2013-07-26 12:19:24 +0000 2013-07-26 12:19:24 +0000
107
107

如何才能查到一封邮件的真正来源?

如何才能知道一封邮件的真正来源?有什么办法可以查出来吗?

我听说过邮件头,但我不知道在哪里可以看到邮件头,比如在Gmail中。有什么办法吗?

答案 (5)

147
147
147
2013-07-26 14:31:30 +0000

请看下面一个骗局的例子,是我朋友发来的,假装是我朋友发来的,声称她被抢了,要求我提供经济援助。我已经改了名字–我是 “Bill",骗子给bill@domain.com发了一封邮件,假装是alice@yahoo.com。注意,比尔将邮件转发到bill@gmail.com

首先,在Gmail中,点击show original

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

完整的邮件和邮件头会被打开。

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

邮件头要按时间顺序从下往上读,最老的在最下面。每一个新的服务器在途中都会添加自己的消息–以Received开头。例如:

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

这表示mx.google.com已经在maxipes.logix.cz收到了来自Mon, 08 Jul 2013 04:11:00 -0700 (PDT)的邮件。

现在,要找到你的邮件的_真正的发件人,你必须找到最早的可信网关–从上往下读信头时最后一个。让我们从找到Bill的邮件服务器开始。为此,查询该域名的MX记录。你可以使用在线工具,比如 Mx工具箱 ,或者在Linux上,你可以在命令行上查询(注意真正的域名被改成了domain.com):

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

你会看到domain.com的邮件服务器是maxipes.logix.cz或者broucek.logix.cz。因此,最后一个(按时间顺序排列的第一个)可信的 "跳转”–或最后一个可信的 “接收记录 "或不管你怎么称呼它–就是这个。

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

你可以相信这个,因为它是由比尔的邮件服务器记录的domain.com。这个服务器是从209.86.89.64得到的。这可能是,而且经常是,邮件的真正发件人–在这种情况下,就是骗子!你可以 [ 在 IP 上检查这个 IP。你可以在黑名单上检查这个IP。- 看,他被列入了3个黑名单! 下面还有一条记录。

但要小心相信这是邮件的真实来源。黑名单投诉可能只是骗子为了抹去他的痕迹和/或_铺设一个虚假的线索而添加的。还有一种可能是服务器 209.86.89.64 是无辜的,只是真正的攻击者在 168.62.170.129 的中继。在这种情况下,168.62.170.129 是干净的 ,所以我们几乎可以确定攻击是从209.86.89.64进行的。

另一点需要注意的是,Alice使用的是Yahoo!(alice@yahoo.com),而elasmtp-curtail.atl.sa.earthlink.net并不在Yahoo!网络上(你可能要 重新检查其IP Whois信息)。因此,我们可以安全地得出结论,这封邮件不是来自爱丽丝,我们不应该给她寄钱到菲律宾。

10
10
10
2013-07-26 12:24:02 +0000

要找到IP地址。

点击回复旁边的倒三角。选择 “显示原文"。

在方括号[]之间寻找Received: from后面的IP地址。(例如:Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

如果发现多个 Received: from 模式,选择最后一个。

Source )

之后,你可以使用 pythonclub site iplocation.net ip lookup 来查找位置。

6
6
6
2013-07-26 13:03:00 +0000

如何获取邮件标题在不同的邮件客户端之间有所不同。许多客户端会让你很容易看到邮件的原始格式。其他的客户端(MicroSoft Outlook)则让它变得更加困难。

要确定消息的真正发送者,返回路径很有帮助。然而,它可以被欺骗。一个与发件人地址不匹配的返回路径地址是值得怀疑的。有合法的理由让它们不同,比如从邮件列表转发的消息,或者从网站发送的链接。如果网站使用Reply-to地址来识别转发链接的人,那就更好了)。

为了确定消息的来源,从收到的报头中自上而下地读取。可能有几个。大多数会有他们收到消息形式的服务器的IP地址。你会遇到的一些问题。

-一些网站使用外部程序扫描消息,扫描后重新发送消息。这些可能会引入localhost或其他奇怪的地址。 - 一些服务器通过省略内容来混淆地址。 - 一些SPAM会包含假的收到的头信息来误导你。 - 私人(10.0.0.0/8、172.16.0.0/12和192.168.0.0/16)IP地址可能会出现,但只有在它们来自的网络上才有意义。

你应该总是能够确定互联网上哪个服务器向你发送了消息。进一步追溯取决于发送服务器的配置。

1
1
1
2013-07-31 13:07:17 +0000

我用的是 http://whatismyipaddress.com/trace-email 。如果你使用Gmail,点击显示原文(在更多,回复按钮旁边,复制标题,粘贴到这个网站上,然后点击获取源。你会得到地理位置信息和地图的回报。

0
0
0
2013-09-07 12:12:48 +0000

还有一些分析邮件头和提取邮件数据的工具, 例如:

  1. eMailTrackerPro

  2. MSGTAG

  3. PoliteMail

  4. Super Email Marketing Software

  5. Zendio