Сегодняшняя сессия вопросов и ответов приходит к нам, любезно предоставленной SuperUser - подразделением Stack Exchange, группировкой сайтов Q & A на уровне сообщества.
Вопрос
Читатель SuperUser Сирван хочет знать, как определить, откуда действительно происходят электронные письма:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Давайте посмотрим на эти заголовки электронной почты.
Ответы
Суперпользователь Tomas предлагает очень подробный и проницательный ответ:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
делая вид, что он
Обратите внимание, что законопроект
Во-первых, в Gmail используйте
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Заголовки должны читаться хронологически снизу вверх - самые старые - внизу. Каждый новый сервер в пути добавит свое собственное сообщение - начиная с
Received
Например:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Это говорит о том, что
mx.google.com
получил почту от
maxipes.logix.cz
в
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Теперь, чтобы найтиреальный отправителя электронной почты, ваша цель - найти последний доверенный шлюз - последний раз, когда вы читаете заголовки сверху, то есть сначала в хронологическом порядке. Начнем с поиска почтового сервера Билла. Для этого вы запрашиваете запись MX для домена. Вы можете использовать некоторые онлайн-инструменты, или в Linux вы можете запросить его в командной строке (обратите внимание, что настоящее доменное имя было изменено на
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Итак, вы видите, что почтовый сервер для домена.com
maxipes.logix.cz
или же
broucek.logix.cz
Следовательно, последний (первый хронологически) доверенный «прыжок» - или последний доверенный «Полученный отчет» или как вы его называете - это:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Вы можете доверять этому, потому что это было записано почтовым сервером Билла для
domain.com
Этот сервер получил это от
209.86.89.64
Это может быть и очень часто является настоящим отправителем электронной почты - в этом случае мошенник! Вы можете проверить этот IP-адрес в черном списке. - Видите, он внесен в список 3-х черных списков! Под ним еще одна запись:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
но вы не можете на это доверять, потому что это может быть просто добавлено мошенником, чтобы уничтожить его следы и / илизаложить ложный след, Конечно, есть вероятность, что сервер
209.86.89.64
является невиновным и действует только как реле для реального злоумышленника при
168.62.170.129
но тогда реле часто считается виновным и очень часто занесено в черный список. В этом случае,
168.62.170.129
чист, поэтому мы можем быть почти уверены, что атака была совершена из
209.86.89.64
И, конечно же, поскольку мы знаем, что Алиса использует Yahoo! а также
elasmtp-curtail.atl.sa.earthlink.net
не на Yahoo! сети (вы можете пересмотреть свою информацию о IP-Whois), мы можем с уверенностью заключить, что это письмо не было от Алисы, и что мы не должны посылать ей какие-либо деньги в свой заявленный отпуск на Филиппинах.
Два других участника, Ex Umbris и Vijay, рекомендовали соответственно следующие службы для помощи в расшифровке заголовков электронной почты: SpamCop и инструмент анализа заголовков Google.
Есть что добавить к объяснению? Звучит в комментариях. Хотите узнать больше ответов от других пользователей Windows? Посмотрите здесь полную дискуссионную тему.