглавията отгоре, т.е. първо в хронологичен ред. Нека започнем, като намерим пощенския сървър на Бил. За това заявявате MX запис за домейна. Можете да използвате някои онлайн инструменти, или на Linux можете да го заявите на командния ред (обърнете внимание на истинското име на домейн е променено на
Следователно последното (първо хронологично) доверено "хоп" - или последното, в което се вярва "Получен запис" или каквото го наричате, е това:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Можете да се доверите на това, защото това е било записано от пощенския сървър на Бил за
domain.com
Този сървър го получи
209.86.89.64
Това може да бъде и много често е истинският подател на електронната поща - в този случай измамникът! Можете да проверите този IP в черен списък. - Виж, той е включен в 3 черни списъци! Има още един запис под него:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
но всъщност не можеш да вярваш на това, защото това може просто да бъде добавено от измамника, за да изтрие следите му и / илипогрешна пътека, Разбира се, все още има вероятност сървърът
209.86.89.64
е невинен и действа само като реле за истинския нападател в
168.62.170.129
но след това релето често се смята за виновно и често е в черния списък. В такъв случай,
168.62.170.129
е чист, за да можем да сме почти сигурни, че нападението е било направено
209.86.89.64
И разбира се, както знаем, че Алис използва Yahoo! и
elasmtp-curtail.atl.sa.earthlink.net
не е на Yahoo! (може би искате да проверите повторно своята информация за IP Whois), можем сигурно да заключим, че този имейл не е от "Алис" и че не бива да й изпращаме никакви пари за претендираната си почивка във Филипините.
Други двама сътрудници, Ex Umbris и Vijay, препоръчаха следните услуги за подпомагане на декодирането на заглавията на имейли: SpamCop и Google Header Analysis Tool.
Имате ли нещо, което да добавите към обяснението? Звучи в коментарите. Искате ли да прочетете повече отговори от други потребители на Stack Exchange? Вижте цялата тема на дискусията тук.
Днешната сесия за въпроси и отговори ни дойде с любезното съдействие на SuperUser - подразделение на Stack Exchange, обединено от общността на уеб сайтове за Q & A.
Вече може да сте чули много новини за доставчиците на интернет услуги (ISP), които проследяват историята на сърфирането и продават всичките ви данни. Какво означава това и как най-добре да се защитите?
Докато GPS маркираните снимки са полезни, защото винаги знаете къде сте направили снимка, данните за местоположението, вградени в снимките, имат неприятни последици за неприкосновеността на личния живот и сигурността. Трябва ли да се притеснявате за риска хората да ви проследяват чрез снимките, които публикувате онлайн?
Това е едно нещо, за да инсталирате приложение, което искате, това е друго нещо, когато приложение не само завършва на компютъра ви, но непрекъснато се появява и ви дразни. Прочетете по-нататък, докато помагаме на един колега читател да стигне до дъното на неговата тайна и да го забрани в процеса.
