Hoe kan ik weten waar een e-mail echt vandaan komt? Is er een manier om daar achter te komen?
Ik heb gehoord over e-mail headers, maar ik weet niet waar ik e-mail headers kan zien, bijvoorbeeld in Gmail. Iemand hulp?
Zie hieronder een voorbeeld van een zwendel die mij werd toegezonden, waarbij werd gedaan alsof het van mijn vriendin was, waarbij werd beweerd dat zij was beroofd en om financiële hulp werd gevraagd. Ik heb de namen veranderd - ik ben “Bill,” en de oplichter heeft een e-mail gestuurd naar bill@domain.com, die zich voordoet als alice@yahoo.com. Merk op dat Bill zijn e-mail doorstuurt naar bill@gmail.com.
Klik eerst, in Gmail, op show original:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
De volledige email en zijn headers worden geopend:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
De headers moeten chronologisch van onder naar boven worden gelezen - de oudste staan onderaan. Elke nieuwe server onderweg voegt zijn eigen bericht toe - beginnend met Received. Bijvoorbeeld:
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Dit zegt dat mx.google.com de mail van maxipes.logix.cz op Mon, 08 Jul 2013 04:11:00 -0700 (PDT) heeft ontvangen.
Nu, om de echte afzender van je e-mail te vinden, moet je de vroegste vertrouwde gateway vinden - de laatste als je de headers van boven leest. Laten we beginnen met het vinden van Bill’s mail server. Hiervoor, query MX record voor het domein. Je kunt online tools gebruiken zoals Mx Toolbox , of op Linux kun je het opvragen op de command line (let op de echte domeinnaam is veranderd in domain.com):
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
En je zult zien dat de mail server voor domain.com maxipes.logix.cz of broucek.logix.cz is. Vandaar dat de laatste (eerste chronologisch) vertrouwde “hop” - of laatste vertrouwde “Received record” of hoe je het ook noemt - deze is:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Je kunt dit vertrouwen omdat het is opgenomen door Bill’s mail server voor domain.com. Deze server kreeg het van 209.86.89.64. Dit kan, en is heel vaak, de echte afzender van de e-mail zijn - in dit geval de oplichter! U kunt dit IP controleren op een blacklist ](http://www.mxtoolbox.com/SuperTool.aspx?action=blacklist%3a209.86.89.64&run=toolpage). - Zie, hij staat op 3 blacklists! Er is nog een record daaronder:
Maar wees voorzichtig met het vertrouwen dat dit de echte bron van de email is. De blacklist klacht kan gewoon door de oplichter zijn toegevoegd om zijn sporen uit te wissen en/of een vals spoor te leggen. Er is nog steeds de mogelijkheid dat de server 209.86.89.64 onschuldig is en slechts een relais voor de echte aanvaller op 168.62.170.129. In dit geval is 168.62.170.129 schoon dus kunnen we er bijna zeker van zijn dat de aanval vanaf 209.86.89.64 is gedaan.
Een ander punt om in gedachten te houden is dat Alice Yahoo! gebruikt (alice@yahoo.com) en dat elasmtp-curtail.atl.sa.earthlink.net niet op het Yahoo! netwerk zit (je kunt misschien zijn IP Whois informatie ](http://who.is/whois-ip/ip-address/209.86.89.64) opnieuw controleren). Daarom kunnen we veilig concluderen dat deze e-mail niet van Alice afkomstig is, en dat we haar geen geld naar de Filippijnen moeten sturen.
Om het IP adres te vinden:
Klik op het omgekeerde driehoekje naast Reply. Selecteer Origineel weergeven.
Zoek naar Received: from gevolgd door het IP-adres tussen vierkante haken []. (voorbeeld: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Als u meer dan één Received: from-patroon vindt, selecteert u het laatste.
Source )
Daarna kunt u pythonclub site , iplocation.net of ip lookup gebruiken om de locatie te achterhalen.
Hoe je bij de headers komt verschilt per e-mail client. Veel clients laten je gemakkelijk het originele formaat van het bericht zien. Andere (MicroSoft Outlook) maken het moeilijker.
Om te bepalen wie het bericht echt heeft verzonden, is het retourpad nuttig. Het kan echter worden vervalst. Een retourpadadres dat niet overeenkomt met het Van-adres is reden voor verdenking. Er zijn legitieme redenen waarom ze verschillend zijn, zoals berichten die van mailinglijsten worden doorgestuurd, of links die van websites worden gestuurd. (Het zou beter zijn als de web-site het Reply-to adres zou gebruiken om de persoon die de link doorstuurt te identificeren).
Om de herkomst van het bericht te bepalen, lees je van boven naar beneden door de ontvangen headers. Er kunnen er verschillende zijn. De meeste zullen het IP adres hebben van de server waar het bericht van ontvangen is. Sommige problemen zul je tegenkomen:
Je zou altijd moeten kunnen bepalen welke server op het Internet het bericht naar jou stuurde. Verder terug traceren hangt af van de configuratie van de verzendende servers.
Ik gebruik http://whatismyipaddress.com/trace-email . Als je Gmail gebruikt, klik dan op Toon origineel (op Meer, naast de Reply knop, kopieer de headers, plak ze op deze website en klik op Haal bron. Je krijgt dan de geo-locatie informatie en kaart terug
ook zijn er een aantal tools voor het analyseren van e-mail headers en extract e-mail gegevens voor u, bijvoorbeeld :
[ eMailTrackerPro ]0x3&
MSGTAG
PoliteMail
Super Email Marketing Software
Zendio