Làm thế nào tôi có thể tìm ra nơi một email thực sự đến từ đâu?
Chỉ vì một email xuất hiện trong hộp thư đến của bạn có nhãn [email protected], không có nghĩa là Bill thực sự có liên quan đến nó. Đọc tiếp khi chúng tôi khám phá cách tìm hiểu và xem một email đáng ngờ thực sự đến từ đâu.
Phiên hỏi và trả lời hôm nay đến với chúng tôi nhờ SuperUser - một phân ngành của Stack Exchange, một nhóm các trang web hỏi đáp trong cộng đồng.
Câu hỏi
Người đọc siêu người dùng Sirwan muốn biết làm thế nào để tìm ra email thực sự bắt nguồn từ đâu:
Làm thế nào tôi có thể biết một Email thực sự đến từ đâu?
Có cách nào để tìm ra nó không?
Tôi đã nghe nói về tiêu đề email, nhưng tôi không biết tôi có thể thấy tiêu đề email ở đâu trong Gmail.
Hãy xem những tiêu đề email này.
Những câu trả lời
Người đóng góp cho SuperUser, Tomas cung cấp một phản hồi rất chi tiết và sâu sắc:
Xem một ví dụ về lừa đảo đã được gửi cho tôi, giả vờ đó là từ bạn của tôi, cho rằng cô ấy đã bị cướp và yêu cầu tôi hỗ trợ tài chính. Tôi đã thay đổi tên - giả sử tôi là Bill, kẻ lừa đảo đã gửi email đến
[email protected]
, giả vờ[email protected]
. Lưu ý rằng Bill đã chuyển tiếp tớihóa đơn
.Đầu tiên, trong Gmail, sử dụng
hiển thị nguyên bản
:Sau đó, email đầy đủ và các tiêu đề của nó sẽ mở ra:
Đã gửi-Đến: [email protected] Đã nhận: trước 10,64,21,33 với id id s1csp177937iee; Thứ Hai, ngày 8 tháng 7 năm 2013 04:11:00 -0700 (PDT) X-Nhận: trước 10.14.47.73 với id id s49mr24756966eeb.71.1373281860071; Thứ Hai, ngày 08 tháng 7 năm 2013 04:11:00 -0700 (PDT) Đường dẫn trả về: Đã nhận: từ maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) bởi mx.google.com với ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 cho (phiên bản = TLSv1 mật mã = RC4-SHA bit = 128/128); Thứ Hai, ngày 08 tháng 7 năm 2013 04:11:00 -0700 (PDT) Đã nhận-SPF: trung tính (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 không được phép cũng không bị từ chối bởi hồ sơ đoán tốt nhất cho tên miền của [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Xác thực-Kết quả: mx.google.com; spf = trung tính (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 không được phép cũng không bị từ chối bởi bản ghi đoán tốt nhất cho tên miền của [email protected] ) [email protected] Đã nhận: bởi maxipes.logix.cz (Postfix, từ userid 604) id C923E5D3A45; Thứ hai, ngày 8 tháng 7 năm 2013 23:10:50 +1200 (New Zealand) X-Original-To: [email protected] X-Greylist: bị trì hoãn 00:06:34 bởi SQLgrey-1.8.0-rc1 Đã nhận: từ elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) bởi maxipes.logix.cz (Postfix) với ESMTP id B43175D3A44 cho; Thứ Hai, ngày 8 tháng 7 năm 2013 23:10:48 +1200 (New Zealand) Đã nhận: từ [168.62.170.129] (helo = laurence39) bởi elasmtp-curtail.atl.sa.earthlink.net với esmtpa (Exim 4.67) (phong bì từ ) id 1Uw98w-0006KI-6y cho [email protected]; Thứ Hai, ngày 08 tháng 7 năm 2013 06:58:06 -0400 Từ: "Alice" Chủ đề: Vấn đề du lịch khủng khiếp Câu trả lời vui lòng càng sớm càng tốt: [email protected] Loại nội dung: nhiều phần / thay thế; ranh giới = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] ngày: Mon, ngày 08 Tháng Bảy 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [Tôi đã cắt phần thân email]]
Các tiêu đề phải được đọc theo trình tự thời gian từ dưới lên trên - cũ nhất là ở dưới cùng. Mỗi máy chủ mới trên đường sẽ thêm thông điệp của riêng nó - bắt đầu bằng
Nhận
. Ví dụ:Đã nhận: từ maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) bởi mx.google.com với ESMTPS id j47si6975462eeg.108.2013,07,04.10. 59 cho (phiên bản = TLSv1 mật mã = RC4-SHA bit = 128/128); Thứ Hai, ngày 08 tháng 7 năm 2013 04:11:00 -0700 (PDT)
Điều này nói rằng
mx.google.com
đã nhận được thư từmaxipes.logix.cz
tạiThứ Hai, ngày 08 tháng 7 năm 2013 04:11:00 -0700 (PDT)
.Bây giờ, để tìm thực người gửi email của bạn, mục tiêu của bạn là tìm ra cổng đáng tin cậy cuối cùng - cuối cùng khi đọc các tiêu đề từ đầu, tức là đầu tiên theo thứ tự thời gian. Hãy bắt đầu bằng cách tìm máy chủ thư của Bill. Đối với điều này, bạn truy vấn bản ghi MX cho tên miền. Bạn có thể sử dụng một số công cụ trực tuyến hoặc trên Linux, bạn có thể truy vấn nó trên dòng lệnh (lưu ý tên miền thực đã được đổi thành
tên miền.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Vì vậy, bạn thấy máy chủ thư cho domain.com là
maxipes.logix.cz
hoặc làbroucek.logix.cz
. Do đó, cuối cùng (theo thứ tự thời gian) đáng tin cậy cuối cùng - hoặc tin cậy cuối cùng đã nhận được bản ghi Nhận hay bất cứ thứ gì bạn gọi nó - là cái này:Đã nhận: từ elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) bởi maxipes.logix.cz (Postfix) với ESMTP id B43175D3A44 cho; Thứ Hai, ngày 8 tháng 7 năm 2013 23:10:48 +1200 (New Zealand)
Bạn có thể tin tưởng điều này bởi vì điều này đã được máy chủ thư của Bill ghi lại cho
tên miền.com
. Máy chủ này đã nhận nó từ209,86,89,64
. Điều này có thể, và rất thường xuyên là, người gửi email thực sự - trong trường hợp này là kẻ lừa đảo! Bạn có thể kiểm tra IP này trong danh sách đen. - Xem nào, anh được liệt kê trong 3 danh sách đen! Vẫn còn một kỷ lục khác bên dưới nó:Đã nhận: từ [168.62.170.129] (helo = laurence39) bởi elasmtp-curtail.atl.sa.earthlink.net với esmtpa (Exim 4.67) (phong bì-từ) id 1Uw98w-0006KI-6y cho hóa đơn Thứ Hai, ngày 08 tháng 7 năm 2013 06:58:06 -0400
nhưng bạn thực sự không thể tin vào điều này, bởi vì kẻ lừa đảo có thể thêm vào để xóa dấu vết của anh ta và / hoặc đặt một dấu vết sai. Tất nhiên vẫn có khả năng máy chủ
209,86,89,64
là vô tội và chỉ đóng vai trò là người tiếp sức cho kẻ tấn công thực sự tại168.62.170.129
, nhưng sau đó, rơle thường được coi là có tội và rất thường bị đưa vào danh sách đen. Trong trường hợp này,168.62.170.129
sạch sẽ vì vậy chúng tôi có thể gần như chắc chắn cuộc tấn công đã được thực hiện từ209,86,89,64
.Và tất nhiên, như chúng ta biết rằng Alice sử dụng Yahoo! và
elasmtp-curtail.atl.sa.earthlink.net
không có trên Yahoo! mạng (bạn có thể muốn kiểm tra lại thông tin IP Whois của nó), chúng tôi có thể kết luận một cách an toàn rằng email này không phải của Alice và chúng tôi không nên gửi bất kỳ khoản tiền nào cho cô ấy đi nghỉ ở Philippines.
Hai người đóng góp khác, Ex Umbris và Vijay, được đề xuất, tương ứng, các dịch vụ sau đây để hỗ trợ giải mã các tiêu đề email: SpamCop và công cụ Phân tích Tiêu đề của Google.
Có một cái gì đó để thêm vào lời giải thích? Tắt âm thanh trong các ý kiến. Bạn muốn đọc thêm câu trả lời từ những người dùng Stack Exchange am hiểu công nghệ khác? Kiểm tra chủ đề thảo luận đầy đủ ở đây.