Come posso scoprire da dove proviene davvero un'e-mail?
Solo perché un messaggio di posta elettronica viene visualizzato nella tua posta in arrivo con etichetta [email protected], ciò non significa che Bill abbia effettivamente avuto a che fare con esso. Continua a leggere mentre esploriamo come scavare e vedere da dove proviene effettivamente un'e-mail sospetta.
La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di domande e risposte di community-drive.
La domanda
Il lettore SuperUser Sirwan vuole sapere come capire da dove provengono effettivamente le email:
Come posso sapere da dove proviene davvero un'e-mail?
C'è un modo per scoprirlo?
Ho sentito delle intestazioni delle e-mail, ma non so dove posso vedere le intestazioni delle e-mail, ad esempio in Gmail.
Diamo un'occhiata a queste intestazioni di posta elettronica.
Le risposte
Collaboratore SuperUser Tomas offre una risposta molto dettagliata e perspicace:
Vedi un esempio di truffa che mi è stata inviata, facendo finta che provenga dal mio amico, sostenendo che è stata derubata e chiedendomi un aiuto finanziario. Ho cambiato i nomi - supponiamo che io sia Bill, il truffatore ha inviato una e-mail a
[email protected]
, fingendo di essere[email protected]
. Si noti che Bill ha intenzione di farlo[email protected]
.Innanzitutto, in Gmail, usa
spettacolo originale
:Quindi, l'email completa e le sue intestazioni si apriranno:
Delivered-To: [email protected] Ricevuto: da 10.64.21.33 con SMTP id s1csp177937iee; Lun, 8 lug 2013 04:11:00 -0700 (PDT) X-Received: da 10.14.47.73 con SMTP id s49mr24756966eeb.71.1373281860071; Lun, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Ricevuto: da maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) di mx.google.com con ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 per (versione = crittografia TLSv1 = bit RC4-SHA = 128/128); Lun, 08 Jul 2013 04:11:00 -0700 (PDT) Ricevuto-SPF: neutro (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 non è né consentito né negato dal record di ipotesi migliore per dominio di [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Risultati di autenticazione: mx.google.com; spf = neutro (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 non è consentito né negato dal record di ipotesi migliore per il dominio di [email protected] ) [email protected] Ricevuto: da maxipes.logix.cz (Postfix, da userid 604) id C923E5D3A45; Lun, 8 lug 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: ritardato 00:06:34 da SQLgrey-1.8.0-rc1 Ricevuto: da elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) di maxipes.logix.cz (Postfix) con ID ESMTP B43175D3A44 per; Lun, 8 lug 2013 23:10:48 +1200 (NZST) Ricevuto: da [168.62.170.129] (helo = laurence39) di elasmtp-curtail.atl.sa.earthlink.net con esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y per [email protected]; Lun, 08 Jul 2013 06:58:06 -0400 Da: "Alice" Oggetto: Terribile problema di viaggio ... Si prega di rispondere al più presto a: [email protected] Content-Type: multipart / alternative; boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Data: Mon, 8 luglio, 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Ho tagliato il corpo dell'email ...]
Le intestazioni devono essere lette cronologicamente dal basso verso l'alto - le più vecchie sono in basso. Ogni nuovo server sulla strada aggiungerà il proprio messaggio - a partire da
ricevuto
. Per esempio:Ricevuto: da maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) di mx.google.com con ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 per (versione = TLSv1 cipher = RC4-SHA bit = 128/128); Lun, 08 lug 2013 04:11:00 -0700 (PDT)
Questo dice questo
mx.google.com
ha ricevuto la posta damaxipes.logix.cz
aLun, 08 lug 2013 04:11:00 -0700 (PDT)
.Ora, per trovare il vero mittente della tua e-mail, il tuo obiettivo è quello di trovare l'ultimo gateway attendibile - ultimo quando si leggono le intestazioni dall'alto, vale a dire prima nell'ordine cronologico. Iniziamo trovando il server di posta di Bill. Per questo, si esegue una query sul record MX per il dominio. È possibile utilizzare alcuni strumenti online oppure su Linux è possibile interrogarlo sulla riga di comando (notare che il nome del dominio reale è stato modificato in
domain.com
):~ $ host -t MX dominio.com dominio.com MX 10 broucek.logix.cz dominio.com MX 5 maxipes.logix.cz
Quindi vedi il server di posta per domain.com
maxipes.logix.cz
obroucek.logix.cz
. Quindi, l'ultimo (prima cronologicamente) fidato "hop" - o ultimo "Received record" attendibile o come lo chiami tu - è questo:Ricevuto: da elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) di maxipes.logix.cz (Postfix) con ID ESMTP B43175D3A44 per; Lun, 8 lug 2013 23:10:48 +1200 (NZST)
Puoi fidarti di questo perché questo è stato registrato dal server di posta di Bill per
domain.com
. Da questo server l'ha preso209.86.89.64
. Questo potrebbe essere, e molto spesso lo è, il vero mittente dell'e-mail - in questo caso il truffatore! Puoi controllare questo IP su una lista nera. - Vedi, è elencato in 3 liste nere! C'è ancora un altro record sotto di esso:Ricevuto: da [168.62.170.129] (helo = laurence39) da elasmtp-curtail.atl.sa.earthlink.net con esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y per [email protected]; Lun, 08 lug 2013 06:58:06 -0400
ma non puoi fidarti di questo, perché questo potrebbe essere aggiunto dal truffatore per cancellare le sue tracce e / o gettare una falsa pista. Ovviamente c'è ancora la possibilità che il server
209.86.89.64
è innocente e ha agito solo come relatore per il vero aggressore di168.62.170.129
, ma la staffetta viene spesso considerata colpevole e viene spesso inserita nella lista nera. In questo caso,168.62.170.129
è pulito, quindi possiamo essere quasi sicuri che l'attacco sia stato eseguito209.86.89.64
.E, naturalmente, come sappiamo che Alice usa Yahoo! e
elasmtp-curtail.atl.sa.earthlink.net
non è su Yahoo! rete (si consiglia di ricontrollare le sue informazioni Whois IP), possiamo tranquillamente concludere che questa email non proveniva da Alice, e che non dovremmo mandarle dei soldi per la sua richiesta di vacanza nelle Filippine.
Due altri contributori, Ex Umbris e Vijay, hanno raccomandato, rispettivamente, i seguenti servizi per l'assistenza nella decodifica delle intestazioni delle e-mail: SpamCop e lo strumento di analisi dell'intestazione di Google.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.