La sessione di domande e risposte di oggi ci viene fornita per gentile concessione di SuperUser, una suddivisione di Stack Exchange, un raggruppamento di domande e risposte di community drive.
La domanda
Il lettore SuperUser Sirwan vuole sapere come capire da dove provengono effettivamente le email:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Diamo un'occhiata a queste intestazioni di posta elettronica.
Le risposte
Collaboratore SuperUser Tomas offre una risposta molto dettagliata e perspicace:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
fingendo di essere
. Si noti che Bill ha intenzione di farlo
Innanzitutto, in Gmail, usa
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Le intestazioni devono essere lette cronologicamente dal basso verso l'alto - le più vecchie sono in basso. Ogni nuovo server sulla strada aggiungerà il proprio messaggio - a partire da
Received
. Per esempio:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Questo dice questo
mx.google.com
ha ricevuto la posta da
maxipes.logix.cz
a
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Ora, per trovare ilvero mittente della tua e-mail, il tuo obiettivo è quello di trovare l'ultimo gateway attendibile - ultimo quando si leggono le intestazioni dall'alto, vale a dire prima nell'ordine cronologico. Iniziamo trovando il server di posta di Bill. Per questo, si esegue una query sul record MX per il dominio. È possibile utilizzare alcuni strumenti online oppure su Linux è possibile interrogarlo sulla riga di comando (notare che il nome del dominio reale è stato modificato in
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Quindi vedi il server di posta per domain.com
maxipes.logix.cz
o
broucek.logix.cz
. Quindi, l'ultimo (prima cronologicamente) fidato "hop" - o l'ultimo trusted "Received record" o qualsiasi altra cosa tu chiami - è questo:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Puoi fidarti di questo perché questo è stato registrato dal server di posta di Bill per
domain.com
. Da questo server l'ha preso
209.86.89.64
. Questo potrebbe essere, e molto spesso lo è, il vero mittente dell'e-mail - in questo caso il truffatore! Puoi controllare questo IP su una lista nera. - Vedi, è elencato in 3 liste nere! C'è ancora un altro record sotto di esso:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
ma non puoi fidarti di questo, perché potrebbe essere aggiunto dal truffatore per cancellare le sue tracce e / ogettare una falsa pista. Ovviamente c'è ancora la possibilità che il server
209.86.89.64
è innocente e ha agito solo come relatore per il vero aggressore di
168.62.170.129
ma poi la staffetta viene spesso considerata colpevole e viene spesso inserita nella lista nera. In questo caso,
168.62.170.129
è pulito, quindi possiamo essere quasi sicuri che l'attacco sia stato eseguito
209.86.89.64
E, naturalmente, come sappiamo che Alice usa Yahoo! e
elasmtp-curtail.atl.sa.earthlink.net
non è su Yahoo! rete (si consiglia di ricontrollare le sue informazioni Whois IP), possiamo tranquillamente concludere che questa e-mail non proveniva da Alice, e che non dovremmo mandarle dei soldi per la sua vacanza dichiarata nelle Filippine.
Altri due contributori, Ex Umbris e Vijay, hanno raccomandato, rispettivamente, i seguenti servizi per l'assistenza nella decodifica delle intestazioni delle e-mail: SpamCop e lo strumento di analisi dell'intestazione di Google.
Hai qualcosa da aggiungere alla spiegazione? Sound off nei commenti. Vuoi leggere più risposte dagli altri utenti di Stack Exchange esperti di tecnologia? Controlla la discussione completa qui.