Questão Como posso descobrir de onde um e-mail realmente veio?


Como posso saber de onde um email realmente se originou? Existe alguma maneira de descobrir isso?

Ouvi falar de cabeçalhos de e-mail, mas não sei onde posso ver cabeçalhos de e-mail, por exemplo, no Gmail. Qualquer ajuda?


100


origem


btw. O endereço IP no cabeçalho do Gmail está no formato IPv6: v6decode.com - user956584


Respostas:


Veja abaixo um exemplo de um golpe que foi enviado para mim, fingindo ser da minha amiga, alegando que ela foi roubada e me pedindo ajuda financeira. Eu mudei os nomes - eu sou "Bill", e o scammer enviou um email para bill@domain.com, pretendendo ser alice@yahoo.com. Note que Bill encaminha seu email para bill@gmail.com.

Primeiro, no Gmail, clique em show original:

Message menu > Show original

O email completo e seus cabeçalhos serão abertos:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão no fundo. Cada novo servidor no caminho adiciona sua própria mensagem - começando com Received. Por exemplo:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Isso diz que mx.google.com recebeu o email de maxipes.logix.cz a Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Agora, para encontrar o real remetente do seu e-mail, você deve encontrar o primeiro gateway confiável - por último, ao ler os cabeçalhos de cima. Vamos começar encontrando o servidor de email do Bill. Para isso, consulte o registro MX do domínio. Você pode usar ferramentas on-line como Caixa De Ferramentas Mx, ou no Linux você pode consultá-lo na linha de comando (note que o nome real do domínio foi alterado para domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

E você verá o servidor de e-mail para domain.com é maxipes.logix.cz ou broucek.logix.cz. Assim, o último (primeiro cronologicamente) "hop" confiável - ou o último "Registro recebido" confiável ou como quer que você o chame - é este:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Você pode confiar nisso porque foi gravado pelo servidor de email de Bill para domain.com. Este servidor conseguiu 209.86.89.64. Isso poderia ser, e muitas vezes é, o verdadeiro remetente do email - neste caso, o scammer! Você pode verifique este IP em uma lista negra. - Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Mas tenha cuidado ao confiar que esta é a verdadeira fonte do email. A reclamação da lista negra poderia ser adicionada pelo scammer para acabar com seus traços e / ou Deite uma trilha falsa. Ainda existe a possibilidade de que o servidor 209.86.89.64 é inocente e apenas um relé para o atacante real em 168.62.170.129. Nesse caso, 168.62.170.129  está limpo para que possamos ter quase certeza de que o ataque foi feito a partir de 209.86.89.64.

Outro ponto a ter em mente é que Alice usa o Yahoo! (alice@yahoo.com) e elasmtp-curtail.atl.sa.earthlink.net não está no Yahoo! rede (você pode querer verifique novamente suas informações de IP Whois). Portanto, podemos concluir com segurança que esse e-mail não é de Alice e não devemos enviar seu dinheiro para as Filipinas.


142



Ou, você pode colar os cabeçalhos em SpamCop e deixe tudo decifrar para você. Eles até enviarão um aviso de SPAM para o (s) administrador (es) responsável (s), se desejar. - Ex Umbris
Ou você também pode usar ferramenta de análise de cabeçalho do google - Vijay
Isso é dolorosamente comum - a ponto de eu geralmente aconselhar as pessoas que recebem e-mails a perguntar algo que apenas o proprietário do e-mail saiba que é falso;) - Journeyman Geek♦
@JourneymanGeek A melhor prática é freqüentemente não responder - uma resposta (ou clicar em qualquer link ou carregar recursos externos, por exemplo, imagens) pode fornecer uma indicação para os spammers em massa de que seu endereço de e-mail é válido e que alguém está realmente lendo. - Bob
Como administrador de sistema, tive que lidar com alguns e-mails anônimos, muito abusivos e desagradáveis, enviados a um de nossos funcionários há alguns anos atrás. Retroceder os cabeçalhos era um beco sem saída, já que o remetente (infelizmente) tinha sido esperto o suficiente para usar um remailer anônimo (en.wikipedia.org/wiki/Anonymous_remailer). Em tais casos, não há praticamente nada que você possa fazer (talvez a menos que você trabalhe para a NSA). - abstrask


Para encontrar o endereço IP:

Clique no triângulo invertido ao lado de Responder. Selecione Mostrar original.

Olhe para Received: from seguido pelo endereço IP entre colchetes []. (exemplo: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Se você encontrar mais de um Recebido: de padrões, selecione o último.

(Fonte)

Depois disso, você pode usar site pythonclub, iplocation.net ou pesquisa de ip para descobrir a localização.


10



que IP é para o Mail Server ou a localização da pessoa que enviou o email? - Sirwan Afifi
É o servidor de email. Não tenho certeza se há uma maneira de determinar de qual email ip foi digitado. - Luke
Selecionar o último recorde "Recebido:" não é a melhor estratégia - poderia ter sido adicionado pelo atacante para desenhar um arenque vermelho na pista. Em vez disso, você deve encontrar o último um confiável. Veja minha resposta - Tomas


Como você chega aos cabeçalhos varia entre os clientes de email. Muitos clientes permitem que você veja o formato original da mensagem facilmente. Outros (MicroSoft Outlook) tornam isso mais difícil.

Para determinar quem realmente enviou a mensagem, o caminho de retorno é útil. No entanto, pode ser falsificado. Um endereço de caminho de retorno que não corresponde ao endereço De é causa de suspeita. Há razões legítimas para que sejam diferentes, como mensagens encaminhadas de listas de discussão ou links enviados de sites. (Seria melhor se o site usasse o endereço de resposta para identificar a pessoa que encaminhava o link.)

Determinar a origem da mensagem lida de cima para baixo pelos cabeçalhos recebidos. Pode haver vários. A maioria terá o endereço IP do servidor que recebeu o formulário de mensagem. Alguns problemas que você encontrará:

  • Alguns sites usam um programa externo para verificar mensagens que reenviam a mensagem após a verificação. Estes podem introduzir localhost ou outros endereços estranhos.
  • Alguns servidores ofuscar os endereços omitindo o conteúdo.
  • Alguns SPAM incluem falsos cabeçalhos recebidos para enganar você.
  • Os endereços IP privados (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) podem aparecer, mas só fazem sentido na rede de onde vieram.

Você deve sempre ser capaz de determinar qual servidor na Internet enviou a mensagem para você. O rastreio posterior depende da configuração dos servidores de envio.


6



FYI em recentes Microsoft Outlook você precisa abrir uma mensagem em sua própria janela, em seguida, é apenas Arquivo, Propriedades. Isso não é difícil. - Rup


eu uso http://whatismyipaddress.com/trace-email. Se você usa o Gmail, clique em Mostrar original (em Mais, ao lado do botão Responder, copie os cabeçalhos, cole-os neste site e clique em Obter fonte. Você obterá as informações de geolocalização e o mapa em retorno


1





Também existem algumas ferramentas para analisar cabeçalhos de e-mail e extrair dados de e-mail para você,
por exemplo :

  1. eMailTrackerPro

    que pode rastrear um e-mail de volta para sua localização geográfica, incluindo filtro de spam

  2. MSGTAG

  3. PoliteMail

  4. Super Email Marketing Software

  5. Zendio


0



O eMailTracketPro não está funcionando .. Eu acabei de baixar uma versão de teste dele. e ficou preso - Md Faisal