Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok Otázky a odpovede.
Otázka
Čítač SuperUser Sirwan chce vedieť, ako zistiť, odkiaľ pochádzajú e-maily:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Poďme sa pozrieť na tieto hlavičky e-mailu.
Odpovede
Príspevok SuperUser Tomas ponúka veľmi podrobnú a dôkladnú odpoveď:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
predstierať, že je
Všimnite si, že Bill predal
Najprv v službe Gmail použite
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Hlavičky sa čítajú chronologicky zhora - najstaršie sú v spodnej časti. Každý nový server na ceste pridá vlastnú správu - od začiatku
Received
Napríklad:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Toto hovorí to
mx.google.com
mail dostal od
maxipes.logix.cz
na
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Teraz, nájsťreálny odosielateľ e-mailu, vaším cieľom je nájsť poslednú dôveryhodnú bránu - posledný pri čítaní hlavičky zhora, t. j. najskôr v chronologickom poradí. Začnime tým, že nájdeme poštový server Billa. Za týmto účelom vyhľadávate záznam MX pre danú doménu. Môžete použiť niektoré online nástroje, alebo v systéme Linux môžete ho na príkazovom riadku prečítať (poznamenajte, že skutočný názov domény bol zmenený na
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Takže vidíte poštový server pre domain.com je
maxipes.logix.cz
alebo
broucek.logix.cz
Preto posledný (prvý chronologický) dôveryhodný "hop" - alebo naposledy dôveryhodný "Prijatý záznam" alebo čo mu hovoríte - je toto:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Môžete tomu veriť, pretože to bol zaznamenaný poštovým serverom spoločnosti Bill
domain.com
Tento server to získal od
209.86.89.64
To by mohlo byť a veľmi často je skutočným odosielateľom e-mailu - v tomto prípade podvodník! Môžete skontrolovať túto IP adresu na čiernej listine. - Pozri, je uvedený v 3 čiernych zoznamoch! Je tu ešte ďalší záznam:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
ale nemôžete naozaj veriť tomu, pretože by to mohlo byť len pridané scammer vyhnúť jeho stopy a / alebopoložiť falošnú stopu, Samozrejme, stále existuje možnosť, že server
209.86.89.64
je nevinný a konal len ako relé pre skutočného útočníka na
168.62.170.129
ale potom sa relé často považuje za vinného a často je na čiernej listine. V tomto prípade,
168.62.170.129
je čistý, takže môžeme byť takmer istí, že útok bol vykonaný
209.86.89.64
A samozrejme, pretože vieme, že Alice používa Yahoo! a
elasmtp-curtail.atl.sa.earthlink.net
nie je na Yahoo! (možno budete chcieť opätovne skontrolovať informácie o IP Whois), môžeme bezpečne dospieť k záveru, že tento e-mail nebol od spoločnosti Alice a že by sme jej nemali posielať žiadne peniaze na jej údajnú dovolenku na Filipínach.
Dvaja ďalší prispievatelia, Ex Umbris a Vijay, odporúčali nasledujúce služby na pomoc pri dekódovaní hlavičiek e-mailov: SpamCop a Google Header Analysis Tool.
Máte niečo doplniť vysvetlenie? Zvuk vypnúť v komentároch. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.