Come posso sapere da dove proviene davvero un'e-mail?


107

Come posso sapere da dove proviene davvero un'e-mail? C'è un modo per scoprirlo?

Ho sentito parlare delle intestazioni delle e-mail, ma non so dove posso vedere le intestazioni delle e-mail, ad esempio in Gmail. Qualsiasi aiuto?


btw. Gli indirizzi IP nelle intestazioni di Gmail sono in formato IPv6: v6decode.com
user956584

Risposte:


147

Vedi sotto per un esempio di una truffa che mi è stata inviata, fingendo di essere dalla mia amica, sostenendo che è stata derubata e mi ha chiesto un aiuto finanziario. Ho cambiato i nomi: sono "Bill" e il truffatore ha inviato un'email a bill@domain.com, fingendo di esserlo alice@yahoo.com. Nota che Bill inoltra la sua email a bill@gmail.com.

Innanzitutto, in Gmail, fai clic su show original:

Menu messaggi> Mostra originale

L'email completa e le relative intestazioni si apriranno:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Le intestazioni devono essere lette in ordine cronologico dal basso verso l'alto - le più vecchie sono in fondo. Ogni nuovo server in arrivo aggiunge il proprio messaggio, a partire da Received. Per esempio:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Questo dice che mx.google.comha ricevuto la mail da maxipes.logix.cza Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Ora, per trovare il vero mittente della tua e-mail, devi trovare il primo gateway attendibile, ultimo quando leggi le intestazioni dall'alto. Cominciamo trovando il server di posta di Bill. Per questo, interroga il record MX per il dominio. Puoi usare strumenti online come Mx Toolbox o su Linux puoi interrogarlo dalla riga di comando (nota che il vero nome di dominio è stato cambiato in domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

E vedrai che il server di posta per domain.com è maxipes.logix.czo broucek.logix.cz. Quindi, l'ultimo (primo cronologicamente) "hop" fidato - o l'ultimo "Record ricevuto" fidato o come lo chiami tu - è questo:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Puoi fidarti di questo perché è stato registrato dal server di posta di Bill per domain.com. Questo server l'ha preso 209.86.89.64. Questo potrebbe essere, e molto spesso è, il vero mittente dell'e-mail - in questo caso il truffatore! Puoi controllare questo IP in una lista nera . - Vedi, è elencato in 3 liste nere! C'è ancora un altro record sotto di esso:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Ma stai attento a fidarti che questa è la vera fonte dell'e-mail. La denuncia nella lista nera potrebbe essere semplicemente aggiunta dal truffatore per cancellare le sue tracce e / o gettare una falsa traccia . Esiste ancora la possibilità che il server 209.86.89.64sia innocente e sia solo un relay per il vero aggressore 168.62.170.129. In questo caso, 168.62.170.129 è pulito, quindi possiamo essere quasi certi dell'attacco 209.86.89.64.

Un altro punto da tenere a mente è che Alice usa Yahoo! (alice@yahoo.com) e elasmtp-curtail.atl.sa.earthlink.netnon è su Yahoo! rete (si consiglia di ricontrollare le informazioni IP Whois ). Pertanto, possiamo tranquillamente concludere che questa e-mail non proviene da Alice e non dovremmo inviare i suoi soldi alle Filippine.


15
In alternativa, puoi incollare le intestazioni in SpamCop e lasciare che esegua la decodifica per te. Se lo desideri, invieranno persino un avviso SPAM al responsabile o ai responsabili responsabili.
Ex Umbris,

8
In alternativa, puoi anche utilizzare lo strumento di analisi dell'intestazione di Google
Vijay,

2
Questo è dolorosamente comune - al punto in cui consiglio di solito alle persone che ricevono tali messaggi di posta elettronica di chiedere qualcosa che solo il proprietario dell'addie di posta elettronica potrebbe sapere che è falso;)
Journeyman Geek

9
@JourneymanGeek La migliore pratica è spesso quella di non rispondere: una risposta (o facendo clic su un collegamento o caricando risorse esterne, ad esempio immagini) potrebbe fornire agli spammer di massa che il tuo indirizzo email è valido e che qualcuno lo sta effettivamente leggendo.
Bob,

1
Come amministratore di sistema, ho dovuto gestire alcune e-mail anonime, molto offensive e spiacevoli, inviate a uno dei nostri dipendenti qualche anno fa. Il backtracking delle intestazioni era un vicolo cieco, poiché il mittente (purtroppo) era stato abbastanza esperto da usare un remailer anonimo ( en.wikipedia.org/wiki/Anonymous_remailer ). In questi casi, non c'è praticamente nulla che tu possa fare (forse a meno che tu non lavori per l'NSA).
abstrask

10

Per trovare l'indirizzo IP:

Fai clic sul triangolo invertito accanto a Rispondi. Seleziona Mostra originale.

Cercare Received: fromseguito dall'indirizzo IP tra parentesi quadre []. (esempio Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)

Se trovi più di un Ricevuto: dai modelli, seleziona l'ultimo.

( Fonte )

Successivamente, è possibile utilizzare il sito pythonclub , iplocation.net o la ricerca ip per scoprire la posizione.


che IP è per Mail Server o posizione della persona che ha inviato e-mail?
Sirwan Afifi,

1
È un server di posta. Non sono sicuro se esiste un modo per determinare da quale email ip è stata digitata.
Luca,

La selezione dell'ultimo record "Ricevuto:" non è la strategia migliore: potrebbe essere stata aggiunta dall'attaccante per disegnare un'aringa rossa attraverso la pista. Invece, devi trovare l' ultimo attendibile . Vedi la mia risposta
Tomas,

6

Il modo in cui si arriva alle intestazioni varia tra i client di posta elettronica. Molti client ti faranno vedere facilmente il formato originale del messaggio. Altri (MicroSoft Outlook) lo rendono più difficile.

Per determinare chi ha realmente inviato il messaggio, il percorso di ritorno è utile. Tuttavia, può essere falsificato. Un indirizzo di ritorno che non corrisponde all'indirizzo Da è motivo di sospetto. Esistono motivi legittimi per cui sono diversi, ad esempio i messaggi inoltrati dalle mailing list o i collegamenti inviati da siti Web. (Sarebbe meglio se il sito web usasse l'indirizzo di risposta per identificare la persona che inoltra il link.)

Per determinare l'origine del messaggio letto dall'alto verso il basso attraverso le intestazioni ricevute. Ce ne possono essere diversi. La maggior parte avrà l'indirizzo IP del server in cui ha ricevuto il modulo del messaggio. Alcuni problemi che incontrerai:

  • Alcuni siti utilizzano un programma esterno per scansionare i messaggi che rispediscono il messaggio dopo la scansione. Questi possono introdurre localhost o altri indirizzi strani.
  • Alcuni server offuscano gli indirizzi omettendo il contenuto.
  • Alcuni SPAM includeranno intestazioni ricevute false intese a fuorviarti.
  • Potrebbe essere visualizzato un indirizzo IP privato (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16), ma ha senso solo sulla rete da cui provengono.

Dovresti sempre essere in grado di determinare quale server su Internet ti ha inviato il messaggio. La traccia più indietro dipende dalla configurazione dei server di invio.


Cordiali saluti negli ultimi Microsoft Outlook è necessario aprire un messaggio nella propria finestra, quindi è solo File, Proprietà. Non è difficile.
Rup,

1

Uso http://whatismyipaddress.com/trace-email . Se usi Gmail, fai clic su Mostra originale (su Altro, accanto al pulsante Rispondi, copia le intestazioni, incollale su questo sito Web e fai clic su Ottieni fonte. Riceverai le informazioni sulla posizione geografica e la mappa in cambio


0

inoltre ci sono alcuni strumenti per analizzare le intestazioni e-mail ed estrarre i dati e-mail per te,
ad esempio:

  1. eMailTrackerPro

    che può rintracciare un'e-mail nella sua posizione geografica, incluso il filtro antispam

  2. MSGTAG

  3. PoliteMail

  4. Software di Super Email Marketing

  5. Zendio


eMailTracketPro non funziona .. Ho appena scaricato una versione di prova. e si è bloccato
Md Faisal il
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.