То, что в вашем почтовом ящике появляется сообщение с пометкой Bill.Smith@somehost.com, не означает, что Билл на самом деле имеет к этому какое-то отношение. Читайте дальше, когда мы рассмотрим, как копаться и видеть, откуда на самом деле пришло подозрительное письмо.
Сегодняшняя сессия вопросов и ответов приходит к нам благодаря SuperUser – подразделению Stack Exchange, объединяющей сообщества веб-сайтов вопросов и ответов.
Вопрос
Читатель SuperUser Sirwan хочет знать, как на самом деле происходят электронные письма:
Как я могу узнать, откуда на самом деле пришло письмо?
Есть ли способ узнать это?
Я слышал о заголовках писем, но не знаю, где я могу увидеть заголовки писем, например, в Gmail.
Давайте посмотрим на эти заголовки электронной почты.
Ответы
Автор SuperUser Томас предлагает очень подробный и проницательный ответ:
Посмотрите пример мошенничества, который мне прислали, притворяясь, что это от моего друга, утверждая, что ее обокрали, и прося у меня финансовой помощи. Я изменил имена – предположим, что я Билл, мошенник отправил электронное письмо по адресу bill@domain.com
, притворяясь, что он alice@yahoo.com
. Обратите внимание, что Билл перенаправляет на bill@gmail.com
.
Во-первых, в Gmail используйте show original
:
Затем откроется полное письмо и его заголовки:
Доставлено: bill@gmail.com
Получено: по 10.64.21.33 с идентификатором SMTP s1csp177937iee;
Понедельник, 8 июля 2013 г. 04:11:00 -0700 (PDT)
Получено X: по 10.14.47.73 с SMTP-идентификатором s49mr24756966eeb.71.1373281860071;
Понедельник, 08 июля 2013 г. 04:11:00 -0700 (PDT)
Обратный путь:
Получено: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1])
от mx.google.com с идентификатором ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59
за
(версия = шифр TLSv1 = биты RC4-SHA = 128/128);
Понедельник, 08 июля 2013 г. 04:11:00 -0700 (PDT)
Получено-SPF: нейтрально (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не разрешено и не отклонено с помощью записи с лучшим предположением для домена SRS0=Znlt=QW=yahoo.com=alice@domain .com) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1;
Результаты аутентификации: mx.google.com;
spf = нейтральный (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 не разрешен и не запрещен в соответствии с записями наилучшего предположения для домена SRS0=Znlt=QW=yahoo.com=alice@domain.com ) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Получено: от maxipes.logix.cz (Postfix, от ID пользователя 604)
id C923E5D3A45; Понедельник, 8 июля 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: задержано 00:06:34 SQLgrey-1.8.0-rc1
Получено: от elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
по maxipes.logix.cz (Postfix) с идентификатором ESMTP B43175D3A44
за ; Пн, 8 июля 2013 23:10:48 +1200 (NZST)
Получено: от [168.62.170.129] (helo = laurence39)
elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67)
(конверт из)
id 1Uw98w-0006KI-6y
для bill@domain.com; Пн, 08 Jul 2013 06:58:06 -0400
От: "Алиса"
Тема: ужасная проблема с путешествиями ..... Пожалуйста, ответьте как можно скорее
To: bill@domain.com
Тип контента: составной/альтернативный; граница = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70"
MIME-версия: 1.0
Ответить: alice@yahoo.com
Дата: пн, 8 июля 2013 10:58:06 +0000
Message-ID:
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350babd9
X-Originating-IP: 168.62.170.129
[... Я сократил тело письма ...]
Заголовки должны читаться в хронологическом порядке снизу вверх – самые старые находятся внизу. Каждый новый сервер добавит свое собственное сообщение, начиная с Received
. Например:
Получено: от maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1])
от mx.google.com с идентификатором ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59
за
(версия = шифр TLSv1 = биты RC4-SHA = 128/128);
Понедельник, 08 июля 2013 г. 04:11:00 -0700 (PDT)
Это говорит о том, что mx.google.com
получил письмо от maxipes.logix.cz
по адресу Пн, 8 июля 2013 г. 04:11:00 -0700 (PDT )
.
Теперь, чтобы найти реального отправителя вашей электронной почты, ваша цель состоит в том, чтобы найти последний доверенный шлюз – последний при чтении заголовков сверху, то есть сначала в хронологическом порядке. Давайте начнем с поиска почтового сервера Билла. Для этого вы запрашиваете запись MX для домена. Вы можете использовать некоторые онлайн-инструменты или в Linux вы можете запросить его в командной строке (обратите внимание, что реальное имя домена было изменено на domain.com
):
~ $ host -t MX domain.com
domain.com MX 10 cerecek.logix.cz
domain.com MX 5 maxipes.logix.cz
Итак, вы видите, что почтовый сервер для domain.com – это maxipes.logix.cz
или cerecek.logix.cz
.Следовательно, последний (первый в хронологическом порядке) доверенный «прыжок» – или последняя доверенная «полученная запись» или как вы ее называете – вот этот:
Получено: от elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
по maxipes.logix.cz (Postfix) с идентификатором ESMTP B43175D3A44
за ; Пн, 8 июля 2013 23:10:48 +1200 (NZST)
Вы можете доверять этому, потому что это было записано почтовым сервером Билла для domain.com
. Этот сервер получил его от 209.86.89.64
. Это может быть и очень часто является реальным отправителем письма – в данном случае мошенником! Вы можете проверить этот IP в черном списке. – Видите ли, он указан в 3 черных списках! Под ним есть еще одна запись:
Получено: от [168.62.170.129] (helo = laurence39)
elasmtp-curtail.atl.sa.earthlink.net с esmtpa (Exim 4.67)
(конверт из)
id 1Uw98w-0006KI-6y
для bill@domain.com; Пн, 08 Jul 2013 06:58:06 -0400
но вы не можете доверять этому, потому что это может быть добавлено мошенником, чтобы стереть его следы и/или проложить ложный след . Конечно, все еще существует вероятность того, что сервер 209.86.89.64
невиновен и действует только как ретранслятор для реального злоумышленника в 168.62.170.129
, но тогда ретранслятор часто считается виновным и очень часто в черном списке. В этом случае 168.62.170.129
чист, поэтому мы можем быть почти уверены, что атака была совершена с 209.86.89.64
.
И конечно, как мы знаем, Алиса использует Yahoo! и elasmtp-curtail.atl.sa.earthlink.net
нет в Yahoo! сети (вы можете захотеть перепроверить информацию об IP-адресах Whois), мы можем с уверенностью заключить, что это электронное письмо было не от Алисы, и что мы не должны отправлять ей какие-либо деньги в ее заявленный отпуск на Филиппинах.
Два других участника, Ex Umbris и Vijay, порекомендовали, соответственно, следующие услуги для помощи при расшифровке заголовков электронной почты: SpamCop и инструмент анализа заголовков Google.
Есть что добавить к объяснению? Звук выключен в комментариях. Хотите узнать больше ответов от других опытных пользователей Stack Exchange? Ознакомьтесь с полной веткой обсуждения здесь.