Bagaimanakah saya Boleh Cari Di Mana E-mel Sebenarnya Dari E-mel?
Hanya kerana e-mel muncul dalam peti masuk anda yang dilabel [email protected], tidak bermakna Rang Undang-undang sebenarnya mempunyai kaitan dengannya. Teruskan membaca apabila kami meneroka cara menggali dan melihat di mana e-mel yang mencurigakan sebenarnya berasal.
Sesi Soalan & Jawapan hari ini datang kepada kami dengan hormat SuperUser-satu bahagian pembahagian Stack Exchange, kumpulan pemanduan komuniti laman web Q & A.
Soalan
Pembaca SuperUser Sirwan ingin tahu bagaimana untuk mengetahui di mana e-mel sebenarnya berasal dari:
Bagaimana saya tahu di mana E-mel benar-benar berasal?
Adakah terdapat cara untuk mencarinya?
Saya telah mendengar tentang pengepala e-mel, tetapi saya tidak tahu di mana saya dapat melihat pengepala e-mel misalnya di Gmail.
Mari lihat pengepala e-mel ini.
Jawapannya
Penyumbang SuperUser Tomas menawarkan tindak balas yang sangat terperinci dan mendalam:
Lihat contoh penipuan yang telah dihantar kepada saya, berpura-pura dari kawan saya, mendakwa dia telah dirompak dan meminta saya bantuan kewangan. Saya telah menukar nama - anggap saya Bill, penipu telah menghantar e-mel ke
[email protected]
, berpura-pura dia[email protected]
. Perhatikan bahawa Rang Undang-Undang telah ke hadapan[email protected]
.Pertama, dalam Gmail, gunakan
paparkan yang asli
:Kemudian, e-mel penuh dan tajuknya akan terbuka:
Dihantar-Kepada: [email protected] Diterima: oleh 10.64.21.33 dengan id SMTP s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Diterima: oleh 10.14.47.73 dengan id SMTP s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 untuk (versi = TLSv1 cipher = RC4-SHA bit = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Diterima-SPF: neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak dibenarkan atau ditolak oleh rekod meneka terbaik domain [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Keputusan Pengesahan: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak dibenarkan atau dinafikan oleh rekod meneka terbaik untuk domain [email protected] ) [email protected] Diterima: oleh maxipes.logix.cz (Postfix, dari userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: ditangguhkan 00:06:34 oleh SQLgrey-1.8.0-rc1 Diterima: dari elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan id ESMTP B43175D3A44 untuk; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Diterima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Exim 4.67) (sampul-dari ) id 1Uw98w-0006KI-6y untuk [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Dari: "Alice" Subjek: Isu Perjalanan Mengerikan ... Harap balas ASAP Kepada: [email protected] Jenis Kandungan: berbilang / alternatif; sempadan = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Balas Kepada: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Saya telah memotong badan e-mel ...]
Tajuk harus dibaca secara kronologi dari bawah ke atas - tertua di bahagian bawah. Setiap pelayan baru dalam perjalanan akan menambah mesejnya sendiri - bermula dengan
Menerima
. Sebagai contoh:Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 untuk (versi = TLSv1 cipher = bit RC4-SHA = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Ini mengatakan bahawa
mx.google.com
telah menerima mel darimaxipes.logix.cz
padaMon, 08 Jul 2013 04:11:00 -0700 (PDT)
.Sekarang, untuk mencari sebenar penghantar e-mel anda, matlamat anda adalah untuk mencari pintu masuk yang dipercayai terakhir - terakhir ketika membaca tajuk dari atas, iaitu pertama dalam urutan kronologi. Mari mulakan dengan mencari pelayan mel Rang Undang-Undang. Untuk ini, anda membuat pertanyaan MX untuk domain. Anda boleh menggunakan beberapa alatan dalam talian, atau di Linux, anda boleh menanyakannya pada baris arahan (perhatikan nama domain sebenar telah ditukar kepada
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Jadi anda melihat pelayan mel untuk domain.com adalah
maxipes.logix.cz
ataubroucek.logix.cz
. Oleh itu, yang terakhir (pertama secara kronologi) dipercayai "hop" - atau yang terakhir "Rekod yang diterima" atau apa sahaja yang anda panggil adalah yang berikut:Diterima: dari elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan id ESMTP B43175D3A44 untuk; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Anda boleh mempercayai ini kerana ini dirakamkan oleh pelayan surat Bill untuk
domain.com
. Pelayan ini mendapatnya209.86.89.64
. Ini mungkin, dan sangat sering adalah, pengirim sebenar e-mel - dalam kes ini penipu! Anda boleh menyemak IP ini pada senarai hitam. - Lihat, dia disenaraikan dalam 3 senarai hitam! Terdapat rekod lain di bawahnya:Diterima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y untuk [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
tetapi anda tidak boleh benar-benar mempercayai ini, kerana itu hanya dapat ditambahkan oleh scammer untuk menghapuskan jejaknya dan / atau meletakkan jejak palsu. Sudah tentu masih terdapat kemungkinan bahawa pelayan
209.86.89.64
tidak bersalah dan hanya bertindak sebagai penyerang untuk penyerang sebenar di168.62.170.129
, tetapi kemudian geganti sering dianggap bersalah dan sering disenaraihitamkan. Dalam kes ini,168.62.170.129
bersih sehingga kita dapat hampir pasti serangan itu dilakukan209.86.89.64
.Dan tentu saja, seperti yang kita ketahui bahawa Alice menggunakan Yahoo! dan
elasmtp-curtail.atl.sa.earthlink.net
tidak di Yahoo! rangkaian (anda mungkin ingin menyemak semula maklumat IP Whoisnya), kami dengan selamat dapat menyimpulkan bahawa e-mel ini bukan dari Alice, dan kami tidak boleh menghantarnya apa-apa wang untuk bercuti yang dituntut di Filipina.
Dua penyumbang lain, Ex Umbris dan Vijay, masing-masing menyarankan perkhidmatan berikut untuk membantu penyahkodan pengepala e-mel: Alat Analisis SpamCop dan Google's Header Analysis.
Mempunyai sesuatu untuk menambah penjelasannya? Bunyi dalam komen. Ingin membaca lebih banyak jawapan dari pengguna Stack Exchange yang berteknologi tinggi? Lihat thread perbincangan penuh di sini.