Как я могу узнать, откуда на самом деле пришло письмо? Есть ли способ узнать это?
Я слышал о заголовках писем, но не знаю, где я могу увидеть заголовки писем, например, в Gmail. Любая помощь?
Ответы:
Ниже приведен пример мошенничества, которое мне прислали, притворяясь, что оно от моего друга, утверждая, что ее обокрали, и прося у меня финансовой помощи. Я изменил имена - я «Билл», а мошенник отправил электронное письмо bill@domain.com, притворяясь, что это так alice@yahoo.com. Обратите внимание, что Билл пересылает свою электронную почту bill@gmail.com.
Сначала в Gmail нажмите show original:
Откроется полное письмо и его заголовки:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Заголовки должны читаться в хронологическом порядке снизу вверх - самые старые находятся внизу. Каждый новый сервер добавляет свое собственное сообщение - начиная с Received. Например:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Это говорит о том, что mx.google.comполучил письмо от maxipes.logix.czв Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
Теперь, чтобы найти реального отправителя вашей электронной почты, вы должны найти самый ранний надежный шлюз - последний при чтении заголовков сверху. Давайте начнем с поиска почтового сервера Билла. Для этого запросите запись MX для домена. Вы можете использовать онлайн-инструменты, такие как Mx Toolbox , или в Linux вы можете запросить его в командной строке (обратите внимание, что реальное имя домена было изменено на domain.com):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
И вы увидите почтовый сервер для domain.com maxipes.logix.czили broucek.logix.cz. Следовательно, последний (первый в хронологическом порядке) доверенный «прыжок» - или последняя доверенная «полученная запись» или как вы ее называете - вот этот:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Вы можете доверять этому, потому что это было записано почтовым сервером Билла для domain.com. Этот сервер получил его от 209.86.89.64. Это может быть и очень часто является реальным отправителем письма - в данном случае мошенником! Вы можете проверить этот IP в черном списке . - Видите ли, он указан в 3 черных списках! Под ним есть еще одна запись:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Но будьте осторожны, полагая, что это реальный источник электронного письма. Мошенник может просто добавить жалобу в черный список, чтобы стереть его следы и / или проложить фальшивый след . Существует вероятность того, что сервер 209.86.89.64невиновен и просто ретранслятор для настоящего злоумышленника 168.62.170.129. В этом случае 168.62.170.129 чисто, поэтому мы можем быть почти уверены, что атака была совершена 209.86.89.64.
Еще один момент, который нужно иметь в виду, это то, что Алиса использует Yahoo! (alice@yahoo.com) и elasmtp-curtail.atl.sa.earthlink.netне в Yahoo! сеть (вы можете захотеть перепроверить ее IP-данные Whois ). Поэтому мы можем с уверенностью заключить, что это письмо не от Алисы, и нам не следует отправлять ее деньги на Филиппины.
Чтобы найти IP-адрес:
Нажмите на перевернутый треугольник рядом с Ответить. Выберите Показать оригинал.
Ищите, Received: fromа затем IP-адрес в квадратных скобках []. (пример: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Если вы найдете более одного Получено: из шаблонов, выберите последний.
( Источник )
После этого вы можете использовать сайт pythonclub , iplocation.net или ip lookup, чтобы узнать местоположение.
Как вы попадаете в заголовки, зависит от почтовых клиентов. Многие клиенты позволят вам легко увидеть исходный формат сообщения. Другие (MicroSoft Outlook) усложняют задачу.
Чтобы определить, кто действительно отправил сообщение, полезен обратный путь. Тем не менее, это может быть подделано. Адрес возврата, который не совпадает с адресом отправителя, является причиной для подозрения. Существуют законные причины их отличия, такие как сообщения, пересылаемые из списков рассылки, или ссылки, отправляемые с веб-сайтов. (Было бы лучше, если бы веб-сайт использовал адрес для ответа для идентификации лица, пересылающего ссылку.)
Чтобы определить происхождение сообщения прочитайте сверху вниз через полученные заголовки. Там может быть несколько. У большинства будет IP-адрес сервера, на который они получили форму сообщения. Некоторые проблемы, с которыми вы столкнетесь:
Вы всегда должны быть в состоянии определить, какой сервер в Интернете отправил вам сообщение. Отслеживание далее зависит от конфигурации отправляющих серверов.
Я использую http://whatismyipaddress.com/trace-email . Если вы используете Gmail, нажмите Показать оригинал (в разделе Дополнительно, рядом с кнопкой «Ответить», скопируйте заголовки, вставьте их на этот веб-сайт и нажмите «Получить исходный код»). В ответ вы получите информацию о географическом местоположении и карту
Также есть несколько инструментов для анализа заголовков электронной почты и извлечения данных электронной почты,
например:
который может отследить электронную почту до ее географического местоположения, включая спам-фильтр
MSGTAG
PoliteMail
Супер Email-маркетинг
Zendio