If-Koubou

Bagaimana Saya Bisa Mengetahui Dari Mana Email Yang Sebenarnya Datang?

Bagaimana Saya Bisa Mengetahui Dari Mana Email Yang Sebenarnya Datang? (Bagaimana caranya)

Hanya karena sebuah email muncul di kotak masuk Anda yang berlabel [email protected], tidak berarti bahwa Bill benar-benar ada hubungannya dengan itu. Baca terus ketika kami menjelajahi cara menggali dan melihat dari mana asal email yang mencurigakan itu sebenarnya.

Sesi Tanya & Jawab hari ini hadir untuk memberi kami hak milik SuperUser-subdivisi Stack Exchange, kumpulan situs web Q & A berbasis komunitas.

Pertanyaan

Pembaca SuperUser, Sirwan ingin tahu cara mencari tahu di mana email sebenarnya berasal dari:

Bagaimana saya bisa tahu dari mana asal Email?
Apakah ada cara untuk menemukannya?
Saya telah mendengar tentang header email, tetapi saya tidak tahu di mana saya dapat melihat header email misalnya di Gmail.

Mari kita lihat header email ini.

Jawaban

Kontributor SuperUser Tomas menawarkan respons yang sangat mendetail dan mendalam:

Lihat contoh penipuan yang telah dikirimkan kepada saya, berpura-pura itu dari teman saya, mengklaim dia telah dirampok dan meminta saya untuk bantuan keuangan. Saya telah mengubah nama - misalkan saya Bill, scammer telah mengirim email ke[email protected], berpura-pura dia[email protected]. Perhatikan bahwa Bill telah maju[email protected].

Pertama, di Gmail, gunakanmenunjukkan yang asli:

Kemudian, email lengkap dan tajuknya akan terbuka:

Delivered-To: [email protected] Diterima: oleh 10.64.21.33 dengan SMTP id s1csp177937iee; Sen, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: oleh 10.14.47.73 dengan SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Kembali-Path: Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 untuk (versi = TLSv1 cipher = RC4-SHA bits = 128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Diterima-SPF: netral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain dari [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Hasil Otentikasi: mx.google.com; spf = netral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected] ) [email protected] Diterima: oleh maxipes.logix.cz (Postfix, dari userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: tertunda 00:06:34 oleh SQLgrey-1.8.0-rc1 Diterima: dari elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan ESMTP id B43175D3A44 untuk; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Diterima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Keluaran 4.67) (amplop-dari ) id 1Uw98w-0006KI-6y untuk [email protected]; Senin, 08 Juli 2013 06:58:06 -0400 Dari: "Alice" Subjek: Masalah Perjalanan yang Mengerikan… Mohon Balas ASAP Kepada: [email protected] Jenis Konten: multipart / alternatif; batas = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Tanggal: Mon, 8 Jul 2013 10:58:06 +0000 Pesan-ID: X-ELNK-jejak: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Saya telah memotong isi email ...] 

Header harus dibaca secara kronologis dari bawah ke atas - yang tertua berada di bagian bawah. Setiap server baru di jalan akan menambahkan pesannya sendiri - dimulai denganDiterima. Sebagai contoh:

Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 untuk (versi = TLSv1 cipher = RC4-SHA bits = 128/128); Sen, 08 Jul 2013 04:11:00 -0700 (PDT) 

Ini mengatakan itumx.google.com telah menerima surat darimaxipes.logix.cz diSen, 08 Jul 2013 04:11:00 -0700 (PDT).

Sekarang, untuk menemukannyata pengirim email Anda, sasaran Anda adalah menemukan gerbang tepercaya terakhir - terakhir saat membaca header dari atas, yaitu pertama dalam urutan kronologis. Mari mulai dengan mencari server surat Bill. Untuk ini, Anda kueri data MX untuk domain. Anda dapat menggunakan beberapa alat online, atau di Linux Anda dapat menanyakannya di baris perintah (perhatikan nama domain asli diubah menjadidomain.com):

~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

Jadi Anda melihat server email untuk domain.commaxipes.logix.cz ataubroucek.logix.cz. Oleh karena itu, yang terakhir (pertama secara kronologis) dipercaya "hop" - atau "catatan Penerimaan" terakhir atau apa pun yang Anda sebut - adalah yang ini:

Diterima: dari elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan ESMTP id B43175D3A44 untuk; Sen, 8 Jul 2013 23:10:48 +1200 (NZST) 

Anda dapat mempercayai ini karena ini direkam oleh server email Bill untukdomain.com. Server ini mendapatkannya209.86.89.64. Ini bisa jadi, dan sangat sering, pengirim email yang sebenarnya - dalam hal ini scammer! Anda dapat memeriksa IP ini pada daftar hitam. - Lihat, dia terdaftar dalam 3 daftar hitam! Masih ada catatan lain di bawah ini:

Diterima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Exim 4.67) (amplop-dari) id 1Uw98w-0006KI-6y untuk [email protected]; Sen, 08 Jul 2013 06:58:06 -0400 

tetapi Anda tidak dapat benar-benar mempercayai ini, karena itu hanya bisa ditambahkan oleh scammer untuk menghapus jejaknya dan / atauletakkan jejak palsu. Tentu masih ada kemungkinan server itu209.86.89.64 tidak bersalah dan hanya bertindak sebagai relay untuk penyerang sebenarnya168.62.170.129, tetapi kemudian relay sering dianggap bersalah dan sangat sering masuk daftar hitam. Pada kasus ini,168.62.170.129 bersih sehingga kita hampir yakin bahwa serangan itu dilakukan209.86.89.64.

Dan tentu saja, seperti yang kita ketahui bahwa Alice menggunakan Yahoo! danelasmtp-curtail.atl.sa.earthlink.netbukan di Yahoo! jaringan (Anda mungkin ingin memeriksa ulang informasi Whois IP-nya), kami dapat menyimpulkan bahwa email ini bukan berasal dari Alice, dan bahwa kami tidak boleh mengiriminya uang apa pun ke liburan yang diklaimnya di Filipina.

Dua kontributor lainnya, Ex Umbris dan Vijay, merekomendasikan, masing-masing, layanan berikut untuk membantu dalam decoding dari header email: SpamCop dan alat Analisis Header Google.

Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.