Hanya karena sebuah email muncul di kotak masuk Anda yang berlabel [email protected], tidak berarti bahwa Bill benar-benar ada hubungannya dengan itu. Baca terus ketika kami menjelajahi cara menggali dan melihat dari mana asal email yang mencurigakan itu sebenarnya.
Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-subdivisi Stack Exchange, kumpulan situs web Q & A berbasis komunitas.
Pembaca SuperUser, Sirwan ingin tahu cara mencari tahu di mana email sebenarnya berasal dari:
Bagaimana saya bisa tahu dari mana asal Email?
Apakah ada cara untuk menemukannya?
Saya telah mendengar tentang header email, tetapi saya tidak tahu di mana saya dapat melihat header email misalnya di Gmail.
Mari kita lihat header email ini.
Kontributor SuperUser Tomas menawarkan respons yang sangat mendetail dan mendalam:
Lihat contoh penipuan yang telah dikirimkan kepada saya, berpura-pura itu dari teman saya, mengklaim dia telah dirampok dan meminta saya untuk bantuan keuangan. Saya telah mengubah nama - misalkan saya Bill, scammer telah mengirim email ke
[email protected]
, berpura-pura dia[email protected]
. Perhatikan bahwa Bill telah maju[email protected]
.Pertama, di Gmail, gunakan
menunjukkan yang asli
:Kemudian, email lengkap dan tajuknya akan terbuka:
Delivered-To: [email protected] Diterima: oleh 10.64.21.33 dengan SMTP id s1csp177937iee; Sen, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: oleh 10.14.47.73 dengan SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Kembali-Path: Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 untuk (versi = TLSv1 cipher = RC4-SHA bits = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Diterima-SPF: netral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Hasil Otentikasi: mx.google.com; spf = netral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected] ) [email protected] Diterima: oleh maxipes.logix.cz (Postfix, dari userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: tertunda 00:06:34 oleh SQLgrey-1.8.0-rc1 Diterima: dari elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan ESMTP id B43175D3A44 untuk; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Diterima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Keluaran 4.67) (amplop-dari ) id 1Uw98w-0006KI-6y untuk [email protected]; Senin, 08 Juli 2013 06:58:06 -0400 Dari: "Alice" Subjek: Masalah Perjalanan yang Mengerikan… Mohon Balas ASAP Kepada: [email protected] Jenis Konten: multipart / alternatif; batas = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Tanggal: Mon, 8 Jul 2013 10:58:06 +0000 Pesan-ID: X-ELNK-jejak: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Saya telah memotong isi email ...]
Header harus dibaca secara kronologis dari bawah ke atas - yang tertua berada di bagian bawah. Setiap server baru di jalan akan menambahkan pesannya sendiri - dimulai dengan
Diterima
. Sebagai contoh:Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 untuk (versi = TLSv1 cipher = RC4-SHA bits = 128/128); Sen, 08 Jul 2013 04:11:00 -0700 (PDT)
Ini mengatakan itu
mx.google.com
telah menerima surat darimaxipes.logix.cz
diSen, 08 Jul 2013 04:11:00 -0700 (PDT)
.Sekarang, untuk menemukannyata pengirim email Anda, sasaran Anda adalah menemukan gerbang tepercaya terakhir - terakhir saat membaca header dari atas, yaitu pertama dalam urutan kronologis. Mari mulai dengan mencari server surat Bill. Untuk ini, Anda kueri data MX untuk domain. Anda dapat menggunakan beberapa alat online, atau di Linux Anda dapat menanyakannya di baris perintah (perhatikan nama domain asli diubah menjadi
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Jadi Anda melihat server email untuk domain.com
maxipes.logix.cz
ataubroucek.logix.cz
. Oleh karena itu, yang terakhir (pertama secara kronologis) dipercaya "hop" - atau "catatan Penerimaan" terakhir atau apa pun yang Anda sebut - adalah yang ini:Diterima: dari elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan ESMTP id B43175D3A44 untuk; Sen, 8 Jul 2013 23:10:48 +1200 (NZST)
Anda dapat mempercayai ini karena ini direkam oleh server email Bill untuk
domain.com
. Server ini mendapatkannya209.86.89.64
. Ini bisa jadi, dan sangat sering, pengirim email yang sebenarnya - dalam hal ini scammer! Anda dapat memeriksa IP ini pada daftar hitam. - Lihat, dia terdaftar dalam 3 daftar hitam! Masih ada catatan lain di bawah ini:Diterima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Exim 4.67) (amplop-dari) id 1Uw98w-0006KI-6y untuk [email protected]; Sen, 08 Jul 2013 06:58:06 -0400
tetapi Anda tidak dapat benar-benar mempercayai ini, karena itu hanya bisa ditambahkan oleh scammer untuk menghapus jejaknya dan / atauletakkan jejak palsu. Tentu masih ada kemungkinan server itu
209.86.89.64
tidak bersalah dan hanya bertindak sebagai relay untuk penyerang sebenarnya168.62.170.129
, tetapi kemudian relay sering dianggap bersalah dan sangat sering masuk daftar hitam. Pada kasus ini,168.62.170.129
bersih sehingga kita hampir yakin bahwa serangan itu dilakukan209.86.89.64
.Dan tentu saja, seperti yang kita ketahui bahwa Alice menggunakan Yahoo! dan
elasmtp-curtail.atl.sa.earthlink.net
bukan di Yahoo! jaringan (Anda mungkin ingin memeriksa ulang informasi Whois IP-nya), kami dapat menyimpulkan bahwa email ini bukan berasal dari Alice, dan bahwa kami tidak boleh mengiriminya uang apa pun ke liburan yang diklaimnya di Filipina.
Dua kontributor lainnya, Ex Umbris dan Vijay, merekomendasikan, masing-masing, layanan berikut untuk membantu dalam decoding dari header email: SpamCop dan alat Analisis Header Google.
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.