Wie kann ich herausfinden, woher eine E-Mail wirklich stammt?

Question

2013-07-26 12:19:24 +0000 2013-07-26 12:19:24 +0000

107

Wie kann ich herausfinden, woher eine E-Mail wirklich stammt?

Wie kann ich wissen, woher eine E-Mail wirklich stammt? Gibt es eine Möglichkeit, das herauszufinden?

Ich habe von E-Mail-Headern gehört, aber ich weiß nicht, wo ich E-Mail-Header sehen kann, zum Beispiel in Gmail. Kann mir jemand helfen?

Quelle

Sirwan Afifi http://superuser.stackexchange.com/users/164361

Antworten (5)

10

2013-07-26 12:24:02 +0000

So finden Sie die IP-Adresse:

Klicken Sie auf das umgedrehte Dreieck neben Antwort. Wählen Sie Original anzeigen.

Suchen Sie nach Received: from, gefolgt von der IP-Adresse zwischen eckigen Klammern []. (Beispiel: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Wenn Sie mehr als ein Received: from-Muster finden, wählen Sie das letzte aus.

Quelle )

Danach können Sie pythonclub site , iplocation.net oder ip lookup verwenden, um den Standort herauszufinden.

Quelle

Luke http://superuser.stackexchange.com/users/164361

6

2013-07-26 13:03:00 +0000

Wie Sie zu den Kopfzeilen gelangen, ist von E-Mail-Client zu E-Mail-Client unterschiedlich. Bei vielen Clients können Sie das ursprüngliche Format der Nachricht leicht sehen. Andere (MicroSoft Outlook) machen es schwieriger.

Um festzustellen, wer die Nachricht wirklich gesendet hat, ist der Rückkanal hilfreich. Er kann jedoch gefälscht werden. Eine Return-path-Adresse, die nicht mit der From-Adresse übereinstimmt, ist verdächtig. Es gibt legitime Gründe dafür, dass sie unterschiedlich sind, z. B. Nachrichten, die von Mailinglisten weitergeleitet werden, oder Links, die von Websites gesendet werden. (Es wäre besser, wenn die Web-Site die Reply-to-Adresse verwenden würde, um die Person zu identifizieren, die den Link weiterleitet).

Um den Ursprung der Nachricht zu bestimmen, lesen Sie die empfangenen Kopfzeilen von oben nach unten durch. Es kann mehrere davon geben. Die meisten werden die IP-Adresse des Servers haben, von dem sie die Nachricht erhalten haben. Einige Probleme werden Sie finden:

Einige Sites verwenden externe Programme zum Scannen von Nachrichten, die die Nachricht nach dem Scannen erneut senden. Diese können localhost oder andere seltsame Adressen einführen.
Einige Server verschleiern die Adressen, indem sie Inhalte weglassen.
Einige SPAMs enthalten gefälschte Empfangs-Header, um Sie in die Irre zu führen.
Private (10.0.0.0/8, 172.16.0.0/12 und 192.168.0.0/16) IP-Adressen können erscheinen, machen aber nur in dem Netzwerk Sinn, aus dem sie stammen.

Sie sollten immer in der Lage sein, festzustellen, welcher Server im Internet die Nachricht an Sie gesendet hat. Die weitere Rückverfolgung hängt von der Konfiguration der sendenden Server ab.

Quelle

BillThor http://superuser.stackexchange.com/users/164361

1

2013-07-31 13:07:17 +0000

Ich verwende http://whatismyipaddress.com/trace-email . Wenn Sie Gmail verwenden, klicken Sie auf Original anzeigen (auf Mehr, neben der Schaltfläche Antworten, kopieren Sie die Kopfzeilen, fügen Sie sie auf dieser Website ein und klicken Sie auf Quelle erhalten. Sie erhalten daraufhin die Geo-Standortinformationen und die Karte

Quelle

Cyber http://superuser.stackexchange.com/users/164361

0

2013-09-07 12:12:48 +0000

Außerdem gibt es einige Tools, die E-Mail-Header analysieren und E-Mail-Daten für Sie extrahieren, zum Beispiel :

eMailTrackerPro
MSGTAG
PoliteMail
Super Email Marketing Software
Zendio

Quelle

Sirwan Afifi http://superuser.stackexchange.com/users/164361

Verwandte Fragen

3

Transatlantischer Ping schneller als das Senden eines Pixels auf den Bildschirm? 818

7

Was ist die "Sie haben neue Mail"-Nachricht unter Linux/UNIX? 446

13

Testen, ob ein Port auf einem entfernten System erreichbar ist (ohne Telnet) 369

5

Was bedeutet das "Fi" in "Wi-Fi"? 316

7

Ausführen von .exe in der Befehlszeile 38

Tomas http://superuser.stackexchange.com/users/164361 · Accepted Answer · 2013-07-26 14:31:30 +0000

Im Folgenden finden Sie ein Beispiel für einen Betrug, der an mich gesendet wurde und vorgibt, von meiner Freundin zu stammen. Sie behauptet, sie sei ausgeraubt worden und bittet mich um finanzielle Unterstützung. Ich habe die Namen geändert - ich bin “Bill”, und der Betrüger hat eine E-Mail an bill@domain.com geschickt, in der er vorgibt, alice@yahoo.com zu sein. Beachten Sie, dass Bill seine E-Mail an bill@gmail.com weiterleitet.

Klicken Sie zunächst in Google Mail auf show original:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Die vollständige E-Mail und ihre Kopfzeilen werden geöffnet:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Die Header sind chronologisch von unten nach oben zu lesen - die ältesten stehen unten. Jeder neue Server auf dem Weg fügt seine eigene Nachricht hinzu - beginnend mit Received. Zum Beispiel:

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Dies besagt, dass mx.google.com die Mail von maxipes.logix.cz an Mon, 08 Jul 2013 04:11:00 -0700 (PDT) erhalten hat.

Um nun den echten Absender der E-Mail zu finden, müssen Sie das früheste vertrauenswürdige Gateway finden - das letzte, wenn Sie die Kopfzeilen von oben lesen. Beginnen wir damit, den Mailserver von Bill zu finden. Dazu fragen Sie den MX-Eintrag für die Domain ab. Sie können Online-Tools wie Mx Toolbox verwenden, oder unter Linux können Sie ihn auf der Kommandozeile abfragen (beachten Sie, dass der echte Domainname in domain.com geändert wurde):

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

Und Sie werden sehen, dass der Mailserver für domain.com maxipes.logix.cz oder broucek.logix.cz ist. Der letzte (erste chronologisch) vertrauenswürdige “Hop” - oder letzte vertrauenswürdige “Received Record” oder wie auch immer Sie es nennen - ist also dieser:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Sie können dem vertrauen, weil er von Bills Mailserver für domain.com aufgezeichnet wurde. Dieser Server hat es von 209.86.89.64 erhalten. Dies könnte, und ist sehr oft, der echte Absender der E-Mail sein - in diesem Fall der Betrüger! Sie können diese IP auf einer Blacklist überprüfen . - Sehen Sie, er ist in 3 Blacklists aufgeführt! Darunter gibt es noch einen weiteren Eintrag:

Aber seien Sie vorsichtig, wenn Sie darauf vertrauen, dass dies die echte Quelle der E-Mail ist. Die Blacklist-Beschwerde könnte nur vom Betrüger hinzugefügt worden sein, um seine Spuren zu verwischen und/oder eine falsche Spur zu legen. Es besteht immer noch die Möglichkeit, dass der Server 209.86.89.64 unschuldig ist und nur ein Relais für den echten Angreifer unter 168.62.170.129 ist. In diesem Fall ist 168.62.170.129 sauber , so dass wir fast sicher sein können, dass der Angriff von 209.86.89.64 aus durchgeführt wurde.

Ein weiterer Punkt, den man im Auge behalten sollte, ist, dass Alice Yahoo! (alice@yahoo.com) benutzt und elasmtp-curtail.atl.sa.earthlink.net nicht im Yahoo!-Netzwerk ist (Sie sollten vielleicht seine IP-Whois-Informationen erneut überprüfen ). Daher können wir mit Sicherheit davon ausgehen, dass diese E-Mail nicht von Alice stammt, und wir sollten ihr kein Geld auf die Philippinen schicken.