題 我如何才能找到真正來自電子郵件的地方?


我怎麼知道電子郵件的真正來源?有沒有辦法找到它?

我聽說過電子郵件標題,但我不知道在哪裡可以看到電子郵件標題,例如在Gmail中。有幫助嗎?


101
2017-07-26 12:19


起源


順便說一句。 gmail標頭中的IP地址採用IPv6格式: v6decode.com - user956584


答案:


請參閱下面的一個騙局的例子,這個騙局是發給我的,假裝是來自我的朋友,聲稱她已被搶劫並要求我提供經濟援助。我已經更改了名字 - 我是“比爾”,騙子已發送電子郵件給 bill@domain.com,假裝是 alice@yahoo.com。請注意,Bill將他的電子郵件轉發給 bill@gmail.com

首先,在Gmail中,點擊 show original

Message menu > Show original

完整的電子郵件及其標題將打開:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

標題從下到上按時間順序讀取 - 最舊的是在底部。路上的每個新服務器都會添加自己的消息 - 從 Received。例如:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

這就是說 mx.google.com 收到了來自的郵件 maxipes.logix.cz 在 Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

現在,找到了 真實 您的電子郵件的發件人,您必須找到最早的可信網關 - 從頂部讀取標題時最後。讓我們從找到Bill的郵件服務器開始吧。為此,查詢域的MX記錄。你可以使用像這樣的在線工具 Mx工具箱或者在Linux上,您可以在命令行上查詢它(請注意,真實的域名已更改為 domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

你會看到domain.com的郵件服務器是 maxipes.logix.cz 要么 broucek.logix.cz。因此,最後(第一個按時間順序排列)信任的“跳” - 或最後一個受信任的“收到的記錄”或任何你稱之為 - 是這個:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

您可以相信這一點,因為它是由Bill的郵件服務器記錄的 domain.com。這個服務器得到了它 209.86.89.64。這可能是,而且經常是電子郵件的真正發件人 - 在這種情況下是詐騙者!您可以 在黑名單中查看此IP。 - 看,他被列入3個黑名單!它下面還有另一個記錄:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

但要小心,相信這是電子郵件的真正來源。可以通過騙子添加黑名單投訴來消除他的痕跡和/或 打假。服務器仍有可能 209.86.89.64 是無辜的,只是真正的攻擊者的接力 168.62.170.129。在這種情況下, 168.62.170.129  很乾淨 所以我們幾乎可以確定攻擊是從中完成的 209.86.89.64

要記住的另一點是Alice使用Yahoo! (alice@yahoo.com)和 elasmtp-curtail.atl.sa.earthlink.net 雅虎不在!網絡(你可能想要 重新檢查其IP Whois信息)。因此,我們可以安全地得出結論,這封電子郵件不是來自Alice,我們不應該將錢匯給菲律賓。


143
2017-07-26 14:31



或者,您可以將標題粘貼到 SpamCop中 並讓它為你做所有的解密。如果您願意,他們甚至會向負責的系統管理員發送垃圾郵件通知。 - Ex Umbris
或者,您也可以使用 谷歌的標題分析工具 - Vijay
這是非常常見的 - 我通常會建議那些收到此類電子郵件的人詢問某些東西,只有電子郵件的所有者才知道這是錯誤的;) - Journeyman Geek♦
@JourneymanGeek經常是最佳實踐 不 回复 - 回复(或點擊任何鏈接,或加載外部資源,例如圖片)可以向群發垃圾郵件發送者表明您的電子郵件地址是有效的,並且有人正在閱讀它。 - Bob
作為一個系統管理員,我不得不處理一些匿名,非常侮辱和不愉快的電子郵件,幾年前發送給我們的員工。回溯標題是一個死胡同,因為發件人(不幸的是)已經足夠精明地使用匿名重郵器(en.wikipedia.org/wiki/Anonymous_remailer)。在這種情況下,你幾乎無能為力(除非你為國家安全局工作)。 - abstrask


要查找IP地址:

單擊“答复”旁邊的倒三角形。選擇顯示原始。

尋找 Received: from 後跟方括號[]之間的IP地址。 (例: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com

如果您找到多個已接收:來自模式,請選擇最後一個。

資源

之後,你可以使用 pythonclub網站iplocation.net 要么 ip查找 找出位置。


10
2017-07-26 12:24



IP是用於郵件服務器還是發送電子郵件的人的位置? - Sirwan Afifi
這是郵件服務器。不確定是否有辦法確定輸入的是哪個IP電子郵件。 - Luke
選擇最後一個“已收到:”記錄不是最佳策略 - 攻擊者可能已添加該記錄以在軌道上繪製紅色鯡魚。相反,你必須找到 最後一個值得信賴。看到我的回答 - Tomas


如何到達標題因電子郵件客戶端而異。許多客戶端都可以讓您輕鬆查看郵件的原始格式。其他人(MicroSoft Outlook)使其變得更加困難。

要確定誰真正發送了消息,返迴路徑是有幫助的。但是,它可能是欺騙性的。與From地址不匹配的返迴路徑地址是可疑的原因。它們有不同的合理原因,例如從郵件列表轉發的郵件或從網站發送的鏈接。 (如果網站使用回复地址來識別轉發鏈接的人,那會更好。)

確定從上到下通過接收的標頭讀取的消息的來源。可能有幾個。大多數人將擁有他們收到消息表單的服務器的IP地址。您將遇到的一些問題:

  • 某些站點使用外部程序掃描在掃描後重新發送郵件的郵件。這些可能會引入localhost或其他奇怪的地址。
  • 有些服務器通過省略內容來模糊地址。
  • 某些垃圾郵件將包含虛假收到的標題,旨在誤導您。
  • 可能會顯示專用(10.0.0.0/8,172.16.0.0/12和192.168.0.0/16)IP地址,但這些IP地址僅適用於他們來自的網絡。

您應始終能夠確定Internet上的哪個服務器將消息發送給您。進一步追溯取決於發送服務器的配置。


6
2017-07-26 13:03



在最近的Microsoft Outlook中,您需要在自己的窗口中打開一條消息,然後它只是文件,屬性。這並不困難。 - Rup


我用 http://whatismyipaddress.com/trace-email。 如果您使用Gmail,請點擊顯示原始內容(在更多內容,在“回复”按鈕旁邊,複製標題,將其粘貼到此網站上,然後點擊獲取來源。您將獲得地理位置信息和地圖作為回報


1
2017-07-31 13:07





還有一些工具可以分析電子郵件標題並為您提取電子郵件數據,
例如 :

  1. eMailTrackerPro

    可以將電子郵件追溯到其地理位置,包括垃圾郵件過濾器

  2. MSGTAG

  3. PoliteMail

  4. 超級電子郵件營銷軟件

  5. Zendio


0
2017-09-07 12:12



eMailTracketPro無法運行..!我剛剛下載了它的試用版。它已經卡住了 - Md Faisal