我如何知道电子邮件的真正来源?有什么方法可以找到它吗?
我听说过电子邮件标头,但我不知道在哪里可以查看电子邮件标头,例如在 Gmail 中。有什么帮助吗?
答案1
请参阅以下诈骗示例,有人向我发送了一封电子邮件,假装是我朋友发来的,声称她被抢劫了,并向我寻求经济援助。我更改了名字——我是“比尔”,骗子向 发送了一封电子邮件[email protected]
,假装是[email protected]
。请注意,比尔将他的电子邮件转发给了[email protected]
。
首先,在 Gmail 中,点击show original
:
完整的电子邮件及其标题将打开:
Delivered-To: [email protected]
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <[email protected]>)
id 1Uw98w-0006KI-6y
for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <[email protected]>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: [email protected]
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: [email protected]
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
标题应按时间顺序从下往上阅读 — 最旧的在底部。途中的每个新服务器都会添加自己的消息 — 以 开头Received
。例如:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <[email protected]>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
这表示已收到来自mx.google.com
的邮件。maxipes.logix.cz
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
现在,要找到真实的邮件的发件人,您必须找到最早的受信任网关——从顶部读取标题时位于最后。让我们从查找 Bill 的邮件服务器开始。为此,查询域的 MX 记录。您可以使用在线工具,例如Mx 工具箱或者在Linux上你可以在命令行上查询它(注意真正的域名已更改为domain.com
):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
您将看到 domain.com 的邮件服务器是maxipes.logix.cz
或broucek.logix.cz
。因此,最后一个(按时间顺序排列的第一个)受信任的“跳跃” — 或最后一个受信任的“接收记录”或无论您如何称呼它 — 是这个:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <[email protected]>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
您可以相信它,因为它是由 Bill 的邮件服务器记录的domain.com
。该服务器从 获得它209.86.89.64
。这可能是电子邮件的真正发件人,而且通常就是真正的发件人——在本例中就是诈骗者!您可以检查这个IP是否在黑名单上。——你看,他被列入了 3 个黑名单!下面还有另一条记录:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <[email protected]>)
id 1Uw98w-0006KI-6y
for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
但要小心,不要相信这是电子邮件的真正来源。黑名单投诉可能只是由诈骗者添加,以消除其踪迹和/或设下陷阱仍有可能该服务器209.86.89.64
是无辜的,只是真正的攻击者的中继168.62.170.129
。在这种情况下,168.62.170.129
很干净所以我们几乎可以肯定这次袭击是从……发起的209.86.89.64
。
需要记住的另一点是 Alice 使用 Yahoo!([电子邮件保护])并且elasmtp-curtail.atl.sa.earthlink.net
不在 Yahoo! 网络上(您可能需要重新检查其 IP Whois 信息)因此,我们可以放心地得出结论,这封电子邮件不是来自 Alice,我们不应该将她的钱汇往菲律宾。
答案2
要查找 IP 地址:
点击回复旁边的倒三角形。选择显示原文。
查找Received: from
方括号 [ ] 中的 IP 地址。(例如Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com
:)
如果从模式中找到多个“已接收:”,请选择最后一个。
(来源)
之后,您可以使用 pythonclub 网站,iplocation.net或者ip 查询找出位置。
答案3
获取邮件头的方式因电子邮件客户端而异。许多客户端可让您轻松查看邮件的原始格式。其他客户端(MicroSoft Outlook)则让查看邮件头更加困难。
要确定谁真正发送了该消息,返回路径很有用。但是,它可以被欺骗。与发件人地址不匹配的返回路径地址会引起怀疑。它们有不同是有正当理由的,例如从邮件列表转发的消息,或从网站发送的链接。(如果网站使用回复地址来识别转发链接的人会更好。)
要确定消息的来源,请从上到下阅读收到的标头。可能会有多个标头。大多数标头都有从消息中接收的服务器的 IP 地址。您将遇到以下问题:
- 有些网站使用外部程序扫描邮件,并在扫描后重新发送邮件。这些可能会引入 localhost 或其他陌生地址。
- 一些服务器通过省略内容来混淆地址。
- 一些垃圾邮件会包含虚假的接收标头,旨在误导您。
- 可能会出现私有(10.0.0.0/8、172.16.0.0/12 和 192.168.0.0/16)IP 地址,但仅在其来自的网络上才有意义。
您应该始终能够确定互联网上的哪个服务器向您发送了消息。进一步追溯取决于发送服务器的配置。
答案4
还有一些用于分析电子邮件标题并提取电子邮件数据的工具,
例如:
-
可以追踪电子邮件的地理位置,包括垃圾邮件过滤器
消息标签
礼貌邮件
超级电子邮件营销软件
赞迪奥