Bagaimana saya bisa mengetahui dari mana sebenarnya email itu berasal?


107

Bagaimana saya bisa tahu dari mana sebenarnya email berasal? Apakah ada cara untuk mengetahuinya?

Saya telah mendengar tentang tajuk email, tetapi saya tidak tahu di mana saya bisa melihat tajuk email, misalnya di Gmail. Ada bantuan?


btw. Alamat IP dalam gmail Header dalam format IPv6: v6decode.com
user956584

Jawaban:


147

Lihat di bawah untuk contoh penipuan yang dikirim kepada saya, berpura-pura berasal dari teman saya, mengklaim dia telah dirampok dan meminta bantuan keuangan kepada saya. Saya telah mengubah nama - Saya "Bill," dan scammer telah mengirim email ke bill@domain.com, berpura-pura menjadi alice@yahoo.com. Perhatikan bahwa Bill meneruskan emailnya ke bill@gmail.com.

Pertama, di Gmail, klik show original:

Menu pesan> Tampilkan yang asli

Email lengkap dan tajuknya akan terbuka:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Header harus dibaca secara kronologis dari bawah ke atas - yang tertua ada di bawah. Setiap server baru akan menambahkan pesannya sendiri - dimulai dengan Received. Sebagai contoh:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Ini mengatakan bahwa mx.google.comtelah menerima surat dari maxipes.logix.czpada Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Sekarang, untuk menemukan pengirim sebenarnya dari email Anda, Anda harus menemukan gateway tepercaya paling awal - terakhir saat membaca tajuk dari atas. Mari kita mulai dengan menemukan server surat Bill. Untuk ini, permintaan data MX untuk domain. Anda dapat menggunakan alat online seperti Mx Toolbox , atau di Linux Anda dapat menanyakannya di baris perintah (perhatikan nama domain asli diubah menjadi domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

Dan Anda akan melihat server mail untuk domain.com adalah maxipes.logix.czatau broucek.logix.cz. Karenanya, "hop" tepercaya (kronologis pertama) tepercaya - atau "Rekaman diterima" tepercaya terakhir atau apa pun namanya Anda - adalah yang ini:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Anda dapat mempercayai ini karena dicatat oleh server surat Bill untuk domain.com. Server ini mendapatkannya dari 209.86.89.64. Ini bisa, dan sangat sering, pengirim sebenarnya dari email - dalam hal ini scammer! Anda dapat memeriksa IP ini di daftar hitam . - Lihat, dia terdaftar dalam 3 daftar hitam! Ada catatan lain di bawahnya:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Tapi hati-hati mempercayai bahwa ini adalah sumber email yang sebenarnya. Keluhan daftar hitam hanya bisa ditambahkan oleh scammer untuk menghapus jejaknya dan / atau meletakkan jejak palsu . Masih ada kemungkinan bahwa server 209.86.89.64tidak bersalah dan hanya relay untuk penyerang yang sebenarnya 168.62.170.129. Dalam hal ini, 168.62.170.129 bersih sehingga kita dapat hampir pasti serangan itu dilakukan 209.86.89.64.

Hal lain yang perlu diingat adalah bahwa Alice menggunakan Yahoo! (alice@yahoo.com) dan elasmtp-curtail.atl.sa.earthlink.nettidak ada di Yahoo! jaringan (Anda mungkin ingin memeriksa kembali informasi IP Whoisnya ). Karena itu, kami dapat menyimpulkan bahwa email ini bukan dari Alice, dan kami tidak boleh mengirim uangnya ke Filipina.


15
Atau, Anda dapat menempelkan tajuk ke dalam SpamCop dan membiarkannya melakukan semua penguraian untuk Anda. Mereka bahkan akan mengirim pemberitahuan SPAM ke sysadmin yang bertanggung jawab jika Anda mau.
Ex Umbris

8
Atau, Anda juga dapat menggunakan alat analisis tajuk google
Vijay

2
Ini sangat umum - sampai pada titik di mana saya biasanya menasihati orang-orang yang mendapatkan email seperti itu untuk menanyakan sesuatu yang hanya diketahui oleh pemilik addie email itu salah;)
Journeyman Geek

9
@JourneymanGeek Praktik terbaik sering kali tidak membalas - balasan (atau mengklik tautan apa pun, atau memuat sumber daya eksternal, mis. Gambar) dapat memberikan indikasi kepada spammer massal bahwa alamat email Anda valid, dan seseorang benar-benar membacanya.
Bob

1
Sebagai seorang sysadmin, saya harus berurusan dengan beberapa email anonim, sangat kasar dan tidak menyenangkan, dikirim ke salah satu karyawan kami beberapa tahun yang lalu. Mengulangi header adalah jalan buntu, karena pengirim (sayangnya) cukup pintar untuk menggunakan pengirim email anonim ( en.wikipedia.org/wiki/Anonymous_remailer ). Dalam kasus seperti itu, praktis tidak ada yang bisa Anda lakukan (mungkin kecuali Anda bekerja untuk NSA).
abstrask

10

Untuk menemukan alamat IP:

Klik pada segitiga terbalik di sebelah Balas. Pilih Tampilkan yang Asli.

Cari Received: fromdiikuti dengan alamat IP antara tanda kurung siku []. (contoh Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)

Jika Anda menemukan lebih dari satu Diterima: dari pola, pilih yang terakhir.

( Sumber )

Setelah itu, Anda dapat menggunakan situs pythonclub , iplocation.net atau ip lookup untuk mengetahui lokasi.


IP itu untuk Server Email atau lokasi orang yang mengirim email?
Sirwan Afifi

1
Ini server surat. Tidak yakin apakah ada cara untuk menentukan dari mana email ip diketik.
Luke

Memilih yang terakhir "Diterima:" catatan bukan strategi terbaik - itu bisa ditambahkan oleh penyerang untuk menggambar ikan haring merah di trek. Sebaliknya, Anda harus menemukan yang terakhir tepercaya . Lihat jawaban saya
Tomas

6

Cara Anda mendapatkan tajuk bervariasi antara klien email. Banyak klien akan membiarkan Anda melihat format asli pesan dengan mudah. Lainnya (MicroSoft Outlook) membuatnya lebih sulit.

Untuk menentukan siapa yang benar-benar mengirim pesan, jalur balik sangat membantu. Namun, itu bisa dipalsukan. Alamat jalur balik yang tidak cocok dengan alamat Dari menyebabkan kecurigaan. Ada alasan yang sah bagi mereka untuk berbeda, seperti pesan yang diteruskan dari milis, atau tautan yang dikirim dari situs web. (Akan lebih baik jika situs web menggunakan alamat Balas-untuk mengidentifikasi orang yang meneruskan tautan.)

Untuk menentukan asal pesan baca dari atas ke bawah melalui tajuk yang diterima. Mungkin ada beberapa. Sebagian besar akan memiliki alamat IP dari server mereka menerima formulir pesan. Beberapa masalah yang akan Anda temui:

  • Beberapa situs menggunakan program eksternal untuk memindai pesan yang mengirim ulang pesan setelah pemindaian. Ini mungkin memperkenalkan localhost atau alamat aneh lainnya.
  • Beberapa server mengaburkan alamat dengan menghilangkan konten.
  • Beberapa SPAM akan menyertakan tajuk diterima palsu yang dimaksudkan untuk menyesatkan Anda.
  • Alamat IP pribadi (10.0.0.0/8, 172.16.0.0/12, dan 192.168.0.0/16) mungkin muncul, tetapi hanya masuk akal pada jaringan tempat asalnya.

Anda harus selalu dapat menentukan server mana di Internet yang mengirim pesan kepada Anda. Menelusuri lebih jauh ke belakang tergantung pada konfigurasi server pengirim.


FYI di Microsoft Outlook baru-baru ini Anda perlu membuka pesan ke dalam jendela sendiri maka itu hanya File, Properties. Itu tidak sulit.
Rup

1

Saya menggunakan http://whatismyipaddress.com/trace-email . Jika Anda menggunakan Gmail, klik Perlihatkan yang asli (di Lainnya, di sebelah tombol Balas, salin tajuk, tempel ke situs web ini dan klik Dapatkan sumber. Anda akan mendapatkan informasi lokasi Geo dan peta sebagai balasannya


0

juga ada beberapa alat untuk menganalisis tajuk email dan mengekstrak data email untuk Anda,
misalnya:

  1. eMailTrackerPro

    yang dapat melacak e-mail kembali ke lokasi geografisnya termasuk filter spam

  2. MSGTAG

  3. PoliteMail

  4. Perangkat Lunak Pemasaran Super Email

  5. Zendio


eMailTracketPro tidak berfungsi ..! Saya baru saja mengunduh versi percobaannya. dan itu macet
Md Faisal
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.