ฉันจะทราบได้อย่างไรว่าอีเมลมาจากที่ใดจริงๆ

เพียงเพราะอีเมลปรากฏขึ้นในกล่องจดหมายของคุณที่มีชื่อว่า [email protected] ไม่ได้หมายความว่าบิลนั้นมีส่วนเกี่ยวข้องกับเรื่องนั้นจริงๆ อ่านต่อในขณะที่เราสำรวจวิธีขุดและดูว่าอีเมลที่น่าสงสัยมาจากไหน.

เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser ซึ่งเป็นแผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มไดรฟ์ชุมชนของเว็บไซต์ถาม - ตอบ.

คำถาม

ผู้อ่าน SuperUser Sirwan ต้องการทราบวิธีการค้นหาว่าอีเมลนั้นมาจากที่ใด:

ฉันจะรู้ได้อย่างไรว่าอีเมลมาจากไหนจริงๆ?
มีวิธีใดที่จะค้นพบมัน?
ฉันเคยได้ยินเกี่ยวกับส่วนหัวของอีเมล แต่ฉันไม่รู้ว่าฉันสามารถดูส่วนหัวของอีเมลได้จากที่ไหนใน Gmail.

ลองดูที่ส่วนหัวอีเมลเหล่านี้.

คำตอบ

Tomas ผู้สนับสนุน SuperUser เสนอการตอบสนองที่ละเอียดและลึกซึ้ง:

ดูตัวอย่างของการหลอกลวงที่ถูกส่งมาให้ฉันแกล้งทำเป็นว่ามาจากเพื่อนของฉันโดยอ้างว่าเธอถูกปล้นและขอความช่วยเหลือทางการเงินจากฉัน ฉันได้เปลี่ยนชื่อ - สมมติว่าฉันคือ Bill นักต้มตุ๋นได้ส่งอีเมลถึง [email protected], แกล้งทำเป็นว่าเขาเป็น [email protected]. โปรดทราบว่าบิลได้ส่งต่อไป [email protected].

ก่อนอื่นใน Gmail ให้ใช้ แสดงต้นฉบับ:

จากนั้นอีเมลแบบเต็มและส่วนหัวจะเปิดขึ้น:

ส่งถึง: [email protected] ได้รับแล้ว: โดย 10.64.21.33 ด้วย SMTP id s1csp177937iee; จ., 8 ก.ค. 2013, 04:11:00 น. -0700 (PDT) X- ได้รับแล้ว: โดย 10.14.47.73 ด้วย SMTP id s49mr24756966eeb.71.1373281860071; จ., 08 ก.ค. 2013, 04:11:00 -0700 (PDT) เส้นทางกลับ: ได้รับ: จาก maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) โดย mx.google.com พร้อม ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 สำหรับ (version = TLSv1 cipher = บิต RC4-SHA = 128/128); จันทร์, 08 ก.ค. 2013, 04:11:00 -0700 (PDT) รับแล้ว: SPF: เป็นกลาง (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ไม่ได้รับอนุญาตหรือปฏิเสธโดยบันทึกคาดเดาที่ดีที่สุดสำหรับ โดเมนของ [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; ผลการตรวจสอบสิทธิ์: mx.google.com spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ไม่ได้รับอนุญาตหรือปฏิเสธโดยบันทึกเดาที่ดีที่สุดสำหรับโดเมนของ [email protected] ) [email protected] ที่ได้รับ: โดย maxipes.logix.cz (Postfix จาก userid 604) id C923E5D3A45; จ., 8 ก.ค. 2556 23:10:50 +1200 (NZST) X- ต้นฉบับ -to: [email protected] X-Greylist: ล่าช้า 00:06:34 โดย SQLgrey-1.8.0-rc1 ที่ได้รับ: จาก elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) โดย maxipes.logix.cz (Postfix) ด้วย ESMTP id B43175D3A44 สำหรับ; วันจันทร์ที่ 8 กรกฎาคม 2013 เวลา 23:10:48 +1200 (NZST) ได้รับ: จาก [168.62.170.129] (helo = laurence39) โดย elasmtp-curtail.atl.sa.earthlink.net พร้อม esmtpa (Exim 4.67) ) id 1Uw98w-0006KI-6y สำหรับ [email protected]; จ., 08 ก.ค. 2556 06:58:06 -0400 จาก: "อลิซ" หัวเรื่อง: ปัญหาการเดินทางที่ย่ำแย่ ... กรุณาตอบกลับโดยเร็วไปที่: [email protected] ประเภทเนื้อหา: มัลติพาร์ต / ทางเลือก; ขอบเขต = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-เวอร์ชัน: 1.0 ตอบกลับ: [email protected] วันที่: Mon, 8 กรกฎาคม 2013 10:58:06 0000 ID ข้อความ: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 […ฉันตัดส่วนของอีเมล…] 

ส่วนหัวจะต้องอ่านตามลำดับเวลาจากล่างขึ้นบน - เก่าที่สุดอยู่ที่ด้านล่าง เซิร์ฟเวอร์ใหม่ทุกตัวทางจะเพิ่มข้อความของตัวเอง - เริ่มต้นด้วย ที่ได้รับ. ตัวอย่างเช่น:

ได้รับ: จาก maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) โดย mx.google.com พร้อม ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.10.10 59 สำหรับ (version = TLSv1 cipher = RC4-SHA bits = 128/128); จ., 08 ก.ค. 2556 04:11:00 น. -0700 (PDT) 

สิ่งนี้บอกว่า mx.google.com ได้รับจดหมายจาก maxipes.logix.cz ที่ จ., 08 ก.ค. 2556 04:11:00 น. -0700 (PDT).

ตอนนี้เพื่อหา จริง ผู้ส่งอีเมลของคุณเป้าหมายของคุณคือค้นหาเกตเวย์ที่เชื่อถือได้ล่าสุด - ล่าสุดเมื่ออ่านส่วนหัวจากด้านบนคืออันดับแรกตามลำดับเวลา เริ่มต้นด้วยการค้นหาเซิร์ฟเวอร์อีเมลของ Bill สำหรับสิ่งนี้คุณค้นหาระเบียน MX สำหรับโดเมน คุณสามารถใช้เครื่องมือออนไลน์บางอย่างหรือบน Linux คุณสามารถค้นหาได้ในบรรทัดคำสั่ง (หมายเหตุชื่อโดเมนจริงถูกเปลี่ยนเป็น domain.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

ดังนั้นคุณจะเห็นเซิร์ฟเวอร์อีเมลสำหรับ domain.com คือ maxipes.logix.cz หรือ broucek.logix.cz. ดังนั้นลำดับสุดท้าย (ลำดับแรก) ที่เชื่อถือได้“ ฮอป” - หรือเชื่อถือได้ล่าสุด“ บันทึกที่ได้รับ” หรืออะไรก็ตามที่คุณเรียกมันว่า - นี่คือ:

ได้รับ: จาก elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) โดย maxipes.logix.cz (Postfix) ด้วย ESMTP id B43175D3A44 สำหรับ; จ., 8 ก.ค. 2556 23:10:48 +1200 (NZST) 

คุณสามารถเชื่อถือได้เพราะสิ่งนี้ถูกบันทึกโดยเซิร์ฟเวอร์อีเมลของ Bill domain.com. เซิร์ฟเวอร์นี้ได้รับมาจาก 209.86.89.64. อาจเป็นได้และบ่อยครั้งก็คือผู้ส่งอีเมลที่แท้จริง - ในกรณีนี้คือนักต้มตุ๋น! คุณสามารถตรวจสอบ IP นี้ในบัญชีดำ - ดูเขามีรายชื่ออยู่ใน 3 บัญชีดำ! ยังมีอีกบันทึกอยู่ด้านล่าง:

ได้รับ: จาก [168.62.170.129] (helo = laurence39) โดย elasmtp-curtail.atl.sa.earthlink.net ด้วย esmtpa (Exim 4.67) (ซอง - จาก) id 1Uw98w-0006KI-6y สำหรับ [email protected] จ., 08 ก.ค. 2556 06:58:06 -0400 

แต่คุณไม่สามารถเชื่อใจในสิ่งนี้ได้เพราะนักต้มตุ๋นสามารถเพิ่มร่องรอยและ / หรือร่องรอยของเขาได้ วางเส้นทางเท็จ. แน่นอนว่ายังมีความเป็นไปได้ที่เซิร์ฟเวอร์นั้น 209.86.89.64 ไร้เดียงสาและทำหน้าที่เป็นเพียงการถ่ายทอดให้กับผู้โจมตีที่แท้จริงที่ 168.62.170.129, แต่แล้วการถ่ายทอดนั้นมักจะถูกพิจารณาว่ามีความผิดและถูกขึ้นบัญชีดำบ่อยมาก ในกรณีนี้, 168.62.170.129 สะอาดแล้วเราเกือบจะแน่ใจได้ว่าการโจมตีนั้นเสร็จสิ้นแล้ว 209.86.89.64.

และแน่นอนเรารู้ว่าอลิซใช้ Yahoo! และ elasmtp-curtail.atl.sa.earthlink.netไม่ได้อยู่ใน Yahoo! เครือข่าย (คุณอาจต้องการตรวจสอบข้อมูล IP Whois อีกครั้ง) เราอาจสรุปได้อย่างปลอดภัยว่าอีเมลนี้ไม่ได้มาจากอลิซและเราไม่ควรส่งเงินให้เธอในช่วงวันหยุดที่ฟิลิปปินส์ในฟิลิปปินส์.

ผู้ให้การสนับสนุนอีกสองรายคือ Ex Umbris และ Vijay แนะนำให้บริการตามลำดับต่อไปนี้เพื่อช่วยในการถอดรหัสส่วนหัวของอีเมล: SpamCop และเครื่องมือวิเคราะห์ส่วนหัวของ Google.

มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.