Današnja pitanja i odgovori nam se javljaju zahvaljujući SuperUseru - podjele Stack Exchange-a, zajedničkom pogonu Q & A web stranica.
Pitanje
Čitač SuperUser Sirwan želi znati kako pronaći odakle potječu e-poruke:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Pogledajmo ove zaglavlja e-pošte.
Odgovori
SuperUser suradnik Tomas nudi vrlo detaljan i pronicav odgovor:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
pretvarajući se da jest
Napominjemo da je Bill predao
Prvo, koristite Gmail
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Zaglavlja treba čitati kronološki odozdo prema gore - najstariji su na dnu. Svaki novi poslužitelj na putu će dodati vlastitu poruku - počevši od
Received
Na primjer:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
To to govori
mx.google.com
je primio poštu od tvrtke
maxipes.logix.cz
na
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Sada, pronaćistvaran pošiljatelj e-pošte, vaš je cilj pronaći posljednje pouzdano pristupnika - zadnji pri čitanju zaglavlja s vrha, tj. prvo u kronološkom redoslijedu. Počnimo traženjem Billovog poslužitelja pošte. Za to ćete upiti MX zapis za domenu. Možete koristiti neke online alate, ili na Linuxu možete ga upita na naredbeni redak (imajte na umu da je pravi naziv domene promijenjen
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Znači vidite poslužitelj e-pošte za domene.com
maxipes.logix.cz
ili
broucek.logix.cz
Dakle, posljednji (prvi kronološki) pouzdani "hop" - ili posljednji pouzdani "primljeni zapis" ili što god to zovete - je ovo:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Možete se pouzdati jer je to bilježio Billov poslužitelj pošte za
domain.com
Ovaj je poslužitelj dobio
209.86.89.64
To bi moglo biti, i vrlo često, pravi pošiljatelj e-pošte - u ovom slučaju skitnica! Možete provjeriti ovu IP na crnoj listi. - Vidi, on je naveden u 3 crne liste! Postoji još jedan zapis ispod njega:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
ali to uopće ne možete imati povjerenja, jer ga je skammer mogao dodati da izbriše tragove i / ilistavi lažnu stazu, Naravno, još uvijek postoji mogućnost da poslužitelj
209.86.89.64
nevin je i djelovao samo kao relej za pravi napadač
168.62.170.129
no tada se relej često smatra krivim i vrlo često je na crnoj listi. U ovom slučaju,
168.62.170.129
je čist, tako da možemo biti gotovo sigurni da je napad napravljen
209.86.89.64
I, naravno, kao što znamo da Alice koristi Yahoo! i
elasmtp-curtail.atl.sa.earthlink.net
nije na Yahoo! mreža (možda želite ponovno provjeriti podatke IP Whois-a), možemo sigurno zaključiti da ova e-poruka nije bila iz Alice, i da joj ne bismo trebali poslati nikakav novac na njezin pohodjeni odmor na Filipinima.
Dva druga suradnika, Ex Umbris i Vijay, preporučuju sljedeće usluge za pomoć pri dekodiranju zaglavlja e-pošte: SpamCop i Googleov alat za analizu zaglavlja.
Imate li nešto za objašnjenje? Zvuči u komentarima. Želite li pročitati više odgovora od drugih tehnoloških korisnika Stack Exchangea? Pogledajte ovdje cijelu raspravu.