Come posso sapere da dove proviene davvero un'e-mail? C'è un modo per scoprirlo?
Ho sentito parlare delle intestazioni delle e-mail, ma non so dove posso vedere le intestazioni delle e-mail, ad esempio in Gmail. Qualsiasi aiuto?
Risposte:
Vedi sotto per un esempio di una truffa che mi è stata inviata, fingendo di essere dalla mia amica, sostenendo che è stata derubata e mi ha chiesto un aiuto finanziario. Ho cambiato i nomi: sono "Bill" e il truffatore ha inviato un'email a bill@domain.com, fingendo di esserlo alice@yahoo.com. Nota che Bill inoltra la sua email a bill@gmail.com.
Innanzitutto, in Gmail, fai clic su show original:
L'email completa e le relative intestazioni si apriranno:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Le intestazioni devono essere lette in ordine cronologico dal basso verso l'alto - le più vecchie sono in fondo. Ogni nuovo server in arrivo aggiunge il proprio messaggio, a partire da Received. Per esempio:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Questo dice che mx.google.comha ricevuto la mail da maxipes.logix.cza Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
Ora, per trovare il vero mittente della tua e-mail, devi trovare il primo gateway attendibile, ultimo quando leggi le intestazioni dall'alto. Cominciamo trovando il server di posta di Bill. Per questo, interroga il record MX per il dominio. Puoi usare strumenti online come Mx Toolbox o su Linux puoi interrogarlo dalla riga di comando (nota che il vero nome di dominio è stato cambiato in domain.com):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
E vedrai che il server di posta per domain.com è maxipes.logix.czo broucek.logix.cz. Quindi, l'ultimo (primo cronologicamente) "hop" fidato - o l'ultimo "Record ricevuto" fidato o come lo chiami tu - è questo:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Puoi fidarti di questo perché è stato registrato dal server di posta di Bill per domain.com. Questo server l'ha preso 209.86.89.64. Questo potrebbe essere, e molto spesso è, il vero mittente dell'e-mail - in questo caso il truffatore! Puoi controllare questo IP in una lista nera . - Vedi, è elencato in 3 liste nere! C'è ancora un altro record sotto di esso:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Ma stai attento a fidarti che questa è la vera fonte dell'e-mail. La denuncia nella lista nera potrebbe essere semplicemente aggiunta dal truffatore per cancellare le sue tracce e / o gettare una falsa traccia . Esiste ancora la possibilità che il server 209.86.89.64sia innocente e sia solo un relay per il vero aggressore 168.62.170.129. In questo caso, 168.62.170.129 è pulito, quindi possiamo essere quasi certi dell'attacco 209.86.89.64.
Un altro punto da tenere a mente è che Alice usa Yahoo! (alice@yahoo.com) e elasmtp-curtail.atl.sa.earthlink.netnon è su Yahoo! rete (si consiglia di ricontrollare le informazioni IP Whois ). Pertanto, possiamo tranquillamente concludere che questa e-mail non proviene da Alice e non dovremmo inviare i suoi soldi alle Filippine.
Per trovare l'indirizzo IP:
Fai clic sul triangolo invertito accanto a Rispondi. Seleziona Mostra originale.
Cercare Received: fromseguito dall'indirizzo IP tra parentesi quadre []. (esempio Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)
Se trovi più di un Ricevuto: dai modelli, seleziona l'ultimo.
( Fonte )
Successivamente, è possibile utilizzare il sito pythonclub , iplocation.net o la ricerca ip per scoprire la posizione.
Il modo in cui si arriva alle intestazioni varia tra i client di posta elettronica. Molti client ti faranno vedere facilmente il formato originale del messaggio. Altri (MicroSoft Outlook) lo rendono più difficile.
Per determinare chi ha realmente inviato il messaggio, il percorso di ritorno è utile. Tuttavia, può essere falsificato. Un indirizzo di ritorno che non corrisponde all'indirizzo Da è motivo di sospetto. Esistono motivi legittimi per cui sono diversi, ad esempio i messaggi inoltrati dalle mailing list o i collegamenti inviati da siti Web. (Sarebbe meglio se il sito web usasse l'indirizzo di risposta per identificare la persona che inoltra il link.)
Per determinare l'origine del messaggio letto dall'alto verso il basso attraverso le intestazioni ricevute. Ce ne possono essere diversi. La maggior parte avrà l'indirizzo IP del server in cui ha ricevuto il modulo del messaggio. Alcuni problemi che incontrerai:
Dovresti sempre essere in grado di determinare quale server su Internet ti ha inviato il messaggio. La traccia più indietro dipende dalla configurazione dei server di invio.
Uso http://whatismyipaddress.com/trace-email . Se usi Gmail, fai clic su Mostra originale (su Altro, accanto al pulsante Rispondi, copia le intestazioni, incollale su questo sito Web e fai clic su Ottieni fonte. Riceverai le informazioni sulla posizione geografica e la mappa in cambio
inoltre ci sono alcuni strumenti per analizzare le intestazioni e-mail ed estrarre i dati e-mail per te,
ad esempio:
che può rintracciare un'e-mail nella sua posizione geografica, incluso il filtro antispam
MSGTAG
PoliteMail
Software di Super Email Marketing
Zendio