Len preto, že e-mail sa zobrazí vo vašej doručenej pošte s názvom [email protected], neznamená to, že Bill skutočne s tým má čo robiť. Čítajte ďalej, keď skúmame, ako vykopať a zistiť, odkiaľ skutočne pochádza podozrivý e-mail.
Dnešná relácia otázok a odpovedí sa k nám pridelí zdvorilosťou SuperUser - podskupiny Stack Exchange, zoskupenia webových stránok Otázky a odpovede.
Otázka
Čítač SuperUser Sirwan chce vedieť, ako zistiť, odkiaľ pochádzajú e-maily:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Poďme sa pozrieť na tieto hlavičky e-mailu.
Odpovede
Príspevok SuperUser Tomas ponúka veľmi podrobnú a dôkladnú odpoveď:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
Potom sa otvorí celý e-mail a jeho hlavičky:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Hlavičky sa čítajú chronologicky zhora - najstaršie sú v spodnej časti. Každý nový server na ceste pridá vlastnú správu - od začiatku
Received
Napríklad:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Toto hovorí to
mx.google.com
mail dostal od
maxipes.logix.cz
na
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Teraz, nájsťreálny odosielateľ e-mailu, vaším cieľom je nájsť poslednú dôveryhodnú bránu - posledný pri čítaní hlavičky zhora, t. j. najskôr v chronologickom poradí. Začnime tým, že nájdeme poštový server Billa. Za týmto účelom vyhľadávate záznam MX pre danú doménu. Môžete použiť niektoré online nástroje, alebo v systéme Linux môžete ho na príkazovom riadku prečítať (poznamenajte, že skutočný názov domény bol zmenený na
Preto posledný (prvý chronologický) dôveryhodný "hop" - alebo naposledy dôveryhodný "Prijatý záznam" alebo čo mu hovoríte - je toto:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Môžete tomu veriť, pretože to bol zaznamenaný poštovým serverom spoločnosti Bill
domain.com
Tento server to získal od
209.86.89.64
To by mohlo byť a veľmi často je skutočným odosielateľom e-mailu - v tomto prípade podvodník! Môžete skontrolovať túto IP adresu na čiernej listine. - Pozri, je uvedený v 3 čiernych zoznamoch! Je tu ešte ďalší záznam:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
ale nemôžete naozaj veriť tomu, pretože by to mohlo byť len pridané scammer vyhnúť jeho stopy a / alebopoložiť falošnú stopu, Samozrejme, stále existuje možnosť, že server
209.86.89.64
je nevinný a konal len ako relé pre skutočného útočníka na
168.62.170.129
ale potom sa relé často považuje za vinného a často je na čiernej listine. V tomto prípade,
168.62.170.129
je čistý, takže môžeme byť takmer istí, že útok bol vykonaný
209.86.89.64
A samozrejme, pretože vieme, že Alice používa Yahoo! a
elasmtp-curtail.atl.sa.earthlink.net
nie je na Yahoo! (možno budete chcieť opätovne skontrolovať informácie o IP Whois), môžeme bezpečne dospieť k záveru, že tento e-mail nebol od spoločnosti Alice a že by sme jej nemali posielať žiadne peniaze na jej údajnú dovolenku na Filipínach.
Dvaja ďalší prispievatelia, Ex Umbris a Vijay, odporúčali nasledujúce služby na pomoc pri dekódovaní hlavičiek e-mailov: SpamCop a Google Header Analysis Tool.
Máte niečo doplniť vysvetlenie? Zvuk vypnúť v komentároch. Chcete si prečítať viac odpovedí od iných používateľov technológie Stack Exchange? Pozrite sa na celý diskusný príspevok tu.
Pri skúmaní nášho článku o tom, čo sa stane pri inštalácii klipov z naozaj mizernej stránky na stiahnutie, všimli sme si, že niektoré z crapware a spyware sa skutočne pokúsia nainštalovať proxy server, ktorý vás bude špehovať. Tak ako viete, či váš počítač používa proxy?
Udržiavanie hesiel dobre zabezpečených je niečo, čo všetci musíme brať vážne, ale čo robiť, ak konkrétny program alebo aplikácia zobrazuje vaše heslo v očiach, keď ho píšete? Dnešný príspevok SuperUser Q & A má riešenie problému s problémom s problémom s čítaným heslom.
Je to jedna vec na inštaláciu aplikácie, ktorú chcete, je to ďalšia vec, keď aplikácia nielen skončí vo vašom počítači, ale neustále sa objaví a dráždi vás. Čítajte ďalej, keď pomáhame kolegovi čitateľovi dostať sa do spodnej časti jeho tajomstva popupu a vyhnúť ho v tomto procese.
Jedna vec, ktorú si mnohí spisovatelia chcú vedieť, je, koľko času trávia písaním. Ak používate program Microsoft Word, máte šťastie, pretože je ľahké zistiť, koľko času ste strávili úpravou dokumentu.
V predvolenom nastavení sa Ubuntu nenachádza s Java (alebo Java Runtime Environment, JRE). Môže to však byť potrebné pre niektoré programy alebo hry ako Minecraft. Ukážeme vám, ako rýchlo a ľahko overiť, či je nainštalovaná Java a ako ju nainštalovať.
