Šodienas jautājumu un atbilžu sesija mums priecājas par SuperUser - Stack Exchange dalību, Q & A tīmekļa vietņu kopienas diskusiju grupu.
Jautājums
SuperUser lasītājs Sirwan vēlas uzzināt, kā noskaidrot, kur e-pasta vēstules patiesībā ir:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Apskatīsim šīs e-pasta galvenes.
Atbildes
SuperUser ieguldītājs Tomas piedāvā ļoti detalizētu un izprotamu atbildi:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
izliekoties, ka viņš ir
. Ņemiet vērā, ka Bill ir nosūtījis uz
Pirmkārt, pakalpojumā Gmail izmantojiet
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Galvenes tiek lasītas hronoloģiski no apakšas uz augšu - vecākie ir apakšā. Katrs jauns serveris ceļā pievienos savu ziņojumu - sākot ar
Received
. Piemēram:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Tas saka, ka
mx.google.com
ir saņēmusi pastu no
maxipes.logix.cz
pie
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Tagad, lai atrastureāls Jūsu e-pasta sūtītāja mērķis ir atrast pēdējo uzticamo vārteju - pēdējais, lasot virsrakstus no augšas, t.i., vispirms hronoloģiskā secībā. Sāksim rast Bils pasta serveri. Šim nolūkam jūs vaicājat domēna MX ierakstu. Jūs varat izmantot dažus tiešsaistes rīkus vai Linux, kuru jūs varat pieprasīt pēc komandrindas (ņemiet vērā, ka reālais domēna vārds tika mainīts uz
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Tātad jūs redzat domēna.com pasta serveri
maxipes.logix.cz
vai
broucek.logix.cz
. Tādējādi pēdējais (pirmais hronoloģiski) uzticamais "hop" - vai pēdējais uzticamais "Saņemtais ieraksts" jeb tas, ko jūs to saucat, ir šāds:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Jūs varat uzticēties, jo tas tika reģistrēts Bila pasta serverī
domain.com
. Šis serveris to dabūja
209.86.89.64
. Tas varētu būt un ļoti bieži ir patiesais e-pasta sūtītājs - šajā gadījumā scammer! Šo IP varat pārbaudīt melnajā sarakstā. - Redzi, viņš ir iekļauts 3 melnajos sarakstos! Zem tā ir vēl viens ieraksts:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
bet jūs to faktiski nevarat uzticēties, jo to var vienkārši pievienot scammer, lai noslaucītu viņa pēdas un / vaigulēt viltus taku. Protams, joprojām pastāv iespēja, ka serveris
209.86.89.64
ir nevainīga un darbojas tikai kā reāls uzbrucējs
168.62.170.129
bet tad relejs tiek bieži uzskatīts par vainīgu un ļoti bieži ir iekļauts melnajā sarakstā. Šajā gadījumā,
168.62.170.129
ir tīrs, lai mēs varētu būt gandrīz pārliecināti, ka uzbrukums notika
209.86.89.64
Un, protams, kā mēs zinām, ka Alisa izmanto Yahoo! un
elasmtp-curtail.atl.sa.earthlink.net
nav Yahoo! tīkls (iespējams, vēlēsities vēlreiz pārbaudīt savu IP Whois informāciju), mēs droši varam secināt, ka šis e-pasts nebija no Alises, un ka mums nevajadzētu viņam nosūtīt viņai nekādas naudas viņas atvaļinājumā Filipīnās.
Divas citas personas, Ex Umbris un Vijay, ieteica izmantot šādus pakalpojumus, lai palīdzētu e-pasta galvenes dekodēt: SpamCop un Google galvenes analīzes rīks.
Vai kaut ko pievienot paskaidrojumam? Skatieties komentāros. Vēlaties lasīt citas atbildes no citiem tehnoloģiju savvy Stack Exchange lietotājiem? Šeit skatiet pilnu diskusiju pavedienu.