Как я могу узнать, откуда на самом деле пришло электронное письмо? Есть ли способ узнать его?
Я слышал о почтовых заголовках, но не знаю, где я могу увидеть почтовые заголовки, например, в Gmail. Помощь есть?
См. ниже пример аферы, которую мне прислали, выдавая себя за мою подругу, утверждая, что ее ограбили и прося о финансовой помощи. Я поменял имена - я “Билл”, а мошенник отправил письмо на адрес bill@domain.com, выдавая себя за alice@yahoo.com. Обратите внимание, что Билл пересылает свое письмо на bill@gmail.com.
Сначала в Gmail нажмите show original:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Откроется полное письмо и его заголовки:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Заголовки должны читаться хронологически снизу вверх - самые старые находятся внизу. Каждый новый сервер в пути добавляет свое сообщение - начиная с Received. Например:
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Это говорит о том, что mx.google.com получил почту от maxipes.logix.cz на Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
Теперь, чтобы найти real отправителя вашей почты, вы должны найти самый ранний доверенный шлюз - последний при чтении заголовков сверху. Давайте начнем с поиска почтового сервера Билла. Для этого запросим MX-запись для домена. Вы можете использовать такие онлайн-средства, как Mx Toolbox , или в Linux вы можете сделать запрос из командной строки (обратите внимание, что реальное доменное имя было изменено на domain.com):
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
И вы увидите, что почтовый сервер для домена domain.com - это maxipes.logix.cz или broucek.logix.cz. Следовательно, последняя (первая хронологически) доверенная “прыжок” - или последняя доверенная “Полученная запись”, или как вы ее называете - это она:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Вы можете доверять этому, потому что это было записано почтовым сервером Билла для domain.com. Этот сервер получил его от 209.86.89.64. Это может быть и очень часто является настоящим отправителем почты - в данном случае мошенником! Вы можете проверить этот IP в черном списке . - Смотрите, он находится в 3-х черных списках! Под ним еще одна запись:
Но будьте осторожны, доверяя, что это настоящий источник письма. Жалоба на черный список может быть просто добавлена мошенником, чтобы стереть его следы и/или проложить ложный след. Все еще существует вероятность того, что сервер 209.86.89.64 невиновен и является просто ретранслятором для настоящего злоумышленника на 168.62.170.129. В данном случае, 168.62.170.129 чисто , поэтому мы можем быть почти уверены, что атака была выполнена с 209.86.89.64.
Еще один момент, который следует помнить, это то, что Элис использует Yahoo! (alice@yahoo.com) и elasmtp-curtail.atl.sa.earthlink.net нет в сети Yahoo! (возможно, вы захотите перепроверить информацию IP Whois ). Поэтому мы можем с уверенностью заключить, что это письмо не от Алисы, и мы не должны посылать ее деньги на Филиппины.
Чтобы найти IP-адрес:
Щелкните на перевернутом треугольнике рядом с Reply. Выберите Показать оригинал.
Ищите Received: from, а затем IP-адрес в квадратных скобках []. (пример: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Если найдено более одного Received: из шаблонов, выберите последний.
Источник )
После этого вы можете использовать сайт питон-клуба , iplocation.net или ip lookup , чтобы узнать местоположение.
Как добраться до заголовков зависит от клиентов электронной почты. Многие клиенты позволяют легко увидеть исходный формат сообщения. Другие (MicroSoft Outlook) усложняют задачу.
Для определения того, кто действительно отправил сообщение, полезно использовать обратный путь. Однако его можно подделать. Адрес пути возврата, не совпадающий с адресом From, является причиной для подозрений. Есть законные причины, по которым они могут отличаться, например, сообщения, пересылаемые из списков рассылки, или ссылки, пересылаемые с веб-сайтов. (Было бы лучше, если бы веб-сайт использовал адрес Reply-to для идентификации лица, пересылающего ссылку).
Определить происхождение сообщения, прочитанного сверху вниз по полученным заголовкам. Их может быть несколько. Большинство из них будут иметь IP-адрес сервера, на который они получили форму сообщения. Некоторые проблемы, с которыми вы столкнетесь:
Вы всегда должны быть в состоянии определить, с какого сервера в Интернете было отправлено сообщение. Дальнейшее обратное отслеживание зависит от конфигурации серверов-отправителей.
Я использую http://whatismyipaddress.com/trace-email . Если вы используете Gmail, нажмите кнопку Показать оригинал (в разделе Дополнительно, рядом с кнопкой Ответить, скопируйте заголовки, вставьте их на этот сайт и нажмите кнопку Получить источник. Вы получите информацию о геолокации и карту в ответ.
Также есть некоторые инструменты для анализа почтовых заголовков и извлечения данных электронной почты для вас, например: ,
MSGTAG
Вежливая почта
Программное обеспечение для супермаркетинга электронной почты
Zendio