Bir e-postanın gerçekte nereden geldiğini nasıl öğrenebilirim?


107

Bir e-postanın nereden kaynaklandığını nasıl bilebilirim? Bunu öğrenmenin bir yolu var mı?

E-posta başlıklarını duydum ancak e-posta başlıklarını nerede görebileceğimi bilmiyorum, örneğin Gmail'de. Herhangi bir yardım?


Btw. Gmail Başlığında IP adresi IPv6 biçiminde: v6decode.com
user956584

Yanıtlar:


147

Bana gönderilen, arkadaşım gibi davranan, soyulduğunu iddia eden ve benden maddi yardım talep eden bir aldatmaca örneği için aşağıya bakın. İsimleri değiştirdim - Ben "Bill", ve dolandırıcı bill@domain.com, olduğu gibi bir e-posta gönderdi alice@yahoo.com. Bill'in e-postasını adresine yönlendirdiğini unutmayın bill@gmail.com.

İlk önce, Gmail’de şunu tıklayın show original:

Mesaj menüsü> Orijinali göster

Tam e-posta ve başlıkları açılacak:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Başlıklar kronolojik olarak aşağıdan yukarıya doğru en eskiden okunmalıdır. Yoldaki her yeni sunucu kendi mesajını ekler - başlayarak Received. Örneğin:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Bu mx.google.composta maxipes.logix.czadresinden ulaştığını söylüyor Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Şimdi, e-postanızın gerçek gönderenini bulmak için, en eski güvenilir ağ geçidini bulmalısınız - en baştan başlıkları okurken. Bill'in posta sunucusunu bularak başlayalım. Bunun için etki alanı için MX kaydı sorgula. Mx Toolbox gibi çevrimiçi araçları kullanabilir veya Linux'ta komut satırından sorgulayabilirsiniz (asıl alan adının değiştirildiğine dikkat edin domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

Ve domain.com için posta sunucusunu göreceksiniz maxipes.logix.czveya broucek.logix.cz. Dolayısıyla, en son (kronolojik olarak ilk) güvenilir "hop" - ya da en son güvenilir "Alınan kayıt" ya da her ne diyorsanız - şudur:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Buna güvenebilirsiniz çünkü Bill'in posta sunucusu tarafından kaydedildi domain.com. Bu sunucu ondan aldı 209.86.89.64. Bu, e-postanın asıl göndereni olabilir ve çok sık olabilir - bu durumda dolandırıcı! Bu IP'yi bir kara listede kontrol edebilirsiniz . - Bakın, o 3 kara listede var! Altında başka bir kayıt daha var:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Ancak bunun e-postanın gerçek kaynağı olduğuna güvenerek dikkatli olun. Kara liste şikayeti, sahtekar tarafından izlerini silmek ve / veya yanlış bir iz bırakmak için eklenebilir . Sunucunun 209.86.89.64masum olması ve gerçek saldırganın sadece bir geçişi olması ihtimali hala var 168.62.170.129. Bu durumda 168.62.170.129 temiz olduğu için saldırının yapıldığı neredeyse kesin olabilir 209.86.89.64.

Akılda tutulması gereken bir başka nokta, Alice’in Yahoo! (alice@yahoo.com) ve elasmtp-curtail.atl.sa.earthlink.netYahoo! Şebeke ( IP Whois bilgilerini yeniden kontrol etmek isteyebilirsiniz ). Bu nedenle, bu e-postanın Alice’den olmadığı sonucuna varabiliriz ve parasını Filipinler’e göndermemeliyiz.


15
Veya başlıkları SpamCop'a yapıştırabilir ve tüm deşifre işlemlerini sizin için yapmasına izin verebilirsiniz . İsterseniz sorumlu sysadmin (ler) e bir SPAM bildirimi bile gönderirler.
Ex Umbris,


2
Bu acı verici bir şekilde yaygın - bu tür e-postaları yalnızca e-postanın sahibinin sahibine soracağı bir şey sormak için bu tür e-postaları alan kişilere yanlış olduğunu tavsiye ettiğim noktaya kadar;)
Journeyman Geek

9
@JourneymanGeek En iyi uygulama genellikle yanıt vermemektir - bir cevap (veya herhangi bir bağlantıya tıklamak veya harici kaynaklar yüklemek, örneğin görüntüler), kitle spam gönderenlere e-posta adresinizin geçerli olduğunu ve birinin gerçekten okuduğunu gösterebilir.
Bob,

1
Bir sysadmin olarak, birkaç yıl önce çalışanlarımızdan birine gönderilen isimsiz, çok küfürlü ve hoş olmayan bir e-posta ile uğraşmak zorunda kaldım. Gönderenin (maalesef) anonim bir bakiye kullanmak için yeterince anlayışlı olduğu için başlıkları geri izlemek çıkmaz bir yoldu ( en.wikipedia.org/wiki/Anonymous_remailer ). Bu gibi durumlarda yapabileceğiniz hiçbir şey yoktur (NSA için çalışmadığınız sürece).
abstrask

10

IP adresini bulmak için:

Yanıtla'nın yanındaki ters üçgeni tıklayın. Orijinali Göster'i seçin.

Arayın Received: fromköşeli parantezler [] arasına IP adresini girin. (örnek: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Birden fazla Alınan bulursanız: desenlerden sonuncuyu seçin.

( Kaynak )

Bundan sonra , konumu bulmak için pythonclub sitesi , iplocation.net veya ip araması kullanabilirsiniz.


Bu IP, Posta Sunucusu veya e-posta gönderen kişinin yeri için mi?
Sirwan Afifi

1
Posta sunucusu. Hangi ip e-postanın yazıldığını belirlemenin bir yolu olup olmadığından emin değilim.
Luke,

Sonuncusu "Alındı:" kaydını seçmek en iyi strateji değildir - parça boyunca kırmızı bir ringa balığı çekmek için saldırgan tarafından eklenebilirdi. Bunun yerine, sonuncusunu güvenilir bulmalısınız . Cevabımı gör
Tomas

6

Başlıklara nasıl ulaşacağınız, e-posta istemcileri arasında değişir. Birçok müşteri, mesajın orijinal biçimini kolayca görmenize izin verir. Diğerleri (MicroSoft Outlook) daha zorlaştırır.

Mesajı gerçekten kimin gönderdiğini belirlemek için, dönüş yolu yardımcı olur. Ancak, sahte olabilir. Kimden adresiyle eşleşmeyen bir dönüş yolu adresi şüpheye neden olur. Posta listelerinden iletilen iletiler veya web sitelerinden gönderilen bağlantılar gibi farklı olmalarının yasal nedenleri vardır. (Web sitesi, Linki yönlendiren adresi bağlantıyı yönlendiren kişiyi tanımlamak için kullandıysa daha iyi olurdu.)

Mesajın kökenini belirlemek için, alınan başlıklar arasından yukarıdan aşağıya okuyun. Birkaç olabilir. Çoğu, mesaj formunu aldıkları sunucunun IP adresine sahip olacaktır. Karşılaştığınız bazı sorunlar:

  • Bazı siteler, taramadan sonra mesajı tekrar gönderen mesajları taramak için harici programı kullanır. Bunlar localhost veya başka garip adresleri tanıtabilir.
  • Bazı sunucular içeriği atlayarak adresleri gizler.
  • Bazı SPAM'lar sizi yanıltmayı amaçlayan sahte alınmış başlıklar içerecektir.
  • Özel (10.0.0.0/8, 172.16.0.0/12 ve 192.168.0.0/16) IP adresi görünebilir, ancak yalnızca geldikleri ağ üzerinde mantıklı olabilir.

İnternette hangi sunucunun size mesaj gönderdiğini daima belirleyebilmelisiniz. Daha fazla geri izleme, gönderen sunucuların yapılandırmasına bağlıdır.


FYI son Microsoft Outlooks'ta kendi penceresine bir mesaj açmanız gerekiyor, o zaman sadece Dosya, Özellikler. Bu zor değil.
Rup

1

Kullandığım http://whatismyipaddress.com/trace-email . Gmail kullanıyorsanız, Orijinali göster'i tıklayın (Daha fazla, Cevapla düğmesinin yanındaki başlıkları kopyalayın, bu web sitesine yapıştırın ve Kaynak al'ı tıklayın. Coğrafi konum bilgilerini ve haritayı alırsınız.


0

ayrıca, e-posta başlıklarını analiz etmek ve sizin için e-posta verilerini çıkarmak için bazı araçlar vardır,
örneğin:

  1. eMailTrackerPro

    Bir e-postayı spam filtresi de dahil olmak üzere coğrafi konumuna geri izleyebilir

  2. MSGTAG

  3. PoliteMail

  4. Süper E-posta Pazarlama Yazılımı

  5. Zendio


eMailTracketPro çalışmıyor ..! Sadece bunun bir deneme sürümünü indirdim. ve sıkışmış
Md Faisal
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.