ฉันจะทราบได้อย่างไรว่าอีเมลมาจากที่ใดจริงๆ


107

ฉันจะรู้ได้อย่างไรว่าอีเมลมาจากที่ใดจริงๆ มีวิธีใดที่จะค้นพบมันได้หรือไม่?

ฉันเคยได้ยินเกี่ยวกับส่วนหัวของอีเมล แต่ไม่ทราบว่าสามารถดูส่วนหัวของอีเมลได้จากที่ไหนใน Gmail ความช่วยเหลือใด ๆ


BTW ที่อยู่ IP ใน gmail Header อยู่ในรูปแบบ IPv6: v6decode.com
user956584

คำตอบ:


147

ดูตัวอย่างด้านล่างของการหลอกลวงที่ส่งถึงฉันโดยแกล้งทำเป็นว่ามาจากเพื่อนของฉันโดยอ้างว่าเธอถูกปล้นและขอความช่วยเหลือทางการเงินจากฉัน ฉันมีการเปลี่ยนแปลงชื่อ - ฉัน "บิล" และ scammer ได้ส่งอีเมลไปยังแกล้งทำเป็นbill@domain.com โปรดทราบว่าบิลส่งต่ออีเมลของเขาไปalice@yahoo.combill@gmail.com

ก่อนอื่นใน Gmail ให้คลิกshow original:

เมนูข้อความ> แสดงต้นฉบับ

อีเมลแบบเต็มและส่วนหัวจะเปิดขึ้น:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

ส่วนหัวจะต้องอ่านตามลำดับเวลาจากล่างขึ้นบน - เก่าที่สุดอยู่ที่ด้านล่าง ทุกเซิร์ฟเวอร์ใหม่เกี่ยวกับวิธีการเพิ่มข้อความของตัวเอง - Receivedเริ่มต้นด้วย ตัวอย่างเช่น:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

นี้กล่าวว่าmx.google.comได้รับจดหมายจากที่maxipes.logix.czMon, 08 Jul 2013 04:11:00 -0700 (PDT)

ตอนนี้เพื่อค้นหาผู้ส่งอีเมลที่แท้จริงของคุณคุณต้องค้นหาเกตเวย์ที่ไว้วางใจได้เร็วที่สุด - สุดท้ายเมื่ออ่านส่วนหัวจากด้านบน เริ่มต้นด้วยการค้นหาเซิร์ฟเวอร์อีเมลของ Bill สำหรับสิ่งนี้ให้ค้นหาระเบียน MX สำหรับโดเมน คุณสามารถใช้เครื่องมือออนไลน์เช่นMx Toolboxหรือบน Linux คุณสามารถค้นหาได้ในบรรทัดคำสั่ง (หมายเหตุชื่อโดเมนจริงถูกเปลี่ยนเป็นdomain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

และคุณจะเห็นเซิร์ฟเวอร์อีเมลสำหรับ domain.com เป็นหรือmaxipes.logix.cz broucek.logix.czดังนั้นลำดับสุดท้าย (ลำดับแรก) ที่เชื่อถือได้ "hop" - หรือเชื่อถือได้ล่าสุด "บันทึกที่ได้รับ" หรืออะไรก็ตามที่คุณเรียกมันว่า - คืออันนี้:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

domain.comคุณสามารถไว้วางใจนี้เพราะมันถูกบันทึกไว้โดยเซิร์ฟเวอร์อีเมลของบิลสำหรับ 209.86.89.64เซิร์ฟเวอร์นี้ได้จาก อาจเป็นได้และบ่อยครั้งก็คือผู้ส่งอีเมลที่แท้จริง - ในกรณีนี้คือนักต้มตุ๋น! คุณสามารถตรวจสอบ IP นี้ในบัญชีดำ - ดูเขามีรายชื่ออยู่ใน 3 บัญชีดำ! ยังมีอีกบันทึกอยู่ด้านล่าง:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

แต่ระวังไว้วางใจว่านี่คือแหล่งที่มาที่แท้จริงของอีเมล ร้องเรียนบัญชีดำก็สามารถเพิ่มได้โดย scammer ที่จะเช็ดออกร่องรอยของเขาและ / หรือวางเส้นทางเท็จ ยังคงมีความเป็นไปได้ที่เซิร์ฟเวอร์209.86.89.64นั้นไร้เดียงสาและเป็นเพียงแค่รีเลย์สำหรับผู้โจมตีที่168.62.170.129แท้จริง ในกรณี168.62.170.129 นี้สะอาดเพื่อให้เราสามารถมั่นใจได้ว่าการโจมตีเสร็จสิ้น209.86.89.64แล้ว

อีกประเด็นที่ต้องจำไว้คืออลิซใช้ Yahoo! (alice@yahoo.com) และelasmtp-curtail.atl.sa.earthlink.netไม่ได้อยู่ใน Yahoo! เครือข่าย (คุณอาจต้องการตรวจสอบข้อมูล IP Whois อีกครั้ง ) ดังนั้นเราอาจสรุปได้อย่างปลอดภัยว่าอีเมลนี้ไม่ได้มาจากอลิซและเราไม่ควรส่งเงินให้เธอที่ฟิลิปปินส์


15
หรือคุณสามารถวางส่วนหัวลงในSpamCopและปล่อยให้มันทำการถอดรหัสทั้งหมดสำหรับคุณ พวกเขาจะส่งประกาศเรื่องสแปมไปยังดูแลระบบที่รับผิดชอบหากคุณต้องการ
อดีต Umbris


2
นี่เป็นเรื่องปกติที่เจ็บปวด - จนถึงจุดที่ฉันมักจะแนะนำคนที่ได้รับอีเมลเช่นนี้เพื่อถามอะไรบางอย่างเท่านั้นที่เจ้าของแอดดิอีเมล์จะรู้ว่าเป็นเท็จ;)
Journeyman Geek

9
@JourneymanGeek แนวทางปฏิบัติที่ดีที่สุดมักจะไม่ตอบกลับการตอบกลับ (หรือคลิกลิงก์ใด ๆ หรือโหลดทรัพยากรภายนอกเช่นรูปภาพ) อาจเป็นตัวบ่งชี้ผู้ส่งอีเมลขยะจำนวนมากว่าที่อยู่อีเมลของคุณนั้นถูกต้องและมีคนอ่านจริง
Bob

1
ในฐานะผู้ดูแลระบบฉันต้องจัดการกับอีเมลที่ไม่ระบุชื่อไม่เหมาะสมไม่เหมาะสมและไม่เป็นที่พอใจมากส่งให้พนักงานคนหนึ่งของเราเมื่อไม่กี่ปีก่อน การย้อนรอยหัวกระดาษนั้นเป็นจุดจบที่ตายแล้วเนื่องจากผู้ส่ง (เข้าใจ) เพียงพอที่จะใช้เครื่องมือเตือนความจำแบบไม่ระบุชื่อ ( en.wikipedia.org/wiki/Anonymous_remailer ) ในกรณีเช่นนี้คุณไม่สามารถทำอะไรได้เลย (อาจเป็นเพราะคุณทำงานให้กับ NSA ได้)
abstrask

10

วิธีค้นหาที่อยู่ IP:

คลิกที่สามเหลี่ยมคว่ำด้านข้างตอบ เลือกแสดงต้นฉบับ

ค้นหาReceived: fromตามด้วยที่อยู่ IP ระหว่างวงเล็บเหลี่ยม [] (ตัวอย่าง: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

หากคุณพบมากกว่าหนึ่งที่ได้รับ: จากรูปแบบให้เลือกอันสุดท้าย

( ที่มา )

หลังจากนั้นคุณสามารถใช้ ไซต์pythonclub , iplocation.netหรือการค้นหา ipเพื่อค้นหาตำแหน่ง


IP นั้นใช้สำหรับเมลเซิร์ฟเวอร์หรือตำแหน่งของบุคคลที่ส่งอีเมล
Sirwan Afifi

1
มันคือเมลเซิร์ฟเวอร์ ไม่แน่ใจว่ามีวิธีการตรวจสอบว่าได้พิมพ์อีเมล ip หรือไม่
ลุค

การเลือกเร็กคอร์ด "ได้รับ:" ล่าสุดไม่ใช่กลยุทธ์ที่ดีที่สุด - ผู้โจมตีสามารถเพิ่มแฮร์ริ่งสีแดงข้ามแทร็คได้ คุณต้องค้นหาคนสุดท้ายที่เชื่อถือได้แทน ดูคำตอบของฉัน
โทมัส

6

วิธีที่คุณไปถึงส่วนหัวจะแตกต่างกันไปตามไคลเอนต์อีเมล ลูกค้าหลายคนจะให้คุณดูรูปแบบข้อความต้นฉบับได้อย่างง่ายดาย อื่น ๆ (MicroSoft Outlook) ทำให้มันยากขึ้น

ในการพิจารณาว่าใครเป็นคนส่งข้อความจริงๆเส้นทางส่งคืนจะเป็นประโยชน์ อย่างไรก็ตามมันสามารถปลอมแปลงได้ ที่อยู่เส้นทางย้อนกลับซึ่งไม่ตรงกับที่อยู่จากเป็นสาเหตุของความสงสัย มีเหตุผลที่ถูกต้องสำหรับพวกเขาที่จะแตกต่างกันเช่นข้อความที่ส่งต่อจากรายชื่อผู้รับจดหมายหรือลิงค์ที่ส่งจากเว็บไซต์ (มันจะดีกว่าถ้าเว็บไซต์ใช้ที่อยู่ Reply-to เพื่อระบุบุคคลที่ส่งต่อลิงก์)

เพื่อตรวจสอบที่มาของข้อความที่อ่านจากด้านบนลงผ่านส่วนหัวที่ได้รับ อาจมีหลายอย่าง ส่วนใหญ่จะมีที่อยู่ IP ของเซิร์ฟเวอร์ที่พวกเขาได้รับแบบฟอร์มข้อความ ปัญหาบางอย่างที่คุณจะพบ:

  • บางไซต์ใช้โปรแกรมภายนอกเพื่อสแกนข้อความที่ส่งข้อความอีกครั้งหลังจากการสแกน สิ่งเหล่านี้อาจแนะนำ localhost หรือที่อยู่แปลก ๆ
  • เซิร์ฟเวอร์บางเครื่องทำให้ที่อยู่สับสนโดยไม่สนใจเนื้อหา
  • จดหมายขยะบางรายการจะมีส่วนหัวที่ได้รับปลอมซึ่งมีเจตนาที่จะหลอกลวงคุณ
  • ส่วนตัว (10.0.0.0/8, 172.16.0.0/12 และ 192.168.0.0/16) อาจปรากฏที่อยู่ IP แต่จะใช้งานได้เฉพาะบนเครือข่ายที่มาจาก

คุณควรจะสามารถระบุได้ว่าเซิร์ฟเวอร์ใดบนอินเทอร์เน็ตที่ส่งข้อความถึงคุณ การติดตามย้อนกลับต่อไปขึ้นอยู่กับการกำหนดค่าของเซิร์ฟเวอร์ที่ส่ง


FYI ใน Microsoft Outlook ล่าสุดคุณต้องเปิดข้อความในหน้าต่างของตัวเองจากนั้นเป็นเพียงไฟล์, คุณสมบัติ นั่นไม่ใช่เรื่องยาก
โฟโต้

1

ผมใช้http://whatismyipaddress.com/trace-email หากคุณใช้ Gmail ให้คลิกแสดงต้นฉบับ (บนเพิ่มเติมถัดจากปุ่มตอบกลับคัดลอกส่วนหัววางลงบนเว็บไซต์นี้แล้วคลิกรับแหล่งที่มาคุณจะได้รับข้อมูลตำแหน่งทางภูมิศาสตร์และแผนที่ในทางกลับกัน


0

นอกจากนี้ยังมีเครื่องมือสำหรับการวิเคราะห์ส่วนหัวอีเมลและดึงข้อมูลอีเมลให้คุณ
ตัวอย่างเช่น

  1. eMailTrackerPro

    ที่สามารถติดตามอีเมลกลับไปยังที่ตั้งทางภูมิศาสตร์รวมถึงตัวกรองสแปม

  2. MSGTAG

  3. PoliteMail

  4. ซอฟต์แวร์การตลาดผ่านอีเมล์ Super

  5. Zendio


eMailTracketPro ใช้งานไม่ได้ .. ! ฉันเพิ่งดาวน์โหลดรุ่นทดลองมาแล้ว และมันติดอยู่
Md Faisal
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.