電子メールの送信元を確認する方法はありますか
電子メールが[email protected]というラベルの付いた受信トレイに表示されるからといって、Billが実際にはそれに関係ないという意味ではありません。どのようにして侵入するのかを探り、疑わしいEメールが実際にどこから来たのかを見ていきましょう。.
本日の質疑応答セッションでは、コミュニティ主導のQ&A Webサイトのグループである、Stack Exchangeの1部門であるSuperUserのご好意により、当社にお越しいただきます。.
質問
SuperUserの読者Sirwanは、電子メールが実際にどこから送信されたのかを理解する方法を知りたいと思っています。
電子メールの送信元を確認する方法?
それを見つける方法はありますか?
私は電子メールのヘッダーについて聞いたことがありますが、Gmailなどで電子メールのヘッダーがどこに表示されるのかわかりません。.
これらの電子メールヘッダを見てみましょう.
回答
SuperUserの貢献者であるTomasは、非常に詳細で洞察に満ちた回答を提供しています。
私に送られた詐欺の例を見てください。それは私の友人からのもので、彼女は奪われたと主張し、私に経済的援助を求めています。私は名前を変更しました - 私がBillだとします、詐欺師はに電子メールを送りました
[email protected]
, ふりをしている[email protected]
. ビルは[email protected]
.まず、Gmailでは、
オリジナルを表示
:それから、完全なEメールとそのヘッダーが開きます。
配信先:[email protected]受信日:SMTP ID s1csp177937ieeの10.64.21.33まで。 Mon、2013年7月8日04:11:00 -0700(PDT)X-Received:SMTP IDが10.14.47.73によるs49mr24756966eeb.71.1373281860071;月、2013年7月8日04:11:00 -0700(PDT)戻りパス:受信:maxipes.logix.czから(maxipes.logix.cz。[2a01:348:0:6:5d59:50c3:0:b0b1] ])mx.google.comによるESMTPS ID j47si6975462eeg.108.2013.07.08.04.10.59(version = TLSv1暗号= RC4-SHAビット= 128/128)。月、2013年7月8日04:11:00 -0700(PDT)受信したSPF:中立(google.com:2a01:348:0:6:5d59:50c3:0:b0b1はベスト推測レコードによって許可も拒否もされていませんSRS0 = Znlt = QW = yahoo.com = alice @ domain.com)のドメイン)client-ip = 2a01:348:0:6:5d59:50c3:0:b0b1。認証結果:mx.google.com; spf = neutral(google.com:2a01:348:0:6:5d59:50c3:0:b0b1はSRS0=Znlt = QW = yahoo.com = alice @ domain.comのドメインの最善推測レコードによって許可も拒否もされていません)smtp.mail=SRS0=Znlt = QW = yahoo.com = alice @ domain.com受信:maxipes.logix.cz(Postfix、userid 604より)id C923E5D3A45;月、2013年7月8日23:10:50 +1200(NZST)X-オリジナル - へ:[email protected] X-グレイリスト:遅延00:06:34によるSQLgrey-1.8.0-rc1受信:elasmtp-curtailからESMTP IDがB43175D3A44のmaxipes.logix.cz(Postfix)による.atl.sa.earthlink.net(elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])。月、2013年7月8日23時10分48秒+1200(NZST)受信:esmtpa(例4.67)のelasmtp-curtail.atl.sa.earthlink.net著[168.62.170.129](helo = laurence39)から(封筒から) )[email protected]のid 1Uw98w-0006KI-6y。月、2013年7月8日06:58:06 -0400投稿者: "アリス"件名:ひどい旅行の問題…親切にできるだけ早く返信:[email protected]コンテンツタイプ:multipart / alternative;境界= "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-バージョン:1.0返信先:[email protected]日:月、2013年7月8日10時58分06秒0000のMessage-ID:X-ELNK-トレース:52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9cのX-Originating- IP:168.62.170.129 […私はEメールの本文を切った…]
ヘッダーは下から上へ時系列に読み上げられます - 最も古いものは下にあります。途中のすべての新しいサーバーは、独自のメッセージを追加します。
受け取った
. 例えば:受信:maxipes.logix.cz(maxipes.logix.cz。[2a01:348:0:6:5d59:50c3:0:b0b1])からESMTPS ID j47si6975462eeg.108.2013.07.08.04.10。 59(バージョン= TLSv1暗号= RC4 − SHAビット= 128 / 128)。月、2013年7月8日04時11分-0700(PDT)
これは言う
mx.google.com
からメールを受信しましたmaxipes.logix.cz
で月、2013年7月8日04時11分-0700(PDT)
.今、見つけるために リアル あなたの電子メールの送信者にとって、あなたの目標は最後から信頼されたゲートウェイを見つけることです - 上からヘッダーを読むとき最後、すなわち時系列で最初に。 Billのメールサーバーを見つけることから始めましょう。これには、ドメインのMXレコードをクエリします。あなたはいくつかのオンラインツールを使うことができます、あるいはLinux上であなたはコマンドライン上でそれを問い合わせることができます(実際のドメイン名は
domain.com
):〜$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
つまり、domain.comのメールサーバーは
maxipes.logix.cz
またはbroucek.logix.cz
. したがって、最後の(最初の年代順に)信頼された「ホップ」 - または最後の信頼された「受信レコード」またはあなたがそれを呼んでいるものは何でも - はこれです。受信:elasmtp-curtail.atl.sa.earthlink.net(elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])から、ESMTP ID B43175D3A44のmaxipes.logix.cz(Postfix)によって、月、2013年7月8日23:10:48 + 1200(NZST)
これはBillのメールサーバーによって記録されたものであるため、これを信頼することができます。
domain.com
. このサーバーはからそれを得た209.86.89.64
. これは、電子メールの実際の送信者、この場合は詐欺師である可能性があります。このIPはブラックリストで確認できます。 - なるほど、彼は3つのブラックリストに載っています!その下にはさらに別のレコードがあります。受信:[168.62.170.129](helo = laurence39)より、essmtpa(Exim 4.67)(封筒から)ID 1Uw98w-0006KI-6y([email protected]); elasmtp-curtail.atl.sa.earthlink.netから。月、2013年7月8日06:58:06 -0400
しかし、あなたは実際にこれを信頼することはできません。なぜなら、それは詐欺師によって彼の痕跡を一掃するために追加される可能性があるからです。 偽の道を築く. もちろん、それでもサーバーが
209.86.89.64
無実であり、実際の攻撃者のための中継器としてのみ機能しました。168.62.170.129
, しかしその場合、リレーはしばしば罪を犯していると考えられ、非常に頻繁にブラックリストに載せられます。この場合,168.62.170.129
クリーンなので、攻撃が行われたことはほぼ確実です。209.86.89.64
.そしてもちろん、私たちが知っているように、AliceはYahoo!を使っています。そして
elasmtp-curtail.atl.sa.earthlink.net
Yahoo!にはないネットワーク(あなたはそのIP Whois情報を再チェックしたいかもしれません)、我々は安全にこの電子メールがアリスからではないと断定するかもしれない、そして私たちは彼女をフィリピンで彼女の主張休暇に送ってはいけない.
他の2人の寄稿者、Ex UmbrisとVijayは、それぞれ、電子メールヘッダの復号化を支援するために次のサービスを推奨しました:SpamCopとGoogleのHeader Analysis tool.
説明に追加するものがありますか?コメントの中で消してください。他の技術に精通したStack Exchangeユーザーからの回答をもっと読みたいですか?こちらのディスカッションスレッドをチェックしてください。.