ฉันจะทราบได้อย่างไรว่าอีเมลมาจากที่ใดจริงๆ
เพียงเพราะอีเมลปรากฏขึ้นในกล่องจดหมายของคุณที่มีชื่อว่า [email protected] ไม่ได้หมายความว่าบิลนั้นมีส่วนเกี่ยวข้องกับเรื่องนั้นจริงๆ อ่านต่อในขณะที่เราสำรวจวิธีขุดและดูว่าอีเมลที่น่าสงสัยมาจากไหน.
เซสชั่นคำถามและคำตอบในวันนี้มาถึงเราด้วยความอนุเคราะห์จาก SuperUser ซึ่งเป็นแผนกย่อยของ Exchange Exchange ซึ่งเป็นกลุ่มไดรฟ์ชุมชนของเว็บไซต์ถาม - ตอบ.
คำถาม
ผู้อ่าน SuperUser Sirwan ต้องการทราบวิธีการค้นหาว่าอีเมลนั้นมาจากที่ใด:
ฉันจะรู้ได้อย่างไรว่าอีเมลมาจากไหนจริงๆ?
มีวิธีใดที่จะค้นพบมัน?
ฉันเคยได้ยินเกี่ยวกับส่วนหัวของอีเมล แต่ฉันไม่รู้ว่าฉันสามารถดูส่วนหัวของอีเมลได้จากที่ไหนใน Gmail.
ลองดูที่ส่วนหัวอีเมลเหล่านี้.
คำตอบ
Tomas ผู้สนับสนุน SuperUser เสนอการตอบสนองที่ละเอียดและลึกซึ้ง:
ดูตัวอย่างของการหลอกลวงที่ถูกส่งมาให้ฉันแกล้งทำเป็นว่ามาจากเพื่อนของฉันโดยอ้างว่าเธอถูกปล้นและขอความช่วยเหลือทางการเงินจากฉัน ฉันได้เปลี่ยนชื่อ - สมมติว่าฉันคือ Bill นักต้มตุ๋นได้ส่งอีเมลถึง
[email protected]
, แกล้งทำเป็นว่าเขาเป็น[email protected]
. โปรดทราบว่าบิลได้ส่งต่อไป[email protected]
.ก่อนอื่นใน Gmail ให้ใช้
แสดงต้นฉบับ
:จากนั้นอีเมลแบบเต็มและส่วนหัวจะเปิดขึ้น:
ส่งถึง: [email protected] ได้รับแล้ว: โดย 10.64.21.33 ด้วย SMTP id s1csp177937iee; จ., 8 ก.ค. 2013, 04:11:00 น. -0700 (PDT) X- ได้รับแล้ว: โดย 10.14.47.73 ด้วย SMTP id s49mr24756966eeb.71.1373281860071; จ., 08 ก.ค. 2013, 04:11:00 -0700 (PDT) เส้นทางกลับ: ได้รับ: จาก maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) โดย mx.google.com พร้อม ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 สำหรับ (version = TLSv1 cipher = บิต RC4-SHA = 128/128); จันทร์, 08 ก.ค. 2013, 04:11:00 -0700 (PDT) รับแล้ว: SPF: เป็นกลาง (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ไม่ได้รับอนุญาตหรือปฏิเสธโดยบันทึกคาดเดาที่ดีที่สุดสำหรับ โดเมนของ [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; ผลการตรวจสอบสิทธิ์: mx.google.com spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ไม่ได้รับอนุญาตหรือปฏิเสธโดยบันทึกเดาที่ดีที่สุดสำหรับโดเมนของ [email protected] ) [email protected] ที่ได้รับ: โดย maxipes.logix.cz (Postfix จาก userid 604) id C923E5D3A45; จ., 8 ก.ค. 2556 23:10:50 +1200 (NZST) X- ต้นฉบับ -to: [email protected] X-Greylist: ล่าช้า 00:06:34 โดย SQLgrey-1.8.0-rc1 ที่ได้รับ: จาก elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) โดย maxipes.logix.cz (Postfix) ด้วย ESMTP id B43175D3A44 สำหรับ; วันจันทร์ที่ 8 กรกฎาคม 2013 เวลา 23:10:48 +1200 (NZST) ได้รับ: จาก [168.62.170.129] (helo = laurence39) โดย elasmtp-curtail.atl.sa.earthlink.net พร้อม esmtpa (Exim 4.67) ) id 1Uw98w-0006KI-6y สำหรับ [email protected]; จ., 08 ก.ค. 2556 06:58:06 -0400 จาก: "อลิซ" หัวเรื่อง: ปัญหาการเดินทางที่ย่ำแย่ ... กรุณาตอบกลับโดยเร็วไปที่: [email protected] ประเภทเนื้อหา: มัลติพาร์ต / ทางเลือก; ขอบเขต = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-เวอร์ชัน: 1.0 ตอบกลับ: [email protected] วันที่: Mon, 8 กรกฎาคม 2013 10:58:06 0000 ID ข้อความ: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 […ฉันตัดส่วนของอีเมล…]
ส่วนหัวจะต้องอ่านตามลำดับเวลาจากล่างขึ้นบน - เก่าที่สุดอยู่ที่ด้านล่าง เซิร์ฟเวอร์ใหม่ทุกตัวทางจะเพิ่มข้อความของตัวเอง - เริ่มต้นด้วย
ที่ได้รับ
. ตัวอย่างเช่น:ได้รับ: จาก maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) โดย mx.google.com พร้อม ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.10.10 59 สำหรับ (version = TLSv1 cipher = RC4-SHA bits = 128/128); จ., 08 ก.ค. 2556 04:11:00 น. -0700 (PDT)
สิ่งนี้บอกว่า
mx.google.com
ได้รับจดหมายจากmaxipes.logix.cz
ที่จ., 08 ก.ค. 2556 04:11:00 น. -0700 (PDT)
.ตอนนี้เพื่อหา จริง ผู้ส่งอีเมลของคุณเป้าหมายของคุณคือค้นหาเกตเวย์ที่เชื่อถือได้ล่าสุด - ล่าสุดเมื่ออ่านส่วนหัวจากด้านบนคืออันดับแรกตามลำดับเวลา เริ่มต้นด้วยการค้นหาเซิร์ฟเวอร์อีเมลของ Bill สำหรับสิ่งนี้คุณค้นหาระเบียน MX สำหรับโดเมน คุณสามารถใช้เครื่องมือออนไลน์บางอย่างหรือบน Linux คุณสามารถค้นหาได้ในบรรทัดคำสั่ง (หมายเหตุชื่อโดเมนจริงถูกเปลี่ยนเป็น
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
ดังนั้นคุณจะเห็นเซิร์ฟเวอร์อีเมลสำหรับ domain.com คือ
maxipes.logix.cz
หรือbroucek.logix.cz
. ดังนั้นลำดับสุดท้าย (ลำดับแรก) ที่เชื่อถือได้“ ฮอป” - หรือเชื่อถือได้ล่าสุด“ บันทึกที่ได้รับ” หรืออะไรก็ตามที่คุณเรียกมันว่า - นี่คือ:ได้รับ: จาก elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) โดย maxipes.logix.cz (Postfix) ด้วย ESMTP id B43175D3A44 สำหรับ; จ., 8 ก.ค. 2556 23:10:48 +1200 (NZST)
คุณสามารถเชื่อถือได้เพราะสิ่งนี้ถูกบันทึกโดยเซิร์ฟเวอร์อีเมลของ Bill
domain.com
. เซิร์ฟเวอร์นี้ได้รับมาจาก209.86.89.64
. อาจเป็นได้และบ่อยครั้งก็คือผู้ส่งอีเมลที่แท้จริง - ในกรณีนี้คือนักต้มตุ๋น! คุณสามารถตรวจสอบ IP นี้ในบัญชีดำ - ดูเขามีรายชื่ออยู่ใน 3 บัญชีดำ! ยังมีอีกบันทึกอยู่ด้านล่าง:ได้รับ: จาก [168.62.170.129] (helo = laurence39) โดย elasmtp-curtail.atl.sa.earthlink.net ด้วย esmtpa (Exim 4.67) (ซอง - จาก) id 1Uw98w-0006KI-6y สำหรับ [email protected] จ., 08 ก.ค. 2556 06:58:06 -0400
แต่คุณไม่สามารถเชื่อใจในสิ่งนี้ได้เพราะนักต้มตุ๋นสามารถเพิ่มร่องรอยและ / หรือร่องรอยของเขาได้ วางเส้นทางเท็จ. แน่นอนว่ายังมีความเป็นไปได้ที่เซิร์ฟเวอร์นั้น
209.86.89.64
ไร้เดียงสาและทำหน้าที่เป็นเพียงการถ่ายทอดให้กับผู้โจมตีที่แท้จริงที่168.62.170.129
, แต่แล้วการถ่ายทอดนั้นมักจะถูกพิจารณาว่ามีความผิดและถูกขึ้นบัญชีดำบ่อยมาก ในกรณีนี้,168.62.170.129
สะอาดแล้วเราเกือบจะแน่ใจได้ว่าการโจมตีนั้นเสร็จสิ้นแล้ว209.86.89.64
.และแน่นอนเรารู้ว่าอลิซใช้ Yahoo! และ
elasmtp-curtail.atl.sa.earthlink.net
ไม่ได้อยู่ใน Yahoo! เครือข่าย (คุณอาจต้องการตรวจสอบข้อมูล IP Whois อีกครั้ง) เราอาจสรุปได้อย่างปลอดภัยว่าอีเมลนี้ไม่ได้มาจากอลิซและเราไม่ควรส่งเงินให้เธอในช่วงวันหยุดที่ฟิลิปปินส์ในฟิลิปปินส์.
ผู้ให้การสนับสนุนอีกสองรายคือ Ex Umbris และ Vijay แนะนำให้บริการตามลำดับต่อไปนี้เพื่อช่วยในการถอดรหัสส่วนหัวของอีเมล: SpamCop และเครื่องมือวิเคราะห์ส่วนหัวของ Google.
มีสิ่งที่จะเพิ่มคำอธิบายหรือไม่ ปิดเสียงในความคิดเห็น ต้องการอ่านคำตอบเพิ่มเติมจากผู้ใช้ Stack Exchange คนอื่นหรือไม่ ลองอ่านหัวข้อสนทนาเต็มได้ที่นี่.