Nur weil eine E-Mail mit der Bezeichnung Bill.Smith@somehost.com in Ihrem Posteingang auftaucht, heißt das nicht, dass Bill tatsächlich etwas damit zu tun hatte. Lesen Sie weiter, während wir untersuchen, wie Sie sich einmischen und sehen, woher eine verdächtige E-Mail tatsächlich stammt.
Die Frage
SuperUser-Leser Sirwan möchte wissen, woher E-Mails tatsächlich stammen:
Wie kann ich wissen, woher eine E-Mail wirklich stammt?
Gibt es eine Möglichkeit, es herauszufinden?
Ich habe von E-Mail-Headern gehört, weiß aber nicht, wo ich beispielsweise E-Mail-Header in Gmail sehen kann.
Werfen wir einen Blick auf diese E-Mail-Header.
Die Antworten
SuperUser-Mitwirkender Tomas bietet eine sehr detaillierte und aufschlussreiche Antwort:
Sehen Sie sich ein Beispiel für einen Betrug an, der mir zugesandt wurde, indem er vorgibt, dass er von meiner Freundin stammt, die behauptet, sie sei ausgeraubt worden, und mich um finanzielle Hilfe gebeten hat. Ich habe die Namen geändert – angenommen, ich bin Bill, der Betrüger hat eine E-Mail gesendet an bill@domain.com
, so tun, als wäre er alice@yahoo.com
. Beachten Sie, dass Bill weitergeleitet hat an bill@gmail.com
.
Verwenden Sie in Gmail zunächst show original
:
Dann werden die vollständige E-Mail und ihre Kopfzeilen geöffnet:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
Die Überschriften sind chronologisch von unten nach oben zu lesen – die ältesten stehen ganz unten. Jeder neue Server auf dem Weg wird seine eigene Nachricht hinzufügen – beginnend mit Received
. Zum Beispiel:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Das sagt das mx.google.com
hat die Mail erhalten von maxipes.logix.cz
bei Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
.
Um nun den Absender Ihrer E-Mail zu finden, ist es Ihr Ziel, das letzte vertrauenswürdige Gateway zu finden – zuletzt beim Lesen der Header von oben, dh zuerst in chronologischer Reihenfolge. Beginnen wir damit, den Mailserver von Bill zu finden. Dazu fragen Sie den MX-Record für die Domain ab. Sie können einige verwenden Online-Tools, oder unter Linux können Sie es über die Befehlszeile abfragen (beachten Sie, dass der echte Domänenname geändert wurde in domain.com
):
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Sie sehen also, dass der Mailserver für domain.com ist maxipes.logix.cz
oder broucek.logix.cz
. Daher ist der letzte (chronologisch erste) vertrauenswürdige „Hop“ – oder der letzte vertrauenswürdige „Received Record“ oder wie auch immer Sie es nennen – dieser:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Darauf kannst du vertrauen, denn dies wurde von Bills Mailserver aufgezeichnet für domain.com
. Dieser Server hat es von 209.86.89.64
. Dies könnte der wahre Absender der E-Mail sein und ist es sehr oft – in diesem Fall der Betrüger! Du kannst Überprüfe diese IP auf einer Blacklist. — Sehen Sie, er ist in 3 schwarzen Listen aufgeführt! Darunter befindet sich noch ein weiterer Rekord:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Aber Sie können dem nicht wirklich vertrauen, denn das könnte nur vom Betrüger hinzugefügt werden, um seine Spuren zu verwischen und/oder . Natürlich besteht weiterhin die Möglichkeit, dass der Server 209.86.89.64
ist unschuldig und fungierte nur als Relais für den echten Angreifer bei 168.62.170.129
, aber dann wird das Relais oft als schuldig angesehen und sehr oft auf die schwarze Liste gesetzt. In diesem Fall, 168.62.170.129
ist sauber Wir können uns also fast sicher sein, dass der Angriff von hier aus erfolgte 209.86.89.64
.
Und natürlich, da wir wissen, dass Alice Yahoo! und elasmtp-curtail.atl.sa.earthlink.net
ist nicht auf Yahoo! Netzwerk (vielleicht möchten Sie Überprüfen Sie die IP-Whois-Informationen erneut), können wir mit Sicherheit den Schluss ziehen, dass diese E-Mail nicht von Alice stammt und wir ihr kein Geld für ihren angeblichen Urlaub auf den Philippinen senden sollten.
Zwei weitere Mitwirkende, Ex Umbris und Vijay, empfahlen jeweils die folgenden Dienste zur Unterstützung bei der Dekodierung von E-Mail-Headern: SpamCop und Das Header-Analyse-Tool von Google.
Möchten Sie der Erklärung noch etwas hinzufügen? Ton in den Kommentaren ab. Möchten Sie mehr Antworten von anderen technisch versierten Stack Exchange-Benutzern lesen? Sehen Sie sich hier den vollständigen Diskussionsthread an.