Kuidas ma saan teada, kust e-kiri tõesti tuli?
Lihtsalt sellepärast, et teie postkastis [email protected] ilmub e-kiri, ei tähenda see, et Billil oleks sellega midagi pistmist. Lugege edasi, kui uurime, kuidas kaevata ja kuidas kahtlane e-kiri tegelikult pärineb.
Tänane küsimuste ja vastuste seanss saabub meiega kohtades, kus on SuperUser-Stack Exchange'i alajaotus, kogukondliku draivi rühmitus Q&A veebisaitidel.
Küsimus
SuperUser-lugeja Sirwan tahab teada, kuidas aru saada, kust e-kirjad tegelikult pärinevad:
Kuidas ma saan teada, kust e-kiri tõesti tuli?
Kas on võimalik seda leida?
Olen kuulnud e-posti päistest, kuid ma ei tea, kust ma näen e-posti päiseid näiteks Gmailis.
Vaatame neid e-posti päiseid.
Vastused
SuperUser'i toetaja Tomas pakub väga üksikasjalikku ja arusaadavat vastust:
Vaadake näite pettusest, mis on mulle saadetud, teeseldes, et see on mu sõber, väites, et ta on röövitud ja küsib minult rahalist abi. Olen muutnud nimesid - oletame, et olen Bill, scammer on saatnud e-kirja
[email protected]
, teeseldes ta on[email protected]
. Pange tähele, et Bill on edasi[email protected]
.Esiteks kasutage Gmailis
Näita originaali
:Seejärel avaneb täielik e-kiri ja selle päised:
Tarnitud: [email protected] Vastuvõetud: 10.64.21.33 SMTP id s1csp177937iee; Ma, 8. juuli 2013 04:11:00 -0700 (PDT) X-Vastu võetud: 10.14.47.73 SMTP id s49mr24756966eeb.71.1373281860071; Esmaspäev, 08.07.2013 04:11:00 -0700 (PDT) Tagasi-tee: Vastu võetud: alates maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) kasutajalt mx.google.com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 jaoks (versioon = TLSv1 šifreer = RC4-SHA bitid = 128/128); Esmaspäev, 08.07.2013 04:11:00 -0700 (PDT) Vastuvõetud-SPF: neutraalne (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole lubatud ega keelatud parimate arvutustega domeen [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Autentimise tulemused: mx.google.com; spf = neutraalne (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ei ole lubatud ega keelatud [email protected] domeeni parimate arvutustega ) [email protected] Vastu võetud: maxipes.logix.cz (Postfix, kasutajalt 604) id C923E5D3A45; Esmaspäev, 8. juuli 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: viivitus 00:06:34 poolt SQLgrey-1.8.0-rc1 Vastuvõetud: alates elasmtp-curtailist .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) kasutajalt maxipes.logix.cz (Postfix) ESMTP id B43175D3A44 jaoks; Esmaspäev, 8. juuli 2013 23:10:48 +1200 (NZST) Vastu võetud: alates [168.62.170.129] (helo = laurence39) kasutajalt elasmtp-curtail.atl.sa.earthlink.net koos esmtpa (Exim 4.67) (ümbrik-alates ) id 1Uw98w-0006KI-6y [email protected]; Esmaspäev, 08.07.2013 06:58:06 -0400 Alates: "Alice" Teema: Kohutav reisiküsimus ... Palun vastake ASAP-le Vastus: [email protected] Sisu-tüüp: mitmeosaline / alternatiivne; piiri = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Vasta: [email protected] Kuupäev: Mon, 8. juuli 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168,62,70,129 [... Olen vähendanud e-posti asutust ...]
Päised tuleb lugeda kronoloogiliselt alt-üles - vanemad on allosas. Iga uus teel asuv server lisab oma sõnumi - alustades
Saadud
. Näiteks:Vastu võetud: maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) kasutajalt mx.google.com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 jaoks (versioon = TLSv1 salakiri = RC4-SHA bitid = 128/128); Ma, 8. juuli 2013 04:11:00 -0700 (PDT)
See ütleb seda
mx.google.com
on saanud kirjamaxipes.logix.cz
juuresMa, 8. juuli 2013 04:11:00 -0700 (PDT)
.Nüüd, et leida reaalne Teie e-posti saatja, teie eesmärk on leida viimane usaldusväärne lüüs - viimane, kui loed päiseid pealt, st kõigepealt kronoloogilises järjekorras. Alustame Billi postiserveri leidmisest. Selleks küsite domeeni MX-kirje. Võid kasutada mõningaid online-tööriistu või Linuxis saate seda küsida käsurealt (märkige, et tegelik domeeninimi on muudetud
domain.com
):~ $ host -t MX domeeninimi.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Nii näete domeeni.com e-posti serverit
maxipes.logix.cz
võibroucek.logix.cz
. Seega on viimane (esimene kronoloogiliselt) usaldusväärne „hüpp“ - või viimane usaldatud “Vastuvõetud rekord” või mis iganes sa seda nimetad - on see:Vastuvõetud: alates elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) kasutajalt maxipes.logix.cz (Postfix) ESMTP id B43175D3A44 jaoks; Ma, 8. juuli 2013 23:10:48 +1200 (NZST)
Seda saab usaldada, sest selle kirjutas Billi meiliserver
domain.com
. See server sai selle209,86,89,64
. See võib olla ja on tihti e-kirja tegelik saatja - antud juhul scammer! Seda IP-d saate kontrollida musta nimekirja. - Vaata, ta on loetletud 3 musta nimekirja! Selle all on veel üks kirje:Vastuvõetud: alates [168.62.170.129] (helo = laurence39) kasutajalt elasmtp-curtail.atl.sa.earthlink.net esmtpa (Exim 4.67) (ümbrik-alates) id 1Uw98w-0006KI-6y jaoks [email protected]; Esmaspäev, 8. juuli 2013 06:58:06 -0400
kuid te ei saa seda tegelikult usaldada, sest see saab lihtsalt kelmuse lisada, et kustutada tema jäljed ja / või asetage vale rada. Loomulikult on veel võimalus, et server
209,86,89,64
on süütu ja toimis ainult ründajana tõelise ründaja jaoks168,62,170,129
, kuid siis peetakse relee sageli süüdi ja on tihti musta nimekirja kantud. Sel juhul,168,62,170,129
on puhas, nii et saame olla peaaegu kindel, et rünnak toimus209,86,89,64
.Ja muidugi, nagu me teame, et Alice kasutab Yahoo! ja
elasmtp-curtail.atl.sa.earthlink.net
ei ole Yahoo! võrk (võib-olla soovite oma IP Whois'i teavet uuesti kontrollida), võime kindlalt järeldada, et see e-kiri ei olnud Alice'ilt ja et me ei tohiks talle raha saata oma väidetavale puhkusele Filipiinidel.
Kaks muud panustajat, Ex Umbris ja Vijay, soovitasid vastavalt e-posti päiste dekodeerimise abistamiseks järgmisi teenuseid: SpamCop ja Google'i päise analüüsi tööriist.
Kas teil on midagi lisada selgitusele? Hääletage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Vaadake siin täielikku arutelu lõiku.