Samo zato što se e-poruka prikazuje u pristigloj pošti s oznakom [email protected], to ne znači da Bill zapravo ima nikakve veze s njom. Pročitajte kako istražujemo kako iskopati i vidjeti gdje je zapravo došla sumnjiva e-adresa.
Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajedničkom pogonu Q & A web stranica.
Čitač SuperUser Sirwan želi znati kako pronaći odakle potječu e-poruke:
Kako mogu znati odakle je doista došla e-adresa?
Postoji li neki način da saznate?
Čuo sam za zaglavlja e-pošte, ali ne znam gdje mogu vidjeti zaglavlja e-poruka, na primjer u Gmailu.
Pogledajmo ove zaglavlja e-pošte.
SuperUser suradnik Tomas nudi vrlo detaljan i pronicav odgovor:
Pogledajte primjer prijevare koji mi je poslan, pretvarajući se da je moj prijatelj, tvrdeći da je opljačkao i tražio mi financijsku pomoć. Promijenio sam imena - pretpostavimo da sam Bill, švercer je poslao e-mail
[email protected]pretvarajući se da jest[email protected], Napominjemo da je Bill predao[email protected].Prvo, koristite Gmail
prikaži original:
Zatim će se otvoriti puna e-pošta i zaglavlja:
Isporučeno: [email protected] Primljeno: do 10.64.21.33 s SMTP ID s1csp177937iee; Pon, 8 srpnja 2013 04:11:00 -0700 (PDT) X-Primljeno: do 10.14.47.73 s SMTP id s49mr24756966eeb.71.1373281860071; Ponedjeljak, 08 Jul 2013 04:11:00 -0700 (PDT) Povratni put: Primljeno: od maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 za (verzija = TLSv1 šifra = RC4-SHA bita = 128/128); Ponedjeljak, 08 Jul 2013 04:11:00 -0700 (PDT) Primljeno-SPF: neutralno (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nije dopušteno ni odbijeno po najboljim rezultatima za domena [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Rezultati za provjeru autentičnosti: mx.google.com; spf = neutralno (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 nije dopušteno ni odbijeno po najboljoj reklami za domenu [email protected] ) [email protected] Primljeno: po maxipes.logix.cz (Postfix, od korisnika 604) id C923E5D3A45; Ponedjeljak, 8 Jul 2013 23:10:50 +1200 (NZST) X-Izvorno-To: [email protected] X-Greylist: odgođeno 00:06:34 po SQLgrey-1.8.0-rc1 Primljeno: od elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) od strane maxipes.logix.cz (Postfix) s ESMTP idom B43175D3A44 za; Ponedjeljak, 8 Jul 2013 23:10:48 +1200 (NZST) Primljeno: od [168.62.170.129] (helo = laurence39) od strane elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (omotnica-od ) id 1Uw98w-0006KI-6y za [email protected]; Ponedjeljak, 08 Srpnja 2013 06:58:06 -0400 Od: "Alice" Predmet: Strašna putovanja Pitanje ... Ljubazno odgovor ASAP Za: [email protected] Sadržaj-tip: multipart / alternative; Granica = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Odgovor na: [email protected] Datum: pon, 8. srpnja 2013 10:58:06 +0000 ID poruke: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Sjekao sam tijelo e-pošte ...]Zaglavlja treba čitati kronološki odozdo prema gore - najstariji su na dnu. Svaki novi poslužitelj na putu će dodati vlastitu poruku - počevši od
primljen, Na primjer:Primljeno: od maxipes.logix.cz (maxipes.logix.cz [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com s ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 za (verzija = TLSv1 šifra = RC4-SHA bita = 128/128); Pon, 08 Jul 2013 04:11:00 -0700 (PDT)To to govori
mx.google.comje primio poštu od tvrtkemaxipes.logix.cznaPon, 08 Jul 2013 04:11:00 -0700 (PDT).Sada, pronaćistvaran pošiljatelj e-pošte, vaš je cilj pronaći posljednje pouzdano pristupnika - zadnji pri čitanju zaglavlja s vrha, tj. prvo u kronološkom redoslijedu. Počnimo traženjem Billovog poslužitelja pošte. Za to ćete upiti MX zapis za domenu. Možete koristiti neke online alate, ili na Linuxu možete ga upita na naredbeni redak (imajte na umu da je pravi naziv domene promijenjen
domain.com):~ $ domaćin-MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.czZnači vidite poslužitelj e-pošte za domene.com
maxipes.logix.czilibroucek.logix.cz, Dakle, posljednji (prvi kronološki) pouzdani "hop" - ili posljednji pouzdani "primljeni zapis" ili što god to zovete - je ovo:Primljeno: od elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) od maxipes.logix.cz (Postfix) s ESMTP id B43175D3A44 za; Pon, 8 srpnja 2013 23:10:48 +1200 (NZST)Možete se pouzdati jer je to bilježio Billov poslužitelj pošte za
domain.com, Ovaj je poslužitelj dobio209.86.89.64, To bi moglo biti, i vrlo često, pravi pošiljatelj e-pošte - u ovom slučaju skitnica! Možete provjeriti ovu IP na crnoj listi. - Vidi, on je naveden u 3 crne liste! Postoji još jedan zapis ispod njega:Primljeno: od [168.62.170.129] (helo = laurence39) putem elasmtp-curtail.atl.sa.earthlink.net s esmtpa (Exim 4.67) (omotnica-od) id 1Uw98w-0006KI-6y za [email protected]; Pon, 08 srpanj 2013 06:58:06 -0400ali to uopće ne možete imati povjerenja, jer ga je skammer mogao dodati da izbriše tragove i / ilistavi lažnu stazu, Naravno, još uvijek postoji mogućnost da poslužitelj
209.86.89.64nevin je i djelovao samo kao relej za pravi napadač168.62.170.129, no tada se relej često smatra krivim i vrlo često je na crnoj listi. U ovom slučaju,168.62.170.129je čist, tako da možemo biti gotovo sigurni da je napad napravljen209.86.89.64.I, naravno, kao što znamo da Alice koristi Yahoo! i
elasmtp-curtail.atl.sa.earthlink.netnije na Yahoo! mreža (možda želite ponovno provjeriti podatke IP Whois-a), možemo sigurno zaključiti da ova e-poruka nije bila iz Alice, i da joj ne bismo trebali poslati nikakav novac na njezin pohodjeni odmor na Filipinima.
Dva druga suradnika, Ex Umbris i Vijay, preporučuju sljedeće usluge za pomoć pri dekodiranju zaglavlja e-pošte: SpamCop i Googleov alat za analizu zaglavlja.
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.
