Как я могу узнать, откуда на самом деле пришло письмо?


107

Как я могу узнать, откуда на самом деле пришло письмо? Есть ли способ узнать это?

Я слышал о заголовках писем, но не знаю, где я могу увидеть заголовки писем, например, в Gmail. Любая помощь?


Кстати. IP-адрес в gmail Заголовок в формате IPv6: v6decode.com
user956584,

Ответы:


147

Ниже приведен пример мошенничества, которое мне прислали, притворяясь, что оно от моего друга, утверждая, что ее обокрали, и прося у меня финансовой помощи. Я изменил имена - я «Билл», а мошенник отправил электронное письмо bill@domain.com, притворяясь, что это так alice@yahoo.com. Обратите внимание, что Билл пересылает свою электронную почту bill@gmail.com.

Сначала в Gmail нажмите show original:

Меню сообщения> Показать оригинал

Откроется полное письмо и его заголовки:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Заголовки должны читаться в хронологическом порядке снизу вверх - самые старые находятся внизу. Каждый новый сервер добавляет свое собственное сообщение - начиная с Received. Например:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Это говорит о том, что mx.google.comполучил письмо от maxipes.logix.czв Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Теперь, чтобы найти реального отправителя вашей электронной почты, вы должны найти самый ранний надежный шлюз - последний при чтении заголовков сверху. Давайте начнем с поиска почтового сервера Билла. Для этого запросите запись MX для домена. Вы можете использовать онлайн-инструменты, такие как Mx Toolbox , или в Linux вы можете запросить его в командной строке (обратите внимание, что реальное имя домена было изменено на domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

И вы увидите почтовый сервер для domain.com maxipes.logix.czили broucek.logix.cz. Следовательно, последний (первый в хронологическом порядке) доверенный «прыжок» - или последняя доверенная «полученная запись» или как вы ее называете - вот этот:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Вы можете доверять этому, потому что это было записано почтовым сервером Билла для domain.com. Этот сервер получил его от 209.86.89.64. Это может быть и очень часто является реальным отправителем письма - в данном случае мошенником! Вы можете проверить этот IP в черном списке . - Видите ли, он указан в 3 черных списках! Под ним есть еще одна запись:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Но будьте осторожны, полагая, что это реальный источник электронного письма. Мошенник может просто добавить жалобу в черный список, чтобы стереть его следы и / или проложить фальшивый след . Существует вероятность того, что сервер 209.86.89.64невиновен и просто ретранслятор для настоящего злоумышленника 168.62.170.129. В этом случае 168.62.170.129 чисто, поэтому мы можем быть почти уверены, что атака была совершена 209.86.89.64.

Еще один момент, который нужно иметь в виду, это то, что Алиса использует Yahoo! (alice@yahoo.com) и elasmtp-curtail.atl.sa.earthlink.netне в Yahoo! сеть (вы можете захотеть перепроверить ее IP-данные Whois ). Поэтому мы можем с уверенностью заключить, что это письмо не от Алисы, и нам не следует отправлять ее деньги на Филиппины.


15
Или вы можете вставить заголовки в SpamCop и позволить ему выполнить всю расшифровку за вас. Они даже отправят СПАМ-уведомление ответственным сисадминам, если хотите.
Бывший Умбрис

8
Или вы также можете использовать инструмент анализа заголовков Google
Vijay

2
Это очень болезненно - до такой степени, что я обычно советую людям, которые получают такие электронные письма, спросить что-то, что только владелец почтового адди знал бы, является ложным;)
Мастер-подмастерье

9
@JourneymanGeek Лучшей практикой часто является не отвечать - ответ (или нажатие на любую ссылку, или загрузка внешних ресурсов, например изображений) может дать указание массовым спамерам, что ваш адрес электронной почты является действительным, и кто-то действительно его читает.
Боб

1
Как системный администратор, мне приходилось иметь дело с несколькими анонимными, очень оскорбительными и неприятными электронными письмами, отправленными одному из наших сотрудников несколько лет назад. Возврат заголовков был тупиком, поскольку отправитель (к сожалению) был достаточно сообразителен, чтобы использовать анонимный переводчик ( en.wikipedia.org/wiki/Anonymous_remailer ). В таких случаях вы практически ничего не можете сделать (возможно, если вы не работаете в АНБ).
Абстраск

10

Чтобы найти IP-адрес:

Нажмите на перевернутый треугольник рядом с Ответить. Выберите Показать оригинал.

Ищите, Received: fromа затем IP-адрес в квадратных скобках []. (пример: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Если вы найдете более одного Получено: из шаблонов, выберите последний.

( Источник )

После этого вы можете использовать сайт pythonclub , iplocation.net или ip lookup, чтобы узнать местоположение.


этот IP для почтового сервера или местоположение человека, который отправил электронную почту?
Сирван Афифи

1
Это почтовый сервер. Не уверен, есть ли способ определить, с какого IP-адреса была введена электронная почта.
Люк

Выбор последней записи «Received:» не является лучшей стратегией - злоумышленник мог добавить ее, чтобы нарисовать красную сельдь на дорожке. Вместо этого вы должны найти последнего доверенного . Смотрите мой ответ
Томас

6

Как вы попадаете в заголовки, зависит от почтовых клиентов. Многие клиенты позволят вам легко увидеть исходный формат сообщения. Другие (MicroSoft Outlook) усложняют задачу.

Чтобы определить, кто действительно отправил сообщение, полезен обратный путь. Тем не менее, это может быть подделано. Адрес возврата, который не совпадает с адресом отправителя, является причиной для подозрения. Существуют законные причины их отличия, такие как сообщения, пересылаемые из списков рассылки, или ссылки, отправляемые с веб-сайтов. (Было бы лучше, если бы веб-сайт использовал адрес для ответа для идентификации лица, пересылающего ссылку.)

Чтобы определить происхождение сообщения прочитайте сверху вниз через полученные заголовки. Там может быть несколько. У большинства будет IP-адрес сервера, на который они получили форму сообщения. Некоторые проблемы, с которыми вы столкнетесь:

  • Некоторые сайты используют внешнюю программу для сканирования сообщений, которые повторно отправляют сообщение после сканирования. Они могут вводить localhost или другие странные адреса.
  • Некоторые серверы запутывают адреса, пропуская контент.
  • Некоторые СПАМ будут содержать поддельные заголовки, предназначенные для введения вас в заблуждение
  • Частный IP-адрес (10.0.0.0/8, 172.16.0.0/12 и 192.168.0.0/16) может отображаться, но имеет смысл только в той сети, откуда он пришел.

Вы всегда должны быть в состоянии определить, какой сервер в Интернете отправил вам сообщение. Отслеживание далее зависит от конфигурации отправляющих серверов.


К вашему сведению, в недавних обзорах Microsoft вам нужно открыть сообщение в собственном окне, тогда это просто Файл, Свойства. Это не трудно.
Руп

1

Я использую http://whatismyipaddress.com/trace-email . Если вы используете Gmail, нажмите Показать оригинал (в разделе Дополнительно, рядом с кнопкой «Ответить», скопируйте заголовки, вставьте их на этот веб-сайт и нажмите «Получить исходный код»). В ответ вы получите информацию о географическом местоположении и карту


0

Также есть несколько инструментов для анализа заголовков электронной почты и извлечения данных электронной почты,
например:

  1. eMailTrackerPro

    который может отследить электронную почту до ее географического местоположения, включая спам-фильтр

  2. MSGTAG

  3. PoliteMail

  4. Супер Email-маркетинг

  5. Zendio


eMailTracketPro не работает ..! Я только что скачал пробную версию. и он застрял
Md Faisal
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.