ฉันจะรู้ได้อย่างไรว่าอีเมลมาจากที่ใดจริงๆ มีวิธีใดที่จะค้นพบมันได้หรือไม่?
ฉันเคยได้ยินเกี่ยวกับส่วนหัวของอีเมล แต่ไม่ทราบว่าสามารถดูส่วนหัวของอีเมลได้จากที่ไหนใน Gmail ความช่วยเหลือใด ๆ
ฉันจะรู้ได้อย่างไรว่าอีเมลมาจากที่ใดจริงๆ มีวิธีใดที่จะค้นพบมันได้หรือไม่?
ฉันเคยได้ยินเกี่ยวกับส่วนหัวของอีเมล แต่ไม่ทราบว่าสามารถดูส่วนหัวของอีเมลได้จากที่ไหนใน Gmail ความช่วยเหลือใด ๆ
คำตอบ:
ดูตัวอย่างด้านล่างของการหลอกลวงที่ส่งถึงฉันโดยแกล้งทำเป็นว่ามาจากเพื่อนของฉันโดยอ้างว่าเธอถูกปล้นและขอความช่วยเหลือทางการเงินจากฉัน ฉันมีการเปลี่ยนแปลงชื่อ - ฉัน "บิล" และ scammer ได้ส่งอีเมลไปยังแกล้งทำเป็นbill@domain.com
โปรดทราบว่าบิลส่งต่ออีเมลของเขาไปalice@yahoo.com
bill@gmail.com
ก่อนอื่นใน Gmail ให้คลิกshow original
:
อีเมลแบบเต็มและส่วนหัวจะเปิดขึ้น:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
ส่วนหัวจะต้องอ่านตามลำดับเวลาจากล่างขึ้นบน - เก่าที่สุดอยู่ที่ด้านล่าง ทุกเซิร์ฟเวอร์ใหม่เกี่ยวกับวิธีการเพิ่มข้อความของตัวเอง - Received
เริ่มต้นด้วย ตัวอย่างเช่น:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
นี้กล่าวว่าmx.google.com
ได้รับจดหมายจากที่maxipes.logix.cz
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
ตอนนี้เพื่อค้นหาผู้ส่งอีเมลที่แท้จริงของคุณคุณต้องค้นหาเกตเวย์ที่ไว้วางใจได้เร็วที่สุด - สุดท้ายเมื่ออ่านส่วนหัวจากด้านบน เริ่มต้นด้วยการค้นหาเซิร์ฟเวอร์อีเมลของ Bill สำหรับสิ่งนี้ให้ค้นหาระเบียน MX สำหรับโดเมน คุณสามารถใช้เครื่องมือออนไลน์เช่นMx Toolboxหรือบน Linux คุณสามารถค้นหาได้ในบรรทัดคำสั่ง (หมายเหตุชื่อโดเมนจริงถูกเปลี่ยนเป็นdomain.com
):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
และคุณจะเห็นเซิร์ฟเวอร์อีเมลสำหรับ domain.com เป็นหรือmaxipes.logix.cz
broucek.logix.cz
ดังนั้นลำดับสุดท้าย (ลำดับแรก) ที่เชื่อถือได้ "hop" - หรือเชื่อถือได้ล่าสุด "บันทึกที่ได้รับ" หรืออะไรก็ตามที่คุณเรียกมันว่า - คืออันนี้:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
domain.com
คุณสามารถไว้วางใจนี้เพราะมันถูกบันทึกไว้โดยเซิร์ฟเวอร์อีเมลของบิลสำหรับ 209.86.89.64
เซิร์ฟเวอร์นี้ได้จาก อาจเป็นได้และบ่อยครั้งก็คือผู้ส่งอีเมลที่แท้จริง - ในกรณีนี้คือนักต้มตุ๋น! คุณสามารถตรวจสอบ IP นี้ในบัญชีดำ - ดูเขามีรายชื่ออยู่ใน 3 บัญชีดำ! ยังมีอีกบันทึกอยู่ด้านล่าง:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
แต่ระวังไว้วางใจว่านี่คือแหล่งที่มาที่แท้จริงของอีเมล ร้องเรียนบัญชีดำก็สามารถเพิ่มได้โดย scammer ที่จะเช็ดออกร่องรอยของเขาและ / หรือวางเส้นทางเท็จ ยังคงมีความเป็นไปได้ที่เซิร์ฟเวอร์209.86.89.64
นั้นไร้เดียงสาและเป็นเพียงแค่รีเลย์สำหรับผู้โจมตีที่168.62.170.129
แท้จริง ในกรณี168.62.170.129
นี้สะอาดเพื่อให้เราสามารถมั่นใจได้ว่าการโจมตีเสร็จสิ้น209.86.89.64
แล้ว
อีกประเด็นที่ต้องจำไว้คืออลิซใช้ Yahoo! (alice@yahoo.com) และelasmtp-curtail.atl.sa.earthlink.net
ไม่ได้อยู่ใน Yahoo! เครือข่าย (คุณอาจต้องการตรวจสอบข้อมูล IP Whois อีกครั้ง ) ดังนั้นเราอาจสรุปได้อย่างปลอดภัยว่าอีเมลนี้ไม่ได้มาจากอลิซและเราไม่ควรส่งเงินให้เธอที่ฟิลิปปินส์
วิธีค้นหาที่อยู่ IP:
คลิกที่สามเหลี่ยมคว่ำด้านข้างตอบ เลือกแสดงต้นฉบับ
ค้นหาReceived: from
ตามด้วยที่อยู่ IP ระหว่างวงเล็บเหลี่ยม [] (ตัวอย่าง: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com
)
หากคุณพบมากกว่าหนึ่งที่ได้รับ: จากรูปแบบให้เลือกอันสุดท้าย
( ที่มา )
หลังจากนั้นคุณสามารถใช้ ไซต์pythonclub , iplocation.netหรือการค้นหา ipเพื่อค้นหาตำแหน่ง
วิธีที่คุณไปถึงส่วนหัวจะแตกต่างกันไปตามไคลเอนต์อีเมล ลูกค้าหลายคนจะให้คุณดูรูปแบบข้อความต้นฉบับได้อย่างง่ายดาย อื่น ๆ (MicroSoft Outlook) ทำให้มันยากขึ้น
ในการพิจารณาว่าใครเป็นคนส่งข้อความจริงๆเส้นทางส่งคืนจะเป็นประโยชน์ อย่างไรก็ตามมันสามารถปลอมแปลงได้ ที่อยู่เส้นทางย้อนกลับซึ่งไม่ตรงกับที่อยู่จากเป็นสาเหตุของความสงสัย มีเหตุผลที่ถูกต้องสำหรับพวกเขาที่จะแตกต่างกันเช่นข้อความที่ส่งต่อจากรายชื่อผู้รับจดหมายหรือลิงค์ที่ส่งจากเว็บไซต์ (มันจะดีกว่าถ้าเว็บไซต์ใช้ที่อยู่ Reply-to เพื่อระบุบุคคลที่ส่งต่อลิงก์)
เพื่อตรวจสอบที่มาของข้อความที่อ่านจากด้านบนลงผ่านส่วนหัวที่ได้รับ อาจมีหลายอย่าง ส่วนใหญ่จะมีที่อยู่ IP ของเซิร์ฟเวอร์ที่พวกเขาได้รับแบบฟอร์มข้อความ ปัญหาบางอย่างที่คุณจะพบ:
คุณควรจะสามารถระบุได้ว่าเซิร์ฟเวอร์ใดบนอินเทอร์เน็ตที่ส่งข้อความถึงคุณ การติดตามย้อนกลับต่อไปขึ้นอยู่กับการกำหนดค่าของเซิร์ฟเวอร์ที่ส่ง
นอกจากนี้ยังมีเครื่องมือสำหรับการวิเคราะห์ส่วนหัวอีเมลและดึงข้อมูลอีเมลให้คุณ
ตัวอย่างเช่น
ที่สามารถติดตามอีเมลกลับไปยังที่ตั้งทางภูมิศาสตร์รวมถึงตัวกรองสแปม
MSGTAG
PoliteMail
ซอฟต์แวร์การตลาดผ่านอีเมล์ Super
Zendio