Wie kann ich herausfinden, woher eine E-Mail wirklich kommt?
Woher kann ich wissen, woher eine E-Mail wirklich stammt? Gibt es eine Möglichkeit, es herauszufinden?
Ich habe von E-Mail-Headern gehört, weiß aber nicht, wo ich E-Mail-Header sehen kann, zum Beispiel in Google Mail. Irgendeine Hilfe?
5 answers
Siehe unten für ein Beispiel eines Betrugs, der mir geschickt wurde, indem er vorgab, von meiner Freundin zu sein, behauptete, sie sei ausgeraubt worden und bat mich um finanzielle Hilfe. Ich habe die Namen geändert - ich bin "Bill" und der Betrüger hat eine E-Mail an [email protected] gesendet, die vorgibt, [email protected] zu sein. Beachten Sie, dass Bill seine E-Mail an [email protected] weiterleitet.
Klicken Sie zunächst in Google Mail auf show original:
Die vollständige E-Mail und ihre Header werden geöffnet:
Delivered-To: [email protected]
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <[email protected]>)
id 1Uw98w-0006KI-6y
for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <[email protected]>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: [email protected]
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: [email protected]
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Die Header sind chronologisch auszulesen von unten nach oben-die ältesten sind unten. Jeder neue Server auf dem Weg fügt seine eigene Nachricht hinzu - beginnend mit Received. Beispiel:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Dies besagt, dass mx.google.com die Post von maxipes.logix.cz bei Mon, 08 Jul 2013 04:11:00 -0700 (PDT) erhalten hat.
Um nun den [[37]}echten [[38]} Absender Ihrer E-Mail zu finden, müssen Sie beim Lesen der Header von oben den frühesten vertrauenswürdigen Gateway - Last finden. Beginnen wir damit, Bills Mailserver zu finden. Fragen Sie dazu den MX-Datensatz für die Domäne ab. Sie können online-tools wie Mx Toolbox, oder unter Linux können Sie es in der Befehlszeile abfragen (beachten Sie, dass der echte Domänenname in geändert wurde domain.com):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Und Sie sehen den Mailserver für domain.com ist maxipes.logix.cz oder broucek.logix.cz. Daher ist der letzte (erste chronologisch) vertrauenswürdige "Hop" - oder der letzte vertrauenswürdige "Received record" oder wie auch immer Sie es nennen - dieser:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Sie können dem vertrauen, weil es von Bills Mailserver für domain.com aufgezeichnet wurde. Dieser Server hat es von 209.86.89.64. Dies könnte sein, und sehr oft ist, die reale absender der E-Mail - in diesem Fall der Betrüger! Sie können diese IP auf einer schwarzen Liste überprüfen. - Sehen Sie, er ist in 3 schwarzen Listen aufgeführt! Es gibt noch einen weiteren Rekord darunter:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <[email protected]>)
id 1Uw98w-0006KI-6y
for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
Aber sei vorsichtig, vertraue darauf, dass dies die wahre Quelle der E-Mail ist. Die Blacklist-Beschwerde könnte nur vom Betrüger hinzugefügt werden, um seine Spuren auszulöschen und/oder eine falsche Spur zu hinterlassen. Es besteht immer noch die Möglichkeit, dass der Server 209.86.89.64 unschuldig ist und nur ein Relais für den echten Angreifer bei 168.62.170.129. In dieser Fall, 168.62.170.129 ist sauber also können wir fast sicher sein, dass der Angriff von 209.86.89.64 ausgeführt wurde.
Ein Weiterer Punkt zu beachten ist, dass Alice Yahoo! ([email protected]) und elasmtp-curtail.atl.sa.earthlink.net ist nicht auf Yahoo! netzwerk (möglicherweise möchten Sie die IP-Whois-Informationen erneut überprüfen). Daher können wir sicher zu dem Schluss kommen, dass diese E-Mail nicht von Alice stammt und wir ihr kein Geld auf die Philippinen schicken sollten.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2013-08-23 15:37:17
Um die IP-Adresse zu finden:
Klicken Sie auf das umgekehrte Dreieck neben " Antworten. Wählen Sie Original Anzeigen.
Suchen Sie nach Received: from gefolgt von der IP-Adresse zwischen eckigen Klammern [ ]. (Beispiel: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Wenn Sie mehr als ein Received: from-Muster finden, wählen Sie das letzte aus.
(Quelle)
Danach können Sie pythonclub verwenden., iplocation.net or ip lookup to find out the location.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2013-07-30 14:36:36
Wie Sie zu den Headern gelangen, variiert zwischen E-Mail-Clients. Viele Clients können Sie das ursprüngliche Format der Nachricht leicht sehen. Andere (MicroSoft Outlook) machen es schwieriger.
Um festzustellen, wer die Nachricht wirklich gesendet hat, ist der Rückgabepfad hilfreich. Es kann jedoch gefälscht werden. Eine Return-Path-Adresse, die nicht mit der From-Adresse übereinstimmt, ist Verdachtsfall. Es gibt legitime Gründe dafür, dass sie unterschiedlich sind, z. B. Nachrichten, die von Mailinglisten weitergeleitet werden, oder Links gesendet von Websites. (Es wäre besser, wenn die web-site verwendet die Reply-to-Adresse zu identifizieren, die person, die die Weiterleitung der link.)
Um den Ursprung der von oben nach unten gelesenen Nachricht über die empfangenen Header zu bestimmen. Es kann mehrere geben. Die meisten haben die IP-Adresse des Servers, auf dem sie das Nachrichtenformular erhalten haben. Einige Probleme, auf die Sie stoßen werden:
- Einige Websites verwenden ein externes Programm zum Scannen von Nachrichten, die die Nachricht nach dem Scannen erneut senden. Diese können einführen localhost oder andere seltsame Adressen.
- Einige Server verschleiern die Adressen, indem sie Inhalte weglassen.
- Einige SPAM-Mails enthalten gefälschte empfangene Header, die Sie irreführen sollen.
- Private (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0 / 16) IP-Adresse erscheint möglicherweise, ist aber nur in dem Netzwerk sinnvoll, aus dem sie stammen.
Sie sollten immer bestimmen können, welcher Server im Internet die Nachricht an Sie gesendet hat. Tracing weiter zurück hängt von der Konfiguration der senden von Servern.
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2013-07-26 13:09:13
Ich benutze http://whatismyipaddress.com/trace-email. Wenn Sie Google Mail verwenden, klicken Sie auf Original anzeigen (auf Mehr, neben der Schaltfläche Antworten, kopieren Sie die Header, fügen Sie sie auf dieser Website ein und klicken Sie auf Quelle abrufen. Sie erhalten die Geo-Location-Informationen und Karte im Gegenzug
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2013-07-31 13:07:17
Außerdem gibt es einige Tools zum Analysieren von E-Mail-Headern und zum Extrahieren von E-Mail-Daten für Sie,
Beispiel :
-
, das eine E-Mail an ihren geografischen Standort zurückverfolgen kann, einschließlich Spamfilter
MSGTAG
PoliteMail
Super E-Mail-Marketing-Software -
Zendio
Warning: date(): Invalid date.timezone value 'Europe/Kyiv', we selected the timezone 'UTC' for now. in /var/www/agent_stack/data/www/techietown.info/template/agent.layouts/content.php on line 61
2013-09-07 12:12:48