Bir E-postanın nereden geldiğini nasıl öğrenebilirim?
Sadece gelen kutunuzda [email protected] etiketli bir e-postanın görünmesi, Bill'in bununla bir ilgisi olduğu anlamına gelmez. Nasıl kazılacağınızı ve şüpheli bir e-postanın nereden geldiğini öğrendiğimizi okuyun..
Bugünün Soru ve Cevap oturumu bize, bir soru-cevap web sitelerinin topluluk tarafından yönlendirilen bir grup grubu olan Stack Exchange'in bir alt birimi olan SuperUser'ın izniyle geliyor..
Soru
SuperUser okuyucu Sirwan, e-postaların gerçekte nereden geldiğini anlamak için:
Bir E-postanın nereden geldiğini nasıl bilebilirim?
Bunu öğrenmenin bir yolu var mı??
E-posta başlıklarını duydum ancak e-posta başlıklarını nerede görebilirim, örneğin Gmail’de.
Bu e-posta başlıklarına bir göz atalım.
Cevaplar
SuperUser yazarı Tomas, çok ayrıntılı ve anlayışlı bir yanıt sunuyor:
Bana gönderilen bir aldatmaca örneğine bakın, arkadaşımdan olduğunu iddia ederek, soyulduğunu iddia etmeyi ve benden maddi yardım istememi istedi. İsimleri değiştirdim - Diyelim ki Bill'im, dolandırıcıya bir e-posta gönderdi.
[email protected]
, onun gibi davranmak[email protected]
. Bill’in beklediğini unutmayın.[email protected]
.İlk olarak, Gmail’de
orjinali göster
:Ardından, tam e-posta ve başlıkları açılacaktır:
Teslim Edilenler: [email protected] Alınan: 10.64.21.33'e kadar SMTP kimliği ile s1csp177937iee; Pzt, 8 Tem 2013 04:11:00 - 0700 (PDT) X Alınan: 10.14.47.73 itibariyle SMTP kimliği ile s49mr24756966eeb.71.1373281860071; Pzt, 08 Tem 2013 04:11:00 -0700 (PDT) Dönüş Yolu: Alınan: maxipes.logix.cz'ten (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) ESMTPS kimliği j47si6975462eeg.108.2013.07.08.04.10.59 ile mx.google.com tarafından (version = TLSv1 şifresi = RC4-SHA bitleri = 128/128); Pzt, 08 Tem 2013 04:11:00 -0700 (PDT) Alınan-SPF: nötr (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 için, [email protected]) etki alanı) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Kimlik Doğrulama-Sonuçları: mx.google.com; spf = nötr (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1, [email protected] etki alanı için en iyi tahmin kaydı tarafından izin verilmez veya reddedilmez ) [email protected] Alınan: tarafından maxipes.logix.cz (Postfix, userid 604) kimliği C923E5D3A45; Pzt, 8 Tem 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: gecikmiş 00:06:34 SQLgrey-1.8.0-rc1 tarafından alındı: elasmtp-curtail'den .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) tarafından maxipes.logix.cz (Postfix) by ESMTP id B43175D3A44; Pzt, 8 Tem 2013 23:10:48 +1200 (NZST) Alınan: [168.62.170.129] 'dan (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net tarafından esmtpa (Exim 4.67) (zarf-dan ) id 1Uw98w-0006KI-6y için [email protected]; Pzt, 08 Tem 2013 06:58:06 -0400 Gönderen: "Alice" Konu: Korkunç Seyahat Konusu… Lütfen en kısa sürede cevap verin: [email protected] Content-Type: multipart / alternative; Sınır = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME Versiyon: 1.0 Yanıtla: [email protected] Tarihi: Mon, 8 Temmuz 2013 10:58:06 +0000 Message-ID: X-ELNK-İz: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… E-posta gövdesini kestim…]
Başlıklar kronolojik olarak aşağıdan yukarıya doğru en eskiden okunmalıdır. Yoldaki her yeni sunucu kendi mesajını ekleyecektir -
Alınan
. Örneğin:Alınan: maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1] tarafından) (Sürüm = TLSv1 şifresi = RC4-SHA bitleri = 128/128) için 59; Pzt, 08 Tem 2013 04:11:00 - 0700 (PDT)
Bu diyor ki
mx.google.com
gelen postaları aldımaxipes.logix.cz
enPzt, 08 Tem 2013 04:11:00 - 0700 (PDT)
.Şimdi bulmak için gerçek e-postanızı gönderirken, hedefiniz en son güvenilir ağ geçidini bulmaktır - en son başlıkları okurken, yani ilk önce kronolojik sırada. Bill'in posta sunucusunu bularak başlayalım. Bunun için etki alanı için MX kaydı sorgulamanız gerekir. Bazı çevrimiçi araçları kullanabilir veya Linux'ta komut satırından sorgulayabilirsiniz (gerçek etki alanı adının değiştirildiğine dikkat edin).
domain.com
):~ $ ana bilgisayar -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Yani domain.com için posta sunucusunu görüyorsunuz
maxipes.logix.cz
veyabroucek.logix.cz
. Bu nedenle, son (ilk kronolojik olarak) güvenilir “hop” - veya son güvenilir “Alınan kayıt” ya da her ne diyorsanız - şudur:Alınan: elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) için maxipes.logix.cz (ESFTP id B43175D3A44; Pzt, 8 Tem 2013 23:10:48 + 1200 (NZST)
Buna güvenebilirsiniz çünkü bu, Bill'in posta sunucusu tarafından kaydedildi.
domain.com
. Bu sunucu ondan aldı209.86.89.64
. Bu, e-postanın asıl göndereni olabilir ve çok sık olabilir - bu durumda dolandırıcı! Bu IP'yi bir kara listede kontrol edebilirsiniz. - Bakın, o 3 kara listede var! Altında başka bir kayıt daha var:Alınan: [168.62.170.129] 'dan (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net tarafından esmtpa (Exim 4.67) (zarftan) id 1Uw98w-0006KI-6y ile [email protected]; Pzt, 08 Tem 2013 06:58:06 -0400
ama buna gerçekten güvenemezsin, çünkü bu sadece dolandırıcı tarafından izlerini silmek için eklenebilir ve / veya yanlış iz bırakmak. Tabii ki hala sunucunun olasılığı var
209.86.89.64
masum ve yalnızca saldırganın gerçek saldırganı için bayrak görevi görüyor168.62.170.129
, ancak o zaman rölenin çoğu zaman suçlu olduğu kabul edilir ve çok sık kara listeye alınır. Bu durumda,168.62.170.129
temiz olduğu için saldırının yapıldığı konusunda neredeyse emin olabiliriz.209.86.89.64
.Ve tabii ki, Alice’in Yahoo! ve
elasmtp-curtail.atl.sa.earthlink.net
Yahoo! ağ (IP Whois bilgilerini tekrar kontrol etmek isteyebilirsiniz), bu e-postanın Alice’de olmadığını ve Filipinler’de talep ettiği tatil için ona herhangi bir para göndermememiz gerektiğini güvenle söyleyebiliriz..
Diğer iki katılımcı, Ex Umbris ve Vijay, e-posta başlıklarının kodunun çözülmesine yardımcı olmak için sırasıyla aşağıdaki hizmetleri tavsiye etti: SpamCop ve Google'ın Başlık Analizi aracı.
Açıklamaya eklemek için bir şey var mı? Yorumlarda ses kesiliyor. Diğer teknoloji meraklısı Stack Exchange kullanıcılarından daha fazla cevap okumak ister misiniz? Burada tüm tartışma konusuna göz atın.