Jak mogę się dowiedzieć, skąd naprawdę pochodzi wiadomość e-mail?

Poniżej znajduje się przykład oszustwa, które zostało wysłane do mnie, udając, że pochodzi od mojej przyjaciółki, twierdząc, że została okradziona i prosząc mnie o pomoc finansową. Zmieniłem imiona - jestem “Bill”, a oszust wysłał e-mail do bill@domain.com, podając się za alice@yahoo.com. Zauważ, że Bill przekazuje swój e-mail do bill@gmail.com.

Najpierw, w Gmailu, kliknij show original:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Otworzy się pełna wiadomość e-mail i jej nagłówki:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Nagłówki należy czytać chronologicznie od dołu do góry - najstarsze są na dole. Każdy nowy serwer po drodze dodaje swój własny komunikat - zaczynając od Received. Na przykład:

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

To mówi, że mx.google.com odebrał pocztę od maxipes.logix.cz z adresu Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Teraz, aby znaleźć prawdziwego nadawcę Twojego emaila, musisz znaleźć najwcześniejszą zaufaną bramę - ostatnią, gdy czytasz nagłówki od góry. Zacznijmy od znalezienia serwera pocztowego Billa. W tym celu należy sprawdzić rekord MX dla domeny. Możesz użyć narzędzi online, takich jak Mx Toolbox , lub w Linuksie możesz odpytać go z linii poleceń (zauważ, że prawdziwa nazwa domeny została zmieniona na domain.com):

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

I zobaczysz, że serwer pocztowy dla domain.com to maxipes.logix.cz lub broucek.logix.cz. Stąd ostatnim (pierwszym chronologicznie) zaufanym “hopem” - lub ostatnim zaufanym “Received record” lub jakkolwiek to nazwiesz - jest ten:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Możesz temu zaufać, ponieważ został on zarejestrowany przez serwer pocztowy Billa dla domain.com. Ten serwer dostał go od 209.86.89.64. To może być, i bardzo często jest, prawdziwy nadawca maila - w tym przypadku oszust! Możesz sprawdzić to IP na czarnej liście . - Zobacz, że jest on wymieniony na 3 czarnych listach! Pod nim znajduje się jeszcze jeden rekord:

Ale bądź ostrożny ufając, że to jest prawdziwe źródło maila. Skarga na czarną listę może być dodana przez scamera, aby zatrzeć ślady i/lub zrobić fałszywy ślad. Istnieje jeszcze możliwość, że serwer 209.86.89.64 jest niewinny i jest tylko przekaźnikiem dla prawdziwego napastnika z 168.62.170.129. W tym przypadku, 168.62.170.129 jest czysty więc możemy być prawie pewni, że atak został przeprowadzony z 209.86.89.64.

Innym punktem, o którym należy pamiętać, jest to, że Alice używa Yahoo! (alice@yahoo.com), a elasmtp-curtail.atl.sa.earthlink.net nie jest w sieci Yahoo! (możesz chcieć ponownie sprawdzić informacje Whois o jego IP ). Dlatego możemy bezpiecznie stwierdzić, że ten e-mail nie pochodzi od Alicji, a my nie powinniśmy wysyłać jej pieniędzy na Filipiny.

Aby znaleźć adres IP:

Kliknij na odwrócony trójkąt obok Reply. Wybierz Pokaż oryginał.

Poszukaj Received: from, a następnie adresu IP w nawiasach kwadratowych []. (przykład: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Jeżeli znajdziesz więcej niż jeden Received: from patterns, wybierz ostatni.

Source )

Po tym, możesz użyć pythonclub site , iplocation.net lub ip lookup aby znaleźć lokalizację.

Sposób dostępu do nagłówków różni się w zależności od klienta poczty. Wiele klientów pozwala łatwo zobaczyć oryginalny format wiadomości. Inne (MicroSoft Outlook) sprawiają, że jest to trudniejsze.

Aby określić, kto naprawdę wysłał wiadomość, ścieżka zwrotna jest pomocna. Jednak może ona zostać sfałszowana. Adres ścieżki zwrotnej, który nie pasuje do adresu Od, jest powodem do podejrzeń. Istnieją uzasadnione powody, dla których mogą się one różnić, np. wiadomości przekazywane z list mailingowych lub odsyłacze wysyłane ze stron internetowych. (Byłoby lepiej, gdyby witryna używała adresu Reply-to do identyfikacji osoby przesyłającej link).

Aby określić pochodzenie wiadomości należy czytać od góry w dół przez otrzymane nagłówki. Może ich być kilka. Większość z nich będzie miała adres IP serwera, z którego otrzymano wiadomość. Niektóre problemy, które można napotkać:

• Niektóre strony używają zewnętrznych programów do skanowania wiadomości, które ponownie wysyłają wiadomość po skanowaniu. Mogą one wprowadzać localhost lub inne dziwne adresy.
  
• Niektóre serwery zaciemniają adresy poprzez pomijanie treści.
  
• Niektóre SPAMy zawierają fałszywe nagłówki, które mają na celu wprowadzenie użytkownika w błąd.
• Prywatne (10.0.0.0/8, 172.16.0.0/12, oraz 192.168.0.0/16) adresy IP mogą się pojawić, ale mają sens tylko w sieci, z której pochodzą.

Powinieneś zawsze być w stanie określić, który serwer w Internecie wysłał do Ciebie wiadomość. Prześledzenie dalszej drogi wstecz zależy od konfiguracji serwerów wysyłających.

Ja używam http://whatismyipaddress.com/trace-email . Jeśli używasz Gmaila, kliknij Pokaż oryginał (na Więcej, obok przycisku Odpowiedz, skopiuj nagłówki, wklej je na tę stronę i kliknij Pobierz źródło. W zamian otrzymasz informacje o geolokalizacji i mapę.

Istnieje również kilka narzędzi do analizy nagłówków e-maili i wyodrębnić dane e-mail dla Ciebie, na przykład:

1. eMailTrackerPro

2. MSGTAG

3. PoliteMail

4. Super Email Marketing Software

5. Zendio