Solo perché una mail appare nella tua casella di posta con etichetta [email protected], non significa che Bill abbia effettivamente avuto a che fare con esso. Continua a leggere mentre esploriamo come scavare e vedere da dove proviene effettivamente un'e-mail sospetta.
La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di domande e risposte di community drive.
La domanda
Il lettore SuperUser Sirwan vuole sapere come capire da dove provengono effettivamente le email:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Diamo un'occhiata a queste intestazioni di posta elettronica.
Le risposte
Collaboratore SuperUser Tomas offre una risposta molto dettagliata e perspicace:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
Quindi, l'email completa e le sue intestazioni si apriranno:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Le intestazioni devono essere lette cronologicamente dal basso verso l'alto - le più vecchie sono in basso. Ogni nuovo server sulla strada aggiungerà il proprio messaggio - a partire da
Received
. Per esempio:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Questo dice questo
mx.google.com
ha ricevuto la posta da
maxipes.logix.cz
a
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Ora, per trovare ilvero mittente della tua e-mail, il tuo obiettivo è quello di trovare l'ultimo gateway attendibile - ultimo quando si leggono le intestazioni dall'alto, vale a dire prima nell'ordine cronologico. Iniziamo trovando il server di posta di Bill. Per questo, si esegue una query sul record MX per il dominio. È possibile utilizzare alcuni strumenti online oppure su Linux è possibile interrogarlo sulla riga di comando (notare che il nome del dominio reale è stato modificato in
. Quindi, l'ultimo (prima cronologicamente) fidato "hop" - o l'ultimo trusted "Received record" o qualsiasi altra cosa tu chiami - è questo:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Puoi fidarti di questo perché questo è stato registrato dal server di posta di Bill per
domain.com
. Da questo server l'ha preso
209.86.89.64
. Questo potrebbe essere, e molto spesso lo è, il vero mittente dell'e-mail - in questo caso il truffatore! Puoi controllare questo IP su una lista nera. - Vedi, è elencato in 3 liste nere! C'è ancora un altro record sotto di esso:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
ma non puoi fidarti di questo, perché potrebbe essere aggiunto dal truffatore per cancellare le sue tracce e / ogettare una falsa pista. Ovviamente c'è ancora la possibilità che il server
209.86.89.64
è innocente e ha agito solo come relatore per il vero aggressore di
168.62.170.129
ma poi la staffetta viene spesso considerata colpevole e viene spesso inserita nella lista nera. In questo caso,
168.62.170.129
è pulito, quindi possiamo essere quasi sicuri che l'attacco sia stato eseguito
209.86.89.64
E, naturalmente, come sappiamo che Alice usa Yahoo! e
elasmtp-curtail.atl.sa.earthlink.net
non è su Yahoo! rete (si consiglia di ricontrollare le sue informazioni Whois IP), possiamo tranquillamente concludere che questa e-mail non proveniva da Alice, e che non dovremmo mandarle dei soldi per la sua vacanza dichiarata nelle Filippine.
Altri due contributori, Ex Umbris e Vijay, hanno raccomandato, rispettivamente, i seguenti servizi per l'assistenza nella decodifica delle intestazioni delle e-mail: SpamCop e lo strumento di analisi dell'intestazione di Google.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.
La maggior parte delle persone sa che Outlook archivia le e-mail per ogni account in un file PST (Personal Table Storage), ma capire dove si trova quel file dipende dalla versione di Outlook che si sta utilizzando. Ecco dove Outlook archivia i tuoi file e come puoi spostarli se necessario.
Una cosa è installare un'applicazione che vuoi, è un'altra cosa quando un'applicazione non finisce solo sul tuo computer ma si apre e ti irrita continuamente. Continuate a leggere mentre aiutiamo un altro lettore ad arrivare in fondo al suo mistero pop-up e bandirlo nel processo.
Se sei deluso dal fatto che molti dei giochi "multiplayer" che hai scelto ultimamente siano o multiplayer a causa di giochi di minigiochi o richiedano giochi online, continua a leggere mentre aiutiamo un altro lettore HTG a trovare il multiplayer basato sul divano contenuto che brama.
Quante volte hai notato un file seduto in una directory e ti sei chiesto … da dove viene questo file? Oppure stai cercando di dire a un amico come usare un'utility, ma lui non ha installato, e non puoi ricordare quale pacchetto hai installato per averlo.
Questi strumenti online gratuiti ti aiutano a trovare se l'URL il cui reindirizzamento vuoi controllare va o meno alla destinazione desiderata. Trova dove un dato URL o link reindirizza a.
