Sesi Tanya & Jawab Hari ini hadir untuk memberi kami SuperUser - subdivisi Stack Exchange, pengelompokan komunitas situs web Tanya-Jawab.
Pertanyaan
Pembaca SuperUser, Sirwan ingin tahu cara mencari tahu di mana email sebenarnya berasal dari:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Mari kita lihat header email ini.
Jawaban
Kontributor SuperUser Tomas menawarkan respons yang sangat mendetail dan mendalam:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
berpura-pura dia
. Perhatikan bahwa Bill telah maju
Pertama, di Gmail, gunakan
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Header harus dibaca secara kronologis dari bawah ke atas - yang tertua berada di bagian bawah. Setiap server baru di jalan akan menambahkan pesannya sendiri - dimulai dengan
Received
. Sebagai contoh:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Ini mengatakan itu
mx.google.com
telah menerima surat dari
maxipes.logix.cz
di
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Sekarang, untuk menemukannyata pengirim email Anda, sasaran Anda adalah menemukan gerbang tepercaya terakhir - terakhir saat membaca header dari atas, yaitu pertama dalam urutan kronologis. Mari mulai dengan mencari server surat Bill. Untuk ini, Anda kueri data MX untuk domain. Anda dapat menggunakan beberapa alat online, atau di Linux Anda dapat menanyakannya di baris perintah (perhatikan nama domain asli diubah menjadi
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Jadi Anda melihat server email untuk domain.com
maxipes.logix.cz
atau
broucek.logix.cz
. Oleh karena itu, yang terakhir (pertama secara kronologis) dipercaya "hop" - atau "catatan Penerimaan" terakhir atau apa pun yang Anda sebut - adalah yang ini:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Anda dapat mempercayai ini karena ini direkam oleh server email Bill untuk
domain.com
. Server ini mendapatkannya
209.86.89.64
. Ini bisa jadi, dan sangat sering, pengirim email yang sebenarnya - dalam hal ini scammer! Anda dapat memeriksa IP ini pada daftar hitam. - Lihat, dia terdaftar dalam 3 daftar hitam! Masih ada catatan lain di bawah ini:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
tetapi Anda tidak dapat benar-benar mempercayai ini, karena itu hanya bisa ditambahkan oleh scammer untuk menghapus jejaknya dan / atauletakkan jejak palsu. Tentu masih ada kemungkinan server itu
209.86.89.64
tidak bersalah dan hanya bertindak sebagai relay untuk penyerang sebenarnya
168.62.170.129
tetapi kemudian relay sering dianggap bersalah dan sangat sering masuk daftar hitam. Pada kasus ini,
168.62.170.129
bersih sehingga kita hampir yakin bahwa serangan itu dilakukan
209.86.89.64
Dan tentu saja, seperti yang kita ketahui bahwa Alice menggunakan Yahoo! dan
elasmtp-curtail.atl.sa.earthlink.net
tidak ada di Yahoo! jaringan (Anda mungkin ingin memeriksa ulang informasi Whois IP-nya), kami dapat menyimpulkan bahwa email ini bukan berasal dari Alice, dan bahwa kami tidak boleh mengiriminya uang apa pun ke liburan yang diklaimnya di Filipina.
Dua kontributor lainnya, Ex Umbris dan Vijay, merekomendasikan, masing-masing, layanan berikut untuk membantu dalam decoding dari header email: SpamCop dan alat Analisis Header Google.
Memiliki sesuatu untuk ditambahkan ke penjelasan? Bicaralah di komentar. Ingin membaca lebih banyak jawaban dari pengguna Stack Exchange yang paham teknologi lainnya? Lihat diskusi lengkap di sini.