- A+
我怎样才能知道电子邮件到底是从哪里来的?
仅仅因为电子邮件出现在标有[email protected]的收件箱中,并不意味着Bill实际上与它有任何关系。继续阅读,我们探索如何挖掘,看看可疑的电子邮件是从哪里来的。
今天的问答环节是由超级用户提供的,这是Stack Exchange的一个细分部门,它是一个由社区驱动的Q&A网站组。
问题
超级用户Sirwan想知道如何找出电子邮件的实际来源:
我怎么知道电子邮件到底是从哪里来的?
有什么办法找出来吗?
我听说过电子邮件标题,但我不知道在哪里可以看到电子邮件标题,例如在Gmail。
让我们看看这些电子邮件头。
答案
超级用户贡献者Tomas提供了一个非常详细和有洞察力的回答:
看一个被寄给我的骗局的例子,假装是我朋友给我的,声称她被抢劫了,并要求我提供经济援助。我改了名字--假设我是比尔,骗子给我发了一封电子邮件[email protected]假装他是[email protected]。请注意,Bill已将[email protected].
首先,在Gmail中,使用show original:
然后,完整的电子邮件及其标题将打开:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: <[email protected]> Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for <[email protected]> (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from <[email protected]>) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: "Alice" <[email protected]> Subject: Terrible Travel Issue.....Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: <[email protected]> X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... I have cut the email body ...]标题将按时间顺序从下到上读取-最老的在底部。路上的每一个新服务器都会添加自己的消息--从Received。例如:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for <[email protected]> (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)这上面说mx.google.com已收到来自maxipes.logix.cz在…Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
现在,找到真品发件人的电子邮件,你的目标是找到最后的可信网关-最后一次从顶部读取标题,即第一个按时间顺序。让我们首先找到条例草案的邮件伺服器。为此,您查询域的MX记录。您可以使用一些联机工具,或者在linux上可以在命令行上查询它(请注意,真正的域名已更改为domain.com):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz所以您可以看到domain.com的邮件服务器是maxipes.logix.cz或broucek.logix.cz。因此,最后(第一个按时间顺序)受信任的“HOP”--或最后一次信任的“接收记录”或您称之为“接收记录”--是这样的:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)您可以相信这一点,因为这是由Bill的邮件服务器记录的domain.com。这台服务器是从209.86.89.64。这可能是,而且经常是,电子邮件的真正发件人-在这种情况下,骗子!你可以在黑名单上检查这个IP。-看,他被列入3份黑名单!下面还有另一个记录:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from <[email protected]>) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400但是你实际上不能相信这一点,因为这可能是骗子为了清除他的痕迹和/或伪造线索。当然,服务器仍然有可能209.86.89.64是无辜的,只充当真正攻击者的接力168.62.170.129但是接力通常被认为是有罪的,并且经常被列入黑名单。在这种情况下,168.62.170.129是清白的,所以我们几乎可以确定这次袭击是从209.86.89.64.
当然,正如我们所知,爱丽丝使用雅虎!和elasmtp-curtail.atl.sa.earthlink.net不是雅虎!网络(你可能想重新检查它的IP谁的信息),我们可以安全地得出结论,这封电子邮件不是来自爱丽丝,我们不应该寄钱给她声称在菲律宾度假。
另外两个贡献者,Ex umbris和Vijay,分别推荐了以下帮助解码电子邮件标题的服务:SpamCop和Google的Header Analysis工具。
在解释中有什么要补充的吗?在评论中发出声音。想从其他精通技术的Stack Exchange用户那里读到更多答案吗?请看这里的完整讨论主题。
