Startpagina » hoe » Hoe weet ik waar een e-mail echt vandaan kwam?

    Hoe weet ik waar een e-mail echt vandaan kwam?

    Alleen omdat een e-mail wordt weergegeven in uw inbox met het label [email protected], wil dat nog niet zeggen dat Bill er eigenlijk iets mee te maken heeft gehad. Lees verder terwijl we onderzoeken hoe we in kunnen graven en zien waar een verdachte e-mail vandaan komt.

    De Question & Answer-sessie van vandaag komt tot ons dankzij SuperUser - een onderdeel van Stack Exchange, een community-drive groep van Q & A-websites.

    De vraag

    SuperUser-lezer Sirwan wil weten hoe hij kan achterhalen waar e-mails vandaan komen:

    Hoe kan ik weten waar een e-mail echt vandaan komt??
    Is er een manier om het uit te vinden?
    Ik heb gehoord over e-mailheaders, maar ik weet niet waar ik e-mailheaders kan zien in Gmail.

    Laten we deze e-mailheaders eens bekijken.

    De antwoorden

    SuperUser-bijdrager Tomas biedt een zeer gedetailleerde en inzichtelijke reactie:

    Bekijk een voorbeeld van oplichting die naar mij is gestuurd, doe alsof ik van mijn vriend ben, beweer dat ze is beroofd en vraag om financiële hulp. Ik heb de namen veranderd - stel dat ik Bill ben, de oplichter heeft een e-mail gestuurd naar [email protected], doen alsof hij is [email protected]. Merk op dat Bill vooruit is [email protected].

    Gebruik eerst in Gmail toon origineel:

    Vervolgens worden de volledige e-mail en de bijbehorende headers geopend:

    Delivered-To: [email protected] Ontvangen: door 10.64.21.33 met SMTP id s1csp177937iee; Ma, 8 jul 2013 04:11:00 -0700 (PDT) X-ontvangen: door 10.14.47.73 met SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Retourpad: ontvangen: van maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) door mx.google.com met ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 voor (version = TLSv1 cipher = RC4-SHA-bits = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutraal (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 is niet toegestaan ​​of geweigerd op basis van de beste gokrecord voor domein van [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Verificatie-resultaten: mx.google.com; spf = neutraal (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 is niet toegestaan ​​of ontkend door de beste gokrecord voor domein van [email protected] ) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Ma, 8 jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 door SQLgrey-1.8.0-rc1 Ontvangen: van elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) door maxipes.logix.cz (Postfix) met ESMTP id B43175D3A44 voor; Ma, 8 jul 2013 23:10:48 +1200 (NZST) ontvangen: van [168.62.170.129] (helo = laurence39) door elasmtp-curtail.atl.sa.earthlink.net met esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y voor [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 Van: "Alice" Onderwerp: Verschrikkelijk reisaantal ... Vriendelijk antwoord ZO VLUG MOGELIJK op: [email protected] Inhoudstype: multipart / alternatief; grens = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Datum: ma, 8 juli 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... ik heb de e-mail verwijderd ...] 

    De kopteksten moeten chronologisch van onder naar boven worden gelezen - de oudste staan ​​onderaan. Elke nieuwe server die onderweg is, voegt zijn eigen bericht toe - te beginnen met Ontvangen. Bijvoorbeeld:

    Ontvangen: van maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) door mx.google.com met ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 voor (versie = TLSv1-cijfer = RC4-SHA-bits = 128/128); Ma 08 juli 2013 04:11:00 -0700 (PDT) 

    Dit zegt dat mx.google.com heeft de mail ontvangen van maxipes.logix.cz op Ma 08 juli 2013 04:11:00 -0700 (PDT).

    Nu, om de te vinden echt verzender van uw e-mail, is het uw doel om de laatste vertrouwde gateway te vinden - de laatste keer dat u de headers van boven leest, d.w.z. eerst in de chronologische volgorde. Laten we beginnen met het vinden van de mailserver van Bill. Hiervoor vraagt ​​u een MX-record voor het domein. Je kunt een aantal online tools gebruiken, of op Linux kun je dit op de commandoregel vragen (merk op dat de echte domeinnaam is gewijzigd in) domain.com):

    ~ $ host -t MX domein.com domein.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    Dus je ziet de mailserver voor domain.com is maxipes.logix.cz of broucek.logix.cz. Vandaar dat de laatste (eerste chronologisch) vertrouwde "hop" - of laatste vertrouwde "ontvangen record" of hoe je het ook noemt - deze is:

    Ontvangen: van elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) door maxipes.logix.cz (Postfix) met ESMTP id B43175D3A44 voor; Ma, 8 Jul 2013 23:10:48 +1200 (NZST) 

    Je kunt erop vertrouwen omdat dit voor de mailserver van Bill is vastgelegd domain.com. Deze server heeft het van 209.86.89.64. Dit kan de echte afzender van de e-mail zijn, en is dit vaak, in dit geval de oplichter! U kunt dit IP-adres controleren op een zwarte lijst. - Kijk, hij staat vermeld in 3 zwarte lijsten! Er is nog een ander record eronder:

    Ontvangen: van [168.62.170.129] (helo = laurence39) door elasmtp-curtail.atl.sa.earthlink.net met esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y voor [email protected]; Ma, 8 Jul 2013 06:58:06 -0400 

    maar je kunt dit niet echt vertrouwen, want dat kan gewoon door de oplichter worden toegevoegd om zijn sporen te wissen en / of leg een vals spoor. Natuurlijk is er nog steeds de mogelijkheid dat de server 209.86.89.64 is onschuldig en fungeerde alleen als een aflossing voor de echte aanvaller 168.62.170.129, maar dan wordt de estafette vaak als schuldig beschouwd en staat hij vaak op de zwarte lijst. In dit geval, 168.62.170.129 is schoon, dus we kunnen er bijna zeker van zijn dat de aanval is gedaan 209.86.89.64.

    En natuurlijk, omdat we weten dat Alice Yahoo! en elasmtp-curtail.atl.sa.earthlink.netis niet op de Yahoo! netwerk (mogelijk wilt u de IP Whois-informatie opnieuw controleren), kunnen we veilig concluderen dat deze e-mail niet van Alice afkomstig was, en dat we haar geen geld zouden moeten sturen naar haar beweerde vakantie op de Filippijnen.

    Twee andere medewerkers, Ex Umbris en Vijay, hebben respectievelijk de volgende services aanbevolen voor het helpen bij het decoderen van e-mailheaders: SpamCop en de Header Analysis-tool van Google.


    Heb je iets toe te voegen aan de uitleg? Geluid uit in de reacties. Wilt u meer antwoorden van andere technisch onderlegde Stack Exchange-gebruikers lezen? Bekijk hier de volledige discussiethread.