كيف يمكنني معرفة أين جاء البريد الإلكتروني من؟
فقط لأن البريد الإلكتروني يظهر في صندوق البريد الوارد الخاص بك المسمى [email protected] ، لا يعني أن بيل كان لديه أي شيء متعلق به. اقرأ عندما نكتشف كيفية الحفر ومعرفة مصدر البريد الإلكتروني المريب في الواقع.
تأتي جلسة الأسئلة والأجوبة اليوم مقدمة من SuperUser-a subdivision of Stack Exchange ، وهي مجموعة مجتمعية للمواقع على شبكة الإنترنت Q & A.
السؤال
يريد قارئ SuperUser Sirwan معرفة كيفية معرفة مصدر رسائل البريد الإلكتروني من:
كيف يمكنني معرفة مصدر البريد الإلكتروني من?
هل هناك طريقة للعثور عليه?
لقد سمعت برؤوس البريد الإلكتروني ، ولكن لا أعرف أين يمكنني رؤية عناوين البريد الإلكتروني على سبيل المثال في Gmail.
لنلقِ نظرة على عناوين البريد الإلكتروني هذه.
الاجابات
يقدم المساهم في SuperUser Tomas استجابة تفصيلية ومفيدة للغاية:
شاهد مثالاً على عملية احتيال تم إرسالها إليّ ، متظاهرة بأنها من صديقي ، مدعياً أنها تعرضت للسرقة وطلبت مني المساعدة المالية. لقد غيرت أسماء - لنفترض أنني فاتورة ، فقد أرسل المخادع رسالة إلكترونية إلى
[email protected]
, يتظاهر بأنه[email protected]
. لاحظ أن بيل قد تقدم إلى[email protected]
.أولا ، في Gmail ، استخدم
إظهار النسخة الأصلية
:بعد ذلك ، سيتم فتح البريد الإلكتروني الكامل ورؤوسه:
Delivered-To: [email protected] مستلم: بواسطة 10.64.21.33 باستخدام معرف SMTP s1csp177937iee ؛ Mon، 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071؛ Mon، 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) بواسطة mx.google.com مع معرف ESMTPS j47si6975462eeg.108.2013.07.08.04.10.59 لـ (version = TLSv1 cipher = RC4-SHA bits = 128/128) ؛ Mon، 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 غير مسموح به أو تم رفضه بواسطة أفضل سجل تخمين لـ نطاق [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1؛ نتائج المصادقة: mx.google.com؛ spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 غير مسموح به ولا تم رفضه بواسطة أفضل سجل تخمين في نطاق [email protected] ) [email protected] تم استلامه: بواسطة maxipes.logix.cz (Postfix ، من userid 604) id C923E5D3A45؛ Mon، 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) بواسطة maxipes.logix.cz (Postfix) مع ESMTP id B43175D3A44 لـ؛ الاثنين ، 8 يوليو 2013 23:10:48 +1200 (NZST) تم الاستلام: من [168.62.170.129] (helo = laurence39) بواسطة elasmtp-curtail.atl.sa.earthlink.net مع esmtpa (Exim 4.67) (مغلف من ) id 1Uw98w-0006KI-6y لـ [email protected] ؛ الاثنين، 08 يوليو 2013 06:58:06 -0400 من: "Alice" الموضوع: مشكلة السفر الرهيبة ... يرجى الرد في اسرع وقت ممكن إلى: [email protected] نوع المحتوى: multipart / alternative؛ الحدود = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-الإصدار: 1.0 رد-إلى: [email protected] التاريخ: الأثنين، 8 يوليو 2013 10:58:06 +0000 رسالة-ID: X-ELNK-تتبع: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… لقد قطعت هيئة البريد الإلكتروني ...]
يجب قراءة العناوين بترتيب زمني من أسفل إلى أعلى - الأقدم في الأسفل. سيضيف كل خادم جديد على الطريق رسالته الخاصة - بدءًا من
تم الاستلام
. فمثلا:تم الاستلام: من maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) بواسطة mx.google.com باستخدام معرف ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 لـ (version = TLSv1 cipher = بت RC4-SHA = 128/128) ؛ الاثنين ، 08 تموز 2013 04:11:00 -0700 (PDT)
هذا يقول ذلك
mx.google.com
تلقى البريد منmaxipes.logix.cz
فيالاثنين ، 08 تموز 2013 04:11:00 -0700 (PDT)
.الآن ، للعثور على حقيقة مرسل لبريدك الإلكتروني ، هدفك هو العثور على آخر بوابة موثوق بها - أخيرًا عند قراءة الرؤوس من أعلى ، أي أولاً بالترتيب الزمني. لنبدأ بإيجاد خادم بريد Bill. لهذا ، يمكنك الاستعلام عن سجل MX للمجال. يمكنك استخدام بعض الأدوات عبر الإنترنت ، أو في Linux يمكنك الاستعلام عنها على سطر الأوامر (لاحظ تم تغيير اسم المجال الحقيقي إلى
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
لذلك ترى خادم البريد ل domain.com هو
maxipes.logix.cz
أوbroucek.logix.cz
. ومن ثم ، فإن آخر "الوثب الزمني" الموثوق به "هوب" أو آخر سجل موثوق به "" أو أي شيء تسمونه - هو هذا:Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for؛ الاثنين ، 8 يوليو 2013 23:10:48 +1200 (NZST)
يمكنك الوثوق بهذا لأن هذا تم تسجيله بواسطة خادم بريد Bill الخاص بـ
domain.com
. هذا الخادم حصلت عليه من209.86.89.64
. هذا يمكن أن يكون ، وغالبا ما يكون ، المرسل الحقيقي للبريد الإلكتروني - في هذه الحالة المخادع! يمكنك التحقق من هذا IP على قائمة سوداء. - شاهد ، إنه مدرج في 3 قوائم سوداء! يوجد سجل آخر أسفله:تم الاستلام: من [168.62.170.129] (helo = laurence39) بواسطة elasmtp-curtail.atl.sa.earthlink.net مع esmtpa (Exim 4.67) (envelope-from) id 1Uw98w-0006KI-6y لـ [email protected]؛ الاثنين ، 08 تموز 2013 06:58:06 -0400
ولكنك لا تستطيع أن تثق بهذا ، لأنه يمكن فقط إضافته من قبل المخادع للقضاء على آثاره و / أو تكمن درب كاذبة. بالطبع لا يزال هناك احتمال أن الخادم
209.86.89.64
هو برئ ويتصرف فقط كمتابع للمهاجم الحقيقي في168.62.170.129
, ولكن في كثير من الأحيان يعتبر المرسل مذنبا وغالبا ما يكون على القائمة السوداء. في هذه الحالة,168.62.170.129
نظيفة حتى نتمكن من التأكد من أن الهجوم قد تم209.86.89.64
.وبالطبع ، كما نعلم أن Alice تستخدم Yahoo! و
elasmtp-curtail.atl.sa.earthlink.net
ليس على ياهو! شبكة (قد ترغب في إعادة التحقق من معلومات IP Whois الخاصة بها) ، قد نستنتج بأمان أن هذا البريد الإلكتروني لم يكن من Alice ، وأنه لا ينبغي أن نرسل لها أي أموال إلى إجازتها المطالب بها في الفلبين.
اقترح اثنان من المساهمين الآخرين ، وهما Ex Umbris و Vijay ، على التوالي ، الخدمات التالية للمساعدة في فك رؤوس عناوين البريد الإلكتروني: SpamCop و Google Header Analysis tool.
هل لديك شيء تضيفه إلى الشرح؟ الصوت قبالة في التعليقات. هل ترغب في قراءة المزيد من الإجابات من مستخدمي Stack Exchange الآخرين المحترفين بالتكنولوجيا؟ تحقق من موضوع المناقشة الكامل هنا.