Sellepärast, et meiliaadress kuvatakse teie postkastis, mille nimi on [email protected], ei tähenda, et Billil oleks sellega midagi pistmist. Loe edasi, kui uurime, kuidas kaevama ja vaata, kust kahtlane e-posti saadeti tegelikult.
Tänane küsimuste ja vastuste seanss tuleb meile viisakalt SuperUseriga, mis on Q & A veebisaitide kogukonna juhtimisgruppide Stack Exchange osakond.
Küsimus
SuperUseri lugeja Sirwan soovib teada, kuidas välja selgitada, kust e-kirjad tegelikult pärinevad:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Vaatame neid e-posti pealkirju.
Vastused
SuperUseri toetaja Tomas pakub väga üksikasjalikku ja põhjalikku vastust:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
Seejärel avaneb täielik e-posti aadress ja selle päised:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Pealkirju tuleb lugeda kronoloogiliselt alt ülespoole - vanemad on allosas. Iga uus server teedel lisab oma sõnumi, alustades sellest
Received
. Näiteks:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
See ütleb seda
mx.google.com
saatis postiga
maxipes.logix.cz
at
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Nüüd, et leidareaalne Teie e-posti saatja eesmärk on leida viimane usaldatud värav - viimane, kui lugedes päiseid ülevalt, st esimest korda kronoloogilises järjekorras. Alustame Billi e-posti serveri leidmisega. Selle jaoks esitate domeeni MX-kirje päringu. Võite kasutada mõnda veebipõhist tööriista või Linuxi, mida saab seda käsurida (märkus, et tegelikku domeeni nime oli muudetud
. Seega on viimane (esimene kronoloogiliselt) usaldusväärne "hop" - või viimati usaldusväärne "vastuvõetud rekord" või mida iganes sa selle nimetad - see on see:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Võite seda usaldada, sest Billi posti server on selle salvestanud
domain.com
. See server sai sellest
209.86.89.64
. See võiks olla ja väga sageli e-posti tegeliku saatja, antud juhul petturija! Saate vaadata seda IP-aadressi musta nimekirja. - Vaata, ta on loetletud 3 mustas nimekirjas! Selle all on veel üks rekord:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
kuid te ei saa seda kindlasti usaldada, sest petturija võib selle lisada vaid tema jälgede hävitamiseks ja / võipane vale rada. Muidugi on serveri võimalus ikkagi olemas
209.86.89.64
on süütu ja tegutses reaalajas ründajana reaalajas
168.62.170.129
kuid siis on relee sageli süüdi ja see on sageli musta nimekirja kantud. Sel juhul,
168.62.170.129
on puhas, nii et võime olla peaaegu kindel, et rünnak toimus
209.86.89.64
Ja muidugi, nagu me teame, et Alice kasutab Yahoo! ja
elasmtp-curtail.atl.sa.earthlink.net
ei ole Yahoo! võrk (võite oma IP Whois-teabe uuesti kontrollida), võime me kindlalt järeldada, et see e-kiri ei olnud Alice'ist, ja et me ei peaks saatma talle mingeid raha Filipiinide taotletud puhkusele.
Kaks teist toetajat, Ex Umbris ja Vijay, soovitasid vastavalt järgmiste e-posti päiste dekodeerimise abistamiseks: SpamCop ja Google'i päise analüüsimise tööriist.
Kas teil on seletamiseks midagi lisada? Helistage kommentaarides. Kas soovite lugeda rohkem vastuseid teistelt tech-savvy Stack Exchange'i kasutajatelt? Tutvu täieliku arutelu teemaga siit.
Valepositiivne on aeg-ajalt eksimus - viirusetõrje arvates on allalaadimine kahjulik, kui see on tegelikult ohutu. Kuid pahatahtlikud inimesed võivad proovida sind petta, kui laadite selle kindluse alla pahavara.
Inimesed räägivad oma Interneti-kontodest, mis on "häkkinud", kuid kuidas täpselt see hacking toimub? Reaalsus on selles, et kontod on häkkinud üsna lihtsal viisil - ründajad ei kasuta mustat võlu.
Mitu korda olete märganud kataloogis asuvat faili ja mõelnud … kust see fail pärineb? Või proovite rääkida sõbrale, kuidas utiliiti kasutada, kuid tal pole seda installitud, ja te ei mäleta, millist paketti selle installimiseks installiti.
Ransomware - ma peaksin maksma või mitte? Kas ma peaksin Ransomware'ist teatama? Kust ma saan ransomäärist teavitada FBI-d, politseid või vastavaid asutusi? Loe arutelu siin.
