Bagaimana Saya Dapat Menemukan Dari Mana Email Benar-Benar Datang?
Hanya karena sebuah email muncul di kotak masuk Anda berlabel [email protected], tidak berarti bahwa Bill benar-benar ada hubungannya dengan itu. Baca terus saat kami menjelajahi cara menggali dan melihat dari mana sebenarnya email yang mencurigakan itu berasal.
Sesi Tanya Jawab hari ini datang kepada kami dengan izin dari SuperUser-subdivisi Stack Exchange, pengelompokan komunitas yang didorong oleh situs web T&J.
Pertanyaan
Pembaca SuperUser, Sirwan ingin tahu cara mencari tahu dari mana sebenarnya email berasal:
Bagaimana saya bisa tahu dari mana Email sebenarnya berasal?
Apakah ada cara untuk mengetahuinya??
Saya telah mendengar tentang tajuk email, tetapi saya tidak tahu di mana saya dapat melihat tajuk email misalnya di Gmail.
Mari kita lihat header email ini.
Jawaban
Kontributor SuperUser Tomas menawarkan respons yang sangat terperinci dan berwawasan luas:
Lihat contoh penipuan yang telah dikirim kepada saya, berpura-pura itu dari teman saya, mengklaim dia telah dirampok dan meminta bantuan keuangan kepada saya. Saya telah mengubah nama - misalkan saya adalah Bill, scammer telah mengirim email ke
[email protected]
, berpura-pura dia[email protected]
. Perhatikan bahwa Bill telah meneruskan ke[email protected]
.Pertama, di Gmail, gunakan
menunjukkan yang asli
:Kemudian, email lengkap dan tajuknya akan terbuka:
Dikirimkan Ke: [email protected] Diterima: oleh 10.64.21.33 dengan SMTP id s1csp177937iee; Senin, 8 Jul 2013 04:11:00 -0700 (PDT) X-Diterima: oleh 10.14.47.73 dengan SMTP id s49mr24756966eeb.71.1373281860071; Senin, 08 Jul 2013 04:11:00 -0700 (PDT) Jalur Kembali: Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 untuk (version = TLSv1 cipher = RC4-SHA bits = 128/128); Senin, 08 Jul 2013 04:11:00 -0700 (PDT) Diterima-SPF: netral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected]) client-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Otentikasi-Hasil: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 tidak diizinkan atau ditolak oleh catatan tebakan terbaik untuk domain [email protected] ) [email protected] Diterima: oleh maxipes.logix.cz (Postfix, dari userid 604) id C923E5D3A45; Senin, 8 Jul 2013 23:10:50 +1200 (NZST) X-Asli-Kepada: [email protected] X-Greylist: ditunda 00:06:34 oleh SQLgrey-1.8.0-rc1 Diterima: dari elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan id ESMTP B43175D3A44 untuk; Senin, 8 Jul 2013 23:10:48 +1200 (NZST) Menerima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Exim 4.67) (amplop dari ) id 1Uw98w-0006KI-6y untuk [email protected]; Senin, 08 Jul 2013 06:58:06 -0400 Dari: "Alice" Subjek: Masalah Perjalanan Yang Mengerikan… Mohon balas ASAP Kepada: [email protected] Jenis-Konten: multipart / alternatif; batas = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Tanggal: Mon, 8 Jul 2013 10:58:06 +0000 Pesan-ID: X-ELNK-jejak: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [... Saya telah memotong isi email ...]
Header harus dibaca secara kronologis dari bawah ke atas - yang tertua ada di bawah. Setiap server baru di jalan akan menambahkan pesannya sendiri - dimulai dengan
Diterima
. Sebagai contoh:Diterima: dari maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) oleh mx.google.com dengan ESMTPS id j47si6975462eeg.108.2013.07.08.04.10. 59 for (version = TLSv1 cipher = RC4-SHA bits = 128/128); Senin, 08 Jul 2013 04:11:00 -0700 (PDT)
Ini mengatakan itu
mx.google.com
telah menerima surat darimaxipes.logix.cz
diSenin, 08 Jul 2013 04:11:00 -0700 (PDT)
.Sekarang, untuk menemukan nyata pengirim email Anda, tujuan Anda adalah menemukan gateway tepercaya terakhir - terakhir saat membaca tajuk dari atas, mis. pertama dalam urutan kronologis. Mari kita mulai dengan menemukan server surat tagihan. Untuk ini, Anda meminta data MX untuk domain. Anda dapat menggunakan beberapa alat online, atau di Linux Anda dapat menanyakannya di baris perintah (perhatikan nama domain asli diubah menjadi
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Jadi Anda melihat server mail untuk domain.com
maxipes.logix.cz
ataubroucek.logix.cz
. Karenanya, "hop" tepercaya terakhir (secara kronologis pertama) - atau "Rekaman diterima" tepercaya terakhir atau apa pun namanya Anda - adalah yang ini:Diterima: dari elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) oleh maxipes.logix.cz (Postfix) dengan ESMTP id B43175D3A44 untuk; Senin, 8 Jul 2013 23:10:48 +1200 (NZST)
Anda dapat mempercayai ini karena ini direkam oleh server surat Bill untuk
domain.com
. Server ini mendapatkannya dari209.86.89.64
. Ini bisa menjadi, dan sangat sering, pengirim sebenarnya dari email - dalam hal ini scammer! Anda dapat memeriksa IP ini di daftar hitam. - Lihat, dia terdaftar dalam 3 daftar hitam! Ada catatan lain di bawahnya:Diterima: dari [168.62.170.129] (helo = laurence39) oleh elasmtp-curtail.atl.sa.earthlink.net dengan esmtpa (Exim 4.67) (amplop dari) id 1Uw98w-0006KI-6y untuk [email protected]; Senin, 08 Jul 2013 06:58:06 -0400
tetapi Anda tidak dapat benar-benar mempercayai ini, karena itu bisa saja ditambahkan oleh scammer untuk menghapus jejaknya dan / atau meletakkan jejak yang salah. Tentu masih ada kemungkinan server itu
209.86.89.64
Tidak bersalah dan hanya bertindak sebagai relay untuk penyerang nyata di168.62.170.129
, tetapi kemudian estafet sering dianggap bersalah dan sangat sering masuk daftar hitam. Pada kasus ini,168.62.170.129
bersih sehingga kita bisa yakin serangan itu dilakukan209.86.89.64
.Dan tentu saja, seperti yang kita tahu bahwa Alice menggunakan Yahoo! dan
elasmtp-curtail.atl.sa.earthlink.net
tidak ada di Yahoo! jaringan (Anda mungkin ingin memeriksa kembali informasi IP Whoisnya), kami dapat menyimpulkan bahwa email ini bukan dari Alice, dan bahwa kami tidak boleh mengiriminya uang untuk liburan yang diklaimnya di Filipina.
Dua kontributor lain, Ex Umbris dan Vijay, masing-masing merekomendasikan layanan berikut untuk membantu decoding header email: SpamCop dan alat Analisis Header Google.
Punya sesuatu untuk ditambahkan ke penjelasan? Berbunyi dalam komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang mengerti teknologi lainnya? Lihat utas diskusi lengkap di sini.