Wie kann ich herausfinden, woher eine E-Mail wirklich kam?
Nur weil in Ihrem Posteingang eine E-Mail mit der Bezeichnung [email protected] angezeigt wird, bedeutet das nicht, dass Bill tatsächlich etwas damit zu tun hatte. Lesen Sie weiter, während wir untersuchen, wie Sie nach Informationen suchen, wo eine verdächtige E-Mail herkommt.
Die heutige Question & Answer-Sitzung wird von SuperUser zur Verfügung gestellt - einer Unterteilung von Stack Exchange, einer Community-Gruppe von Q & A-Websites.
Die Frage
SuperUser-Leser Sirwan möchte wissen, woher die E-Mails eigentlich stammen:
Wie kann ich wissen, woher eine E-Mail wirklich stammt??
Gibt es eine Möglichkeit, es herauszufinden??
Ich habe von E-Mail-Headern gehört, weiß aber nicht, wo ich E-Mail-Headern zum Beispiel in Google Mail sehen kann.
Schauen wir uns diese E-Mail-Header an.
Die Antworten
SuperUser-Mitarbeiter Tomas bietet eine sehr detaillierte und aufschlussreiche Antwort:
Sehen Sie sich ein Beispiel für einen Betrug an, der mir zugesandt wurde, und tut so, als ob er von einem Freund stammt, der behauptet, sie sei ausgeraubt worden und bittet mich um finanzielle Unterstützung. Ich habe die Namen geändert. Angenommen, ich bin Bill und der Betrüger hat eine E-Mail an gesendet
[email protected]
, so tun, als wäre er[email protected]
. Beachten Sie, dass Bill vorwärts hat[email protected]
.Verwenden Sie zunächst in Google Mail
Original zeigen
:Dann werden die vollständige E-Mail und ihre Header geöffnet:
Delivered-To: [email protected] empfangen: bis 10.64.21.33 mit SMTP-ID s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-erhalten: bis 10.14.47.73 mit SMTP-ID s49mr24756966eeb.71.1373281860071; Mo, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: erhalten: von maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1) ]) von mx.google.com mit ESMTPS-ID j47si6975462eeg.108.2013.07.08.04.10.59 für (version = TLSv1-Chiffrierung = RC4-SHA-Bits = 128/128); Mo, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ist weder zulässig noch wird sie durch den besten Schätzwert verweigert Domäne von [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Authentifizierungsergebnisse: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ist weder zulässig noch durch den besten Schätzwert für die Domäne von [email protected] verweigert ) [email protected] Erhalten: von maxipes.logix.cz (Postfix, aus Benutzer-ID 604) ID C923E5D3A45; Mo, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-An: [email protected] X-Graylist: verzögert 00:06:34 von SQLgrey-1.8.0-rc1 Erhalten: von elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]]) von maxipes.logix.cz (Postfix) mit der ESMTP-ID B43175D3A44 für; Mo, 8 Jul 2013 23:10:48 +1200 (NZST) Erhalten: von [168.62.170.129] (helo = laurence39) von elasmtp-curtail.atl.sa.earthlink.net mit esmtpa (Exim 4.67) (Umschlag-von ) id 1Uw98w-0006KI-6y für [email protected]; Mo, 08 Jul 2013 06:58:06 -0400 Von: "Alice" Betreff: Schreckliche Reiseausgabe… Antwort bitte so schnell wie möglich auf: [email protected] Inhaltstyp: multipart / alternative; boundary = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Datum: Mo, 8. Juli 2013 10.58.06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… ich habe den E-Mail-Textkörper geschnitten…]
Die Kopfzeilen sind chronologisch von unten nach oben abzulesen - die ältesten sind unten. Jeder neue Server auf dem Weg fügt eine eigene Nachricht hinzu - beginnend mit
Empfangen
. Zum Beispiel:Erhalten: von maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) von mx.google.com mit ESMTPS-ID j47si6975462e.108.2013.07.08.10.10. 59 für (Version = TLSv1-Chiffre = RC4-SHA-Bits = 128/128); Mo, 08. Jul 2013 04:11:00 -0700 (PDT)
Das sagt das
mx.google.com
hat die Mail von erhaltenmaxipes.logix.cz
beimMo, 08. Jul 2013 04:11:00 -0700 (PDT)
.Nun, um das zu finden echt Absender Ihrer E-Mail ist es Ihr Ziel, das letzte vertrauenswürdige Gateway zu finden - zuletzt, wenn Sie die Kopfzeilen von oben lesen, d. h. zuerst in der chronologischen Reihenfolge. Beginnen wir damit, den Mail-Server von Bill zu finden. Dazu fragen Sie den MX-Datensatz für die Domäne ab. Sie können einige Online-Tools verwenden oder unter Linux die Befehlszeile aufrufen (beachten Sie, dass der tatsächliche Domänenname in geändert wurde)
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Sie sehen also den Mailserver für domain.com
maxipes.logix.cz
oderbroucek.logix.cz
. Daher ist der letzte (erste chronologisch) vertrauenswürdige "Hop" - oder der letzte vertrauenswürdige "Empfangene Datensatz" oder wie auch immer Sie es nennen - der folgende:Erhalten: von elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) von maxipes.logix.cz (Postfix) mit der ESMTP-ID B43175D3A44 für; Mo 8 Jul 2013 23:10:48 +1200 (NZST)
Sie können diesem vertrauen, weil dies von Bills Mailserver für aufgezeichnet wurde
domain.com
. Dieser Server hat es von bekommen209.86.89.64
. Dies könnte der eigentliche Absender der E-Mail sein - und in vielen Fällen - in diesem Fall der Betrüger! Sie können diese IP auf einer schwarzen Liste überprüfen. - Sehen Sie, er ist in 3 schwarzen Listen aufgeführt! Es gibt noch einen anderen Rekord darunter:Erhalten: von [168.62.170.129] (helo = laurence39) von elasmtp-curtail.atl.sa.earthlink.net mit esmtpa (Exim 4.67) (Umschlag-von) ID 1Uw98w-0006KI-6y für [email protected]; Mo, 08. Jul 2013 06:58:06 - 0400
aber man kann dem eigentlich nicht vertrauen, denn das könnte der Betrüger nur hinzufügen, um seine Spuren zu löschen und / oder lege eine falsche Spur. Natürlich besteht noch die Möglichkeit, dass der Server
209.86.89.64
ist unschuldig und fungierte nur als Relais für den echten Angreifer bei168.62.170.129
, Dann gilt das Relais jedoch oft als schuldig und steht sehr oft auf der schwarzen Liste. In diesem Fall,168.62.170.129
ist sauber, also können wir fast sicher sein, dass der Angriff von gemacht wurde209.86.89.64
.Und natürlich wissen wir, dass Alice Yahoo! und
elasmtp-curtail.atl.sa.earthlink.net
ist nicht auf dem Yahoo! Netzwerk (möglicherweise möchten Sie die IP-Whois-Informationen erneut prüfen), können wir sicher davon ausgehen, dass diese E-Mail nicht von Alice stammt und dass wir ihr kein Geld in den Urlaub auf den Philippinen schicken sollten.
Zwei weitere Mitwirkende, Ex Umbris und Vijay, empfahlen die folgenden Dienste, um die Dekodierung von E-Mail-Headern zu unterstützen: SpamCop und das Tool für die Header-Analyse von Google.
Haben Sie der Erklärung etwas hinzuzufügen? Ton aus in den Kommentaren. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Hier geht es zum vollständigen Diskussionsthread.