Bare fordi en e-post dukker opp i innboksen din, merket [email protected], betyr ikke at Bill faktisk hadde noe å gjøre med det. Les videre når vi undersøker hvordan du graver inn og ser hvor en mistenkelig e-post faktisk kom fra.
Dagens Spørsmål & Svar-sesjon kommer til oss med høflighet av SuperUser-en underavdeling av Stack Exchange, en community-drive-gruppering av Q & A-nettsteder.
Spørsmålet
SuperUser-leser Sirwan vil vite hvordan du finner ut hvor e-post faktisk kommer fra:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
La oss ta en titt på disse e-posthodene.
Svarene
SuperUser-bidragsyter Tomas tilbyr et svært detaljert og innsiktsfullt svar:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
Deretter åpnes hele eposten og overskriftene:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Overskriftene skal leses kronologisk fra bunn til topp - eldste er nederst. Hver ny server underveis vil legge til sin egen melding - begynner med
Received
. For eksempel:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Dette sier det
mx.google.com
har mottatt posten fra
maxipes.logix.cz
på
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Nå, for å finneekte avsender av e-posten din, målet ditt er å finne den siste pålitelige gatewayen - sist når du leser topptekstene fra toppen, dvs. først i kronologisk rekkefølge. La oss starte med å finne Bill's mail server. For dette spør du MX-posten for domenet. Du kan bruke noen elektroniske verktøy, eller på Linux kan du spørre det på kommandolinjen (merk at det virkelige domenenavnet ble endret til
. Derfor er den siste (først kronologisk) klarerte "hop" - eller sist betrodd "Mottatt post" eller hva du kalle det - er dette:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Du kan stole på dette fordi dette ble registrert av Bills postserver for
domain.com
. Denne serveren fikk den fra
209.86.89.64
. Dette kan være, og veldig ofte er den ekte avsenderen av e-posten - i dette tilfellet svindleren! Du kan sjekke denne IP-en på en svarteliste. - Se, han er oppført i 3 svartelister! Det er enda en plate under det:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
men du kan faktisk ikke stole på dette, fordi det bare kunne legges til av svindleren for å tørke ut sporene sine og / ellerlegg en falsk sti. Selvfølgelig er det fortsatt muligheten for at serveren
209.86.89.64
er uskyldig og handlet bare som et relé for den virkelige angriperen på
168.62.170.129
men reléet anses ofte å være skyldig og er ofte svartelistet. I dette tilfellet,
168.62.170.129
er ren, så vi kan være nesten sikre på at angrepet ble gjort fra
209.86.89.64
Og selvfølgelig, som vi vet at Alice bruker Yahoo! og
elasmtp-curtail.atl.sa.earthlink.net
er ikke på Yahoo! nettverk (du vil kanskje sjekke dens IP Whois informasjon), kan vi sikkert konkludere med at denne e-posten ikke var fra Alice, og at vi ikke skulle sende henne noen penger til hennes hevdet ferie på Filippinene.
To andre bidragsytere, Ex Umbris og Vijay, anbefalte henholdsvis følgende tjenester for å hjelpe til med dekoding av e-posthodede: SpamCop og Googles headeranalyseverktøy.
Har du noe å legge til forklaringen? Lyde av i kommentarene. Vil du lese flere svar fra andre tech-savvy Stack Exchange-brukere? Sjekk ut hele diskusjonstråden her.
Du har kanskje hørt mange nyheter nylig om Internett-tjenesteleverandører (ISPer) som sporer nettleserloggen og selger alle dataene dine. Hva betyr dette, og hvordan kan du best beskytte deg selv?
Mens GPS-merkede bilder er nyttige for alltid å vite hvor du tok et bilde, har plasseringsdata innebygd i bilder forstyrrende personvern og sikkerhetsimplikasjoner. Skulle du være bekymret for risikoen for at folk sporer deg ned via bilder du legger ut på nettet?
Det er en ting å installere et program du vil ha, det er en annen ting når et program ikke bare ender opp på datamaskinen din, men stadig popper opp og irriterer deg. Les videre når vi hjelper en medleser til å komme til bunnen av hans popup-mysterium og forvise det i prosessen.
Hvis du er skuffet over at mange av de "multiplayer" -spillene du har plukket på det siste, er enten multiplayer på grunn av lame-minispill innhold eller krever online-spill, les videre da vi hjelper en andre HTG-leser å finne den sofabaserte multiplayer innhold han krever.
