Como posso descobrir de onde realmente veio um email?


107

Como posso saber de onde um email realmente se originou? Existe alguma maneira de descobrir isso?

Ouvi falar de cabeçalhos de email, mas não sei onde posso ver os cabeçalhos de email, por exemplo, no Gmail. Qualquer ajuda?


btw. O endereço IP no cabeçalho do gmail está no formato IPv6: v6decode.com
user956584

Respostas:


147

Veja abaixo um exemplo de uma fraude que foi enviada a mim, fingindo ser do meu amigo, alegando que ela foi roubada e me pedindo ajuda financeira. Mudei os nomes - sou "Bill", e o golpista enviou um e-mail para bill@domain.com, fingindo ser alice@yahoo.com. Observe que Bill encaminha seu email para bill@gmail.com.

Primeiro, no Gmail, clique em show original:

Menu de mensagens> Mostrar original

O email completo e seus cabeçalhos serão abertos:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão na parte inferior. Cada novo servidor no caminho adiciona sua própria mensagem - começando com Received. Por exemplo:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Isso diz que mx.google.comrecebeu o e-mail de maxipes.logix.czàs Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Agora, para encontrar o verdadeiro remetente do seu email, você deve encontrar o gateway confiável mais antigo - o último ao ler os cabeçalhos de cima. Vamos começar encontrando o servidor de email de Bill. Para isso, consulte o registro MX do domínio. Você pode usar ferramentas online como o Mx Toolbox ou, no Linux, pode consultá-lo na linha de comando (observe que o nome do domínio real foi alterado para domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

E você verá que o servidor de email para domain.com é maxipes.logix.czou broucek.logix.cz. Portanto, o último "salto" confiável (primeiro cronologicamente) - ou o último "registro recebido" confiável ou o que você chamar - é este:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Você pode confiar nisso porque foi gravado pelo servidor de email de Bill domain.com. Este servidor conseguiu 209.86.89.64. Este pode ser, e muitas vezes é, o verdadeiro remetente do e-mail - nesse caso, o fraudador! Você pode verificar esse IP em uma lista negra . - Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Mas tenha cuidado, confiando que essa é a fonte real do email. A queixa da lista negra poderia ser adicionada pelo scammer para apagar seus traços e / ou traçar uma pista falsa . Ainda existe a possibilidade de o servidor 209.86.89.64ser inocente e apenas uma retransmissão para o verdadeiro atacante 168.62.170.129. Nesse caso, 168.62.170.129 está limpo para que possamos ter quase certeza de que o ataque foi realizado 209.86.89.64.

Outro ponto a ser lembrado é que Alice usa o Yahoo! (alice@yahoo.com) e elasmtp-curtail.atl.sa.earthlink.netnão está no Yahoo! rede (você pode verificar novamente as informações IP Whois ). Portanto, podemos concluir com segurança que este e-mail não é de Alice e não devemos enviar seu dinheiro para as Filipinas.


15
Ou você pode colar os cabeçalhos no SpamCop e deixar que ele decifre tudo. Eles ainda enviarão um aviso de spam para os administradores de sistemas responsáveis, se desejar.
Ex Umbris


2
Esta é dolorosamente comum - ao ponto onde eu comumente conselhos pessoas que recebem esses e-mails para pedir algo que só o proprietário do addie email saberia é falso;)
Journeyman Geek

9
A melhor prática do @JourneymanGeek é não responder - uma resposta (ou clique em qualquer link ou carrega recursos externos, por exemplo, imagens) pode fornecer uma indicação para os spammers em massa de que seu endereço de email é válido e que alguém está realmente lendo.
28413 Bob

1
Como administrador de sistema, tive que lidar com alguns e-mails anônimos, muito abusivos e desagradáveis, enviados a um de nossos funcionários há alguns anos. Voltar atrás dos cabeçalhos era um beco sem saída, pois o remetente (infelizmente) tinha sido esperto o suficiente para usar um repostador anônimo ( en.wikipedia.org/wiki/Anonymous_remailer ). Nesses casos, não há praticamente nada que você possa fazer (talvez a menos que trabalhe para a NSA).
abstrask

10

Para encontrar o endereço IP:

Clique no triângulo invertido ao lado de Responder. Selecione Mostrar original.

Procure Received: fromseguido pelo endereço IP entre colchetes []. (exemplo Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)

Se você encontrar mais de um Recebido: dos padrões, selecione o último.

( Fonte )

Depois disso, você pode usar o site pythonclub , iplocation.net ou pesquisa de ip para descobrir a localização.


esse IP é para o servidor de email ou o local da pessoa que enviou o email?
Sirwan Afifi

1
É servidor de correio. Não tenho certeza se existe uma maneira de determinar de qual e-mail IP foi digitado.
26413 Luke

Selecionar o último registro "Received:" não é a melhor estratégia - ele poderia ter sido adicionado pelo atacante para desenhar um arenque vermelho na pista. Em vez disso, você deve encontrar o último confiável . Veja minha resposta
Tomas

6

A maneira como você acessa os cabeçalhos varia entre os clientes de email. Muitos clientes permitem ver facilmente o formato original da mensagem. Outros (MicroSoft Outlook) tornam mais difícil.

Para determinar quem realmente enviou a mensagem, o caminho de retorno é útil. No entanto, pode ser falsificado. Um endereço de caminho de retorno que não corresponde ao endereço De é motivo de suspeita. Existem razões legítimas para que sejam diferentes, como mensagens encaminhadas de listas de discussão ou links enviados de sites. (Seria melhor se o site usasse o endereço de resposta para identificar a pessoa que encaminhava o link.)

Para determinar a origem da mensagem lida de cima para baixo através dos cabeçalhos recebidos. Pode haver vários. A maioria terá o endereço IP do servidor que recebeu o formulário de mensagem. Alguns problemas que você encontrará:

  • Alguns sites usam programas externos para verificar mensagens que reenviam a mensagem após a verificação. Estes podem introduzir host local ou outros endereços estranhos.
  • Alguns servidores ofuscam os endereços omitindo conteúdo.
  • Alguns SPAM incluirão cabeçalhos falsos recebidos destinados a enganar você.
  • O endereço IP privado (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) pode aparecer, mas apenas faz sentido na rede da qual eles vieram.

Você sempre deve poder determinar qual servidor na Internet enviou a mensagem para você. O rastreamento posterior depende da configuração dos servidores de envio.


Para sua informação, nos Microsoft Outlooks recentes, você precisa abrir uma mensagem em sua própria janela, então é apenas Arquivo, Propriedades. Isso não é difícil.
Rup

1

Eu uso http://whatismyipaddress.com/trace-email . Se você usa o Gmail, clique em Mostrar original (em Mais, ao lado do botão Responder, copie os cabeçalhos, cole-os neste site e clique em Obter fonte. Você obterá as informações e o mapa de localização geográfica em troca


0

Também existem algumas ferramentas para analisar cabeçalhos de email e extrair dados de email para você,
por exemplo:

  1. eMailTrackerPro

    que pode rastrear um email de volta à sua localização geográfica, incluindo filtro de spam

  2. MSGTAG

  3. PoliteMail

  4. Super Email Marketing Software

  5. Zendio


O eMailTracketPro não está funcionando .. Acabei de baixar uma versão de avaliação. e tem preso
Md Faisal
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.