Question Comment puis-je savoir d'où vient vraiment un email?


Comment puis-je savoir d'où vient réellement un email? Y a-t-il un moyen de le découvrir?

J'ai entendu parler des en-têtes de courrier électronique, mais je ne sais pas où je peux voir les en-têtes de courrier électronique, par exemple dans Gmail. De l'aide?


100
2017-07-26 12:19


origine


btw. L'adresse IP dans l'en-tête gmail est au format IPv6: v6decode.com - user956584


Réponses:


Voir ci-dessous un exemple d'escroquerie qui m'a été envoyée, en prétendant provenir de mon amie, affirmant qu'elle a été volée et me demandant une aide financière. J'ai changé les noms - je suis "Bill" et l’escroc a envoyé un email à bill@domain.com, faire semblant d'être alice@yahoo.com. Notez que Bill envoie son email à bill@gmail.com.

Tout d'abord, dans Gmail, cliquez sur show original:

Message menu > Show original

L'email complet et ses en-têtes s'ouvriront:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Les en-têtes doivent être lus chronologiquement du bas vers le haut - les plus anciens sont en bas. Chaque nouveau serveur sur le chemin ajoute son propre message - en commençant par Received. Par exemple:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Cela dit que mx.google.com a reçu le courrier de maxipes.logix.cz à Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Maintenant, pour trouver le réal l'expéditeur de votre e-mail, vous devez trouver la passerelle de confiance la plus ancienne - en dernier lieu lorsque vous lisez les en-têtes depuis le haut. Commençons par trouver le serveur de messagerie de Bill. Pour cela, interrogez l'enregistrement MX pour le domaine. Vous pouvez utiliser des outils en ligne comme Boîte à outils Mx, ou sous Linux, vous pouvez l'interroger en ligne de commande (notez que le vrai nom de domaine a été changé en domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

Et vous verrez le serveur de messagerie pour domain.com est maxipes.logix.cz ou broucek.logix.cz. Par conséquent, le dernier (premier chronologiquement) "hop" approuvé - ou dernier "objet reçu" de confiance ou ce que vous appelez - est celui-ci:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Vous pouvez vous fier à cela car il a été enregistré par le serveur de messagerie de Bill pour domain.com. Ce serveur l'a obtenu de 209.86.89.64. Cela pourrait être, et c'est très souvent, le véritable expéditeur du courrier électronique - dans ce cas, le fraudeur! Vous pouvez vérifier cette adresse IP sur une liste noire. - Voir, il est listé dans 3 listes noires! Il y a encore un autre enregistrement en dessous:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Mais faites attention en sachant que c'est la vraie source du courrier électronique. La plainte de liste noire pourrait simplement être ajoutée par l'escroc pour effacer ses traces et / ou jeter une fausse piste. Il y a toujours la possibilité que le serveur 209.86.89.64 est innocent et juste un relais pour le véritable attaquant à 168.62.170.129. Dans ce cas, 168.62.170.129  est propre de sorte que nous pouvons être presque certains que l'attaque a été faite à partir de 209.86.89.64.

Un autre point à retenir est que Alice utilise Yahoo! (alice@yahoo.com) et elasmtp-curtail.atl.sa.earthlink.net n'est pas sur Yahoo! réseau (vous voudrez peut-être re-vérifier ses informations IP Whois). Par conséquent, nous pouvons sans risque conclure que cet email ne provient pas d'Alice, et nous ne devrions pas l'envoyer aux Philippines.


142
2017-07-26 14:31



Ou, vous pouvez coller les en-têtes dans SpamCop et laissez-le faire tout le déchiffrement pour vous. Ils enverront même un avis de SPAM au (x) administrateur (s) responsable (s) si vous le souhaitez. - Ex Umbris
Ou, vous pouvez également utiliser outil d'analyse d'en-tête de google - Vijay
C’est douloureusement commun - au point que je conseille souvent aux personnes qui reçoivent de tels e-mails de demander quelque chose que seul le propriétaire de l’adresse e-mail pourrait savoir être faux;) - Journeyman Geek♦
@JourneymanGeek La meilleure pratique consiste souvent à ne pas reply - une réponse (ou un clic sur un lien quelconque ou le chargement de ressources externes, par exemple des images) pourrait indiquer aux spammeurs que votre adresse e-mail est valide et que quelqu'un la lit en fait. - Bob
En tant qu'administrateur système, j'ai dû gérer quelques emails anonymes, très abusifs et désagréables, envoyés à l'un de nos employés il y a quelques années. Revenir en arrière sur les en-têtes était une impasse, car l'expéditeur avait (malheureusement) été suffisamment averti pour utiliser un reposteur anonyme (en.wikipedia.org/wiki/Anonymous_remailer). Dans de tels cas, vous ne pouvez pratiquement rien faire (peut-être à moins que vous travailliez pour la NSA). - abstrask


Pour trouver l'adresse IP:

Cliquez sur le triangle inversé à côté de Répondre. Sélectionnez Afficher l'original.

Chercher Received: from suivi de l'adresse IP entre crochets []. (Exemple: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Si vous en trouvez plus d'un: à partir de patterns, sélectionnez le dernier.

(La source)

Après cela, vous pouvez utiliser site pythonclub, iplocation.net ou recherche ip pour trouver l'emplacement.


10
2017-07-26 12:24



cette adresse IP est pour le serveur de messagerie ou l'emplacement de la personne qui a envoyé le courrier électronique? - Sirwan Afifi
C'est un serveur de messagerie. Vous ne savez pas s'il existe un moyen de déterminer à partir de quel email ip a été saisi. - Luke
Sélectionner le dernier enregistrement "Received:" n'est pas la meilleure stratégie - il aurait pu être ajouté par l'attaquant pour dessiner un hareng rouge sur la piste. Au lieu de cela, vous devez trouver le dernier confiance. Voir ma réponse - Tomas


Comment accéder aux en-têtes varie selon les clients de messagerie. De nombreux clients vous permettront de voir facilement le format original du message. D'autres (MicroSoft Outlook) compliquent les choses.

Pour déterminer qui a réellement envoyé le message, le chemin de retour est utile. Cependant, il peut être usurpé. Une adresse de chemin de retour qui ne correspond pas à l’adresse de destination est suspecte. Il existe des raisons légitimes de les différencier, telles que les messages transférés à partir de listes de diffusion ou les liens envoyés depuis des sites Web. (Il serait préférable que le site Web utilise l'adresse de réponse pour identifier la personne qui transmet le lien.)

Pour déterminer l'origine du message lu du haut vers le bas à travers les en-têtes reçus. Il peut y en avoir plusieurs. La plupart auront l'adresse IP du serveur avec lequel ils ont reçu le formulaire. Quelques problèmes que vous rencontrerez:

  • Certains sites utilisent un programme externe pour analyser les messages qui renvoient le message après la numérisation. Ceux-ci peuvent introduire localhost ou d'autres adresses étranges.
  • Certains serveurs masquent les adresses en omettant du contenu.
  • Certains SPAM incluront de faux en-têtes reçus destinés à vous induire en erreur.
  • Les adresses IP privées (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) peuvent apparaître, mais uniquement sur le réseau dont elles proviennent.

Vous devez toujours être en mesure de déterminer quel serveur sur Internet vous a envoyé le message. Le suivi ultérieur dépend de la configuration des serveurs d'envoi.


6
2017-07-26 13:03



Dans les récents Microsoft Outlook, vous devez ouvrir un message dans sa propre fenêtre, puis il suffit de Fichier, Propriétés. Ce n'est pas difficile. - Rup


j'utilise http://whatismyipaddress.com/trace-email. Si vous utilisez Gmail, cliquez sur Afficher l'original (sur Plus, à côté du bouton Répondre, copiez les en-têtes, collez-les sur ce site Web et cliquez sur Obtenir la source. Vous obtiendrez les informations de géolocalisation et la carte en retour).


1
2017-07-31 13:07





il existe également des outils pour analyser les en-têtes d'e-mail et extraire des données de courrier électronique pour vous,
par exemple :

  1. eMailTrackerPro

    qui peut retracer un e-mail à son emplacement géographique, y compris le filtre anti-spam

  2. MSGTAG

  3. PoliteMail

  4. Logiciel Super Email Marketing

  5. Zendio


0
2017-09-07 12:12



eMailTracketPro ne fonctionne pas .. Je viens juste de télécharger une version d'essai de celui-ci. et il a collé - Md Faisal