Vain siksi, että sähköpostiviesti näkyy postilaatikossasi, joka on merkitty [email protected], ei tarkoita sitä, että Billilla olisi todellisuudessa ollut mitään tekemistä sen kanssa. Lue, kun tutkimme, miten kaivaa sisään ja nähdä, miltä epäilyttävä sähköposti todella tuli.
Tämän päivän kysymys- ja vastausistunto tulee meihin SuperUserin ansiosta. Tämä on Stack Exchange -jako, joka on Q & A-sivustojen yhteisöjoukkoyhtymä.
Kysymys
SuperUser-lukija Sirwan haluaa tietää, miten selvittää, mistä sähköposteista todella on peräisin:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Katsotaanpa nämä sähköpostiotsikot.
Vastaukset
SuperUser-avustaja Tomas tarjoaa erittäin yksityiskohtaisen ja oivaltavan vastauksen:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
Tällöin täysi sähköposti ja sen otsikot avautuvat:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Yläosat on luettava kronologisesti alhaalta ylös - vanhimmat ovat alareunassa. Jokainen uusi palvelin matkalla lisää oman viestinsä - alkaen
Received
. Esimerkiksi:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Tämä sanoo
mx.google.com
on saanut postia
maxipes.logix.cz
at
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Nyt, löytääksesitodellinen sähköpostisi lähettäjä, tavoitteenasi on löytää viimeinen luotettu yhdyskäytävä - viimeinen lukeminen otsikoista ylhäältä, eli ensin kronologisessa järjestyksessä. Aloita etsimällä Billin sähköpostipalvelin. Tätä varten kysyt verkkotunnuksen MX-tietueen. Voit käyttää joitain online-työkaluja, tai Linuxissa voit kysyä sitä komentoriviltä (huomaa, että todellinen verkkotunnus on muutettu
. Näin ollen viimeinen (ensimmäinen kronologisesti) luotettu "hop" - tai viimeinen luotettu "vastaanotettu tietue" tai mitä kutsutte sitä - on tämä:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Voit luottaa siihen, koska Billin sähköpostipalvelin tallensi sen
domain.com
. Tämä palvelin sai sen
209.86.89.64
. Tämä voisi olla, ja hyvin usein, todellinen sähköposti lähettäjä - tässä tapauksessa huijari! Voit tarkistaa tämän IP: n mustalla listalla. - Katso, hänet on listattu kolmessa mustassa listassa! Tässä on vielä yksi ennätys:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
mutta et voi oikeasti luottaa tähän, sillä huijaaja voi vain lisätä sen jälkiä ja / tailaittaa väärän polun. Tietenkin palvelimelle on edelleen mahdollista
209.86.89.64
on viaton ja toimii vain välittäjänä todellisen hyökkääjän kohdalla
168.62.170.129
mutta sitten releen katsotaan usein olevan syyllinen ja se on usein mustalla listalla. Tässä tapauksessa,
168.62.170.129
on puhdas, joten voimme olla melkein varma siitä, että hyökkäys on tehty
209.86.89.64
Ja tietenkin, koska tiedämme, että Alice käyttää Yahoo! ja
elasmtp-curtail.atl.sa.earthlink.net
ei ole Yahoo! verkko (voit halutessasi tarkistaa sen IP Whois -tiedot uudelleen), voimme turvallisesti päätellä, että tämä sähköposti ei ollut Alicesta, eikä meidän pitäisi lähettää hänelle mitään rahaa Filippiineillä olevalle lomalleen.
Kaksi muuta osallistujaa, Ex Umbris ja Vijay, suosittelivat vastaavasti seuraavia palveluja sähköpostiosoitteiden koodauksen estämiseen: SpamCop ja Googlen Header Analysis -työkalu.
Onko jokin asia lisättävä selitykseen? Kuulkaa kommentit. Haluatko lukea lisää vastauksia muilta tech-tajuilta Stack Exchange-käyttäjiltä? Katso koko keskusteluketju täältä.
Yksi asia on asentaa haluamasi sovellus, se on toinen asia, kun sovellus ei ainoastaan pääty tietokoneellesi, vaan se ponnahtaa jatkuvasti ja ärsyttää sinua. Lue, kun autamme lukijaa pääsemään ponnahdusikkunan mysteeriin ja karkottamaan sen prosessissa.
Kun teimme HTG-sivuston sidoksissa olevien tilien säännöllisen turvatarkastuksen, huomasimme jotain mielenkiintoista: Google-tilisi asetuksissa on luettelo kaikista sivustoista tai sovelluksista, joihin olet antanut pääsyn, ja luettelo saattaa yllättää sinut. Aika tarkastukseen!
Tarvitseeko sinun ladata hyvin suuri tiedosto verkossa tai sähköpostilla ystävällesi? Valitettavasti, lähetätkö sähköpostilla tiedostoa tai käytät verkossa olevia tallennuskohteita, kuten SkyDrive, rajoitetaan käytettävien tiedostojen kokoa. Näin pääset rajaamaan.
Käytä näitä parhaita online-sähköpostin allekirjoituksen generointimalleja luodaksesi ammattimaisen sähköpostiosoitteen Outlookille, Gmailille, Apple Mailille jne.
Haluatko kokeilla ja tulla Microsoft MVP: stä? Tutustu näihin vinkkeihin ja usein kysyttyihin kysymyksiin sekä tähän julkiseen Internetcast-lähetykseen, jonka Microsoft on arvostellisimmillaan.
