Làm thế nào tôi có thể tìm ra một email thực sự đến từ đâu?


107

Làm thế nào tôi có thể biết một email thực sự có nguồn gốc từ đâu? Có cách nào để tìm ra nó?

Tôi đã nghe nói về tiêu đề email, nhưng tôi không biết tôi có thể thấy tiêu đề email ở đâu, ví dụ như trong Gmail. Có ai giúp đỡ không?


btw. Địa chỉ IP trong gmail Header có định dạng IPv6: v6decode.com
user956584

Câu trả lời:


147

Xem bên dưới để biết ví dụ về một trò lừa đảo được gửi cho tôi, giả vờ là từ bạn của tôi, cho rằng cô ấy đã bị cướp và yêu cầu tôi hỗ trợ tài chính. Tôi đã thay đổi tên - Tôi là "Bill" và kẻ lừa đảo đã gửi email đến bill@domain.com, giả vờ alice@yahoo.com. Lưu ý rằng Bill chuyển tiếp email của mình đến bill@gmail.com.

Đầu tiên, trong Gmail, nhấp show original:

Menu tin nhắn> Hiển thị bản gốc

Email đầy đủ và các tiêu đề của nó sẽ mở ra:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Các tiêu đề phải được đọc theo trình tự thời gian từ dưới lên trên - cũ nhất là ở dưới cùng. Mỗi máy chủ mới trên đường đều thêm thông điệp riêng - bắt đầu bằng Received. Ví dụ:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Điều này nói rằng mx.google.comđã nhận được thư từ maxipes.logix.czlúc Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Bây giờ, để tìm người gửi thực sự của email của bạn, bạn phải tìm cổng đáng tin cậy sớm nhất - cuối cùng khi đọc các tiêu đề từ đầu. Hãy bắt đầu bằng cách tìm máy chủ thư của Bill. Đối với điều này, truy vấn bản ghi MX cho tên miền. Bạn có thể sử dụng các công cụ trực tuyến như Mx Toolbox hoặc trên Linux, bạn có thể truy vấn nó trên dòng lệnh (lưu ý tên miền thực đã được đổi thành domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

Và bạn sẽ thấy máy chủ thư cho domain.com là maxipes.logix.czhoặc broucek.logix.cz. Do đó, "hop" cuối cùng (theo thứ tự thời gian) đáng tin cậy cuối cùng - hoặc "bản ghi đã nhận" đáng tin cậy cuối cùng hoặc bất cứ thứ gì bạn gọi nó - là cái này:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Bạn có thể tin tưởng điều này bởi vì nó được ghi lại bởi máy chủ thư của Bill domain.com. Máy chủ này đã nhận nó từ 209.86.89.64. Điều này có thể, và rất thường xuyên là, người gửi email thực sự - trong trường hợp này là kẻ lừa đảo! Bạn có thể kiểm tra IP này trong danh sách đen . - Xem nào, anh được liệt kê trong 3 danh sách đen! Vẫn còn một kỷ lục khác bên dưới nó:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Nhưng hãy cẩn thận tin rằng đây là nguồn thực sự của email. Khiếu nại trong danh sách đen chỉ có thể được thêm vào bởi kẻ lừa đảo để xóa sạch dấu vết của anh ta và / hoặc đặt dấu vết sai . Vẫn có khả năng máy chủ 209.86.89.64vô tội và chỉ là một rơle cho kẻ tấn công thực sự tại 168.62.170.129. Trong trường hợp này, 168.62.170.129 sạch sẽ để chúng tôi có thể gần như chắc chắn cuộc tấn công đã được thực hiện từ đó 209.86.89.64.

Một điểm khác cần lưu ý là Alice sử dụng Yahoo! (alice@yahoo.com) và elasmtp-curtail.atl.sa.earthlink.netkhông có trên Yahoo! mạng (bạn có thể muốn kiểm tra lại thông tin IP Whois của nó ). Do đó, chúng tôi có thể kết luận một cách an toàn rằng email này không phải của Alice và chúng tôi không nên gửi tiền của cô ấy đến Philippines.


15
Hoặc, bạn có thể dán các tiêu đề vào SpamCop và để nó thực hiện tất cả các giải mã cho bạn. Họ thậm chí sẽ gửi thông báo SPAM tới (các) sysadmin có trách nhiệm nếu bạn muốn.
Ex Umbris

8
Hoặc, bạn cũng có thể sử dụng công cụ phân tích tiêu đề của google
Vijay

2
Điều này rất phổ biến - đến mức tôi thường khuyên những người nhận được những email như vậy hãy hỏi điều gì đó chỉ chủ sở hữu của người nghiện email mới biết là sai;)
Journeyman Geek

9
@JTHERmanGeek Thực tiễn tốt nhất thường là không trả lời - trả lời (hoặc nhấp vào bất kỳ liên kết nào hoặc tải tài nguyên bên ngoài, ví dụ như hình ảnh) có thể cung cấp một dấu hiệu cho những kẻ gửi thư rác rằng địa chỉ email của bạn là hợp lệ và ai đó thực sự đang đọc nó.
Bob

1
Là một sysadmin, tôi đã phải đối phó với một vài email nặc danh, rất lạm dụng và khó chịu, được gửi cho một trong những nhân viên của chúng tôi vài năm trước. Quay lại các tiêu đề là một ngõ cụt, vì người gửi (không may) đủ hiểu biết để sử dụng một người gửi thư nặc danh ( en.wikipedia.org/wiki/Anonymous_remailer ). Trong những trường hợp như vậy, thực tế không có gì bạn có thể làm (có thể trừ khi bạn làm việc cho NSA).
tóm tắt

10

Để tìm địa chỉ IP:

Nhấp vào hình tam giác ngược bên cạnh Trả lời. Chọn Hiển thị Bản gốc.

Tìm kiếm Received: fromtheo sau là địa chỉ IP giữa dấu ngoặc vuông []. (ví dụ Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)

Nếu bạn tìm thấy nhiều hơn một Đã nhận: từ các mẫu, hãy chọn mẫu cuối cùng.

( Nguồn )

Sau đó, bạn có thể sử dụng trang web python club , iplocation.net hoặc tra cứu ip để tìm ra vị trí.


IP đó dành cho Mail Server hay địa điểm của người đã gửi email?
Sirwan Afifi

1
Đó là máy chủ mail. Không chắc chắn nếu có một cách để xác định email ip nào được nhập.
Lu-ca

Chọn bản ghi "Đã nhận:" cuối cùng không phải là chiến lược tốt nhất - kẻ tấn công có thể đã được thêm vào để vẽ cá trích đỏ trên đường đua. Thay vào đó, bạn phải tìm người cuối cùng đáng tin cậy . Xem câu trả lời của tôi
Tomas

6

Cách bạn nhận được các tiêu đề khác nhau giữa các ứng dụng email. Nhiều khách hàng sẽ cho phép bạn xem định dạng ban đầu của tin nhắn một cách dễ dàng. Những người khác (MicroSoft Outlook) làm cho nó khó khăn hơn.

Để xác định ai thực sự gửi tin nhắn, đường dẫn trở lại là hữu ích. Tuy nhiên, nó có thể bị giả mạo. Địa chỉ đường dẫn trả về không khớp với địa chỉ Từ là nguyên nhân gây nghi ngờ. Có những lý do chính đáng để chúng khác nhau, chẳng hạn như thư được chuyển tiếp từ danh sách gửi thư hoặc liên kết được gửi từ các trang web. (Sẽ tốt hơn nếu trang web sử dụng địa chỉ Trả lời để xác định người chuyển tiếp liên kết.)

Để xác định nguồn gốc của tin nhắn được đọc từ trên xuống thông qua các tiêu đề nhận được. Có thể có một số. Hầu hết sẽ có địa chỉ IP của máy chủ mà họ nhận được mẫu tin nhắn. Một số vấn đề bạn sẽ gặp phải:

  • Một số trang web sử dụng chương trình bên ngoài để quét các tin nhắn gửi lại tin nhắn sau khi quét. Chúng có thể giới thiệu localhost hoặc các địa chỉ lạ khác.
  • Một số máy chủ làm xáo trộn địa chỉ bằng cách bỏ qua nội dung.
  • Một số SPAM sẽ bao gồm các tiêu đề nhận được giả mạo nhằm đánh lừa bạn.
  • Địa chỉ IP riêng tư (10.0.0.0/8, 172.16.0.0/12 và 192.168.0.0/16) có thể xuất hiện, nhưng chỉ có ý nghĩa trên mạng mà chúng đến từ.

Bạn phải luôn có thể xác định máy chủ nào trên Internet đã gửi tin nhắn cho bạn. Truy tìm lại trở lại phụ thuộc vào cấu hình của các máy chủ gửi.


FYI trong Microsoft Outlook gần đây, bạn cần mở một thông báo vào cửa sổ riêng của nó, sau đó chỉ là Tệp, Thuộc tính. Điều đó không khó.
Rup

1

Tôi sử dụng http://whatismyipaddress.com/trace-email . Nếu bạn sử dụng Gmail, hãy nhấp vào Hiển thị bản gốc (trên Khác, bên cạnh nút Trả lời, sao chép các tiêu đề, dán chúng vào trang web này và nhấp vào Lấy nguồn. Bạn sẽ nhận được thông tin và vị trí Geo-location


0

cũng có một số công cụ để phân tích các tiêu đề email và trích xuất dữ liệu email cho bạn,
ví dụ:

  1. eMailTrackerPro

    có thể theo dõi email trở lại vị trí địa lý của nó, bao gồm cả bộ lọc thư rác

  2. MSGTAG

  3. Lịch sự

  4. Phần mềm tiếp thị siêu email

  5. Zendio


eMailTrquetPro không hoạt động ..! Tôi vừa tải xuống phiên bản dùng thử của nó. và nó đã bị mắc kẹt
Md Faisal
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.