Как я могу узнать, откуда на самом деле пришло письмо? Есть ли способ узнать это?
Я слышал о заголовках писем, но не знаю, где я могу увидеть заголовки писем, например, в Gmail. Любая помощь?
102
5 ответов
143
Ниже приведен пример мошенничества, которое мне прислали, притворяясь, что оно от моего друга, утверждая, что ее обокрали, и прося у меня финансовой помощи. Я изменил имена - я «Билл», и мошенник отправил электронное письмо на адрес bill@domain.com , притворяясь alice@yahoo.com . Обратите внимание, что Билл пересылает свою электронную почту на bill@gmail.com .
Сначала в Gmail нажмите « show original:
Откроется полное письмо и его заголовки:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Заголовки должны читаться в хронологическом порядке снизу вверх - самые старые находятся внизу. Каждый новый сервер в пути добавляет свое собственное сообщение - начиная с Received . Например:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Это говорит о том, что mx.google.com получил письмо от maxipes.logix.cz в Mon, 08 Jul 2013 04:11:00 -0700 (PDT) .
Теперь, чтобы найти реального отправителя вашей электронной почты, вы должны найти самый ранний доверенный шлюз - последний при чтении заголовков сверху. Начнем с поиска почтового сервера Билла. Для этого запросите запись MX для домена. Вы можете использовать онлайн-инструменты, такие как Mx Toolbox, или в Linux вы можете запросить его в командной строке (обратите внимание, что реальное имя домена было изменено на domain.com):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
И вы увидите, что почтовый сервер для domain.com это maxipes.logix.cz или broucek.logix.cz . Следовательно, последний (первый в хронологическом порядке) доверенный "прыжок" - или последняя доверенная "полученная запись" или как вы там ее называете - вот этот:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Вы можете доверять этому, потому что это было записано почтовым сервером Билла для domain.com . Этот сервер получил его с 209.86.89.64 . Это может быть и очень часто является реальным отправителем письма - в данном случае мошенником! Вы можете проверить этот IP в черном списке . - Видите ли, он указан в 3 черных списках! Под ним есть еще одна запись:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Но будьте осторожны, полагая, что это реальный источник электронного письма. Мошенник может просто добавить жалобу в черный список, чтобы стереть его следы и / или проложить фальшивый след. По-прежнему существует вероятность того, что сервер 209.86.89.64 невиновен и является просто ретранслятором для настоящего злоумышленника в 168.62.170.129 . В этом случае 168.62.170.129 чист, поэтому мы можем быть почти уверены, что атака была совершена с 209.86.89.64 .
Еще один момент, который нужно иметь в виду, это то, что Алиса использует Yahoo! (alice@yahoo.com) и elasmtp-curtail.atl.sa.earthlink.net нет в Yahoo! сеть (вы можете захотеть перепроверить информацию об IP-адресах Whois). Поэтому мы можем с уверенностью заключить, что это письмо не от Алисы, и нам не следует отправлять ее деньги на Филиппины.
10
Чтобы найти IP-адрес:
Нажмите на перевернутый треугольник рядом с Ответить. Выберите Показать оригинал.
Найдите « Received: from затем IP-адрес в квадратных скобках []. (пример: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Если вы найдете более одного полученного: из шаблонов, выберите последний.
(Источник)
После этого вы можете использовать сайт pythonclub, iplocation.net или ip lookup, чтобы узнать местоположение.
6
Как вы попадаете в заголовки, зависит от почтовых клиентов. Многие клиенты позволят вам легко увидеть исходный формат сообщения. Другие (MicroSoft Outlook) усложняют задачу.
Чтобы определить, кто действительно отправил сообщение, полезен обратный путь. Однако это может быть подделано. Адрес обратного пути, который не совпадает с адресом От, является причиной для подозрения. Существуют законные причины их отличия, такие как сообщения, пересылаемые из списков рассылки, или ссылки, отправляемые с веб-сайтов. (Было бы лучше, если бы веб-сайт использовал адрес для ответа для идентификации лица, пересылающего ссылку.)
Чтобы определить источник сообщения прочитайте сверху вниз через полученные заголовки. Там может быть несколько. У большинства будет IP-адрес сервера, на который они получили форму сообщения. Некоторые проблемы, с которыми вы столкнетесь:
- Некоторые сайты используют внешнюю программу для сканирования сообщений, которые повторно отправляют сообщение после сканирования. Они могут вводить localhost или другие странные адреса.
- Некоторые серверы запутывают адреса, пропуская контент.
- Некоторые СПАМы будут содержать поддельные заголовки, предназначенные для введения вас в заблуждение.
- Частный (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16) IP-адрес может отображаться, но имеет смысл только в той сети, откуда он пришел.
Вы всегда должны быть в состоянии определить, какой сервер в Интернете отправил вам сообщение. Отслеживание далее зависит от конфигурации отправляющих серверов.
1
Я использую http://whatismyipaddress.com/trace-email. Если вы используете Gmail, нажмите «Показать оригинал» (в разделе «Дополнительно» рядом с кнопкой «Ответить») скопируйте заголовки, вставьте их на этот веб-сайт и нажмите «Получить источник». Вы получите информацию о географическом местоположении и карту взамен
0
также есть несколько инструментов для анализа заголовков электронной почты и извлечения данных электронной почты для вас,
например :
-
который может отследить электронную почту до ее географического местоположения, включая спам-фильтр
MSGTAG
PoliteMail
Программное обеспечение Super Email Marketing
Zendio