Comment puis-je savoir d'où provient vraiment un email?

107

Comment puis-je savoir d'où provient vraiment un email? Y a-t-il un moyen de le savoir?

J'ai entendu parler d'en-têtes de courrier électronique, mais je ne sais pas où puis-je en afficher, par exemple dans Gmail. De l'aide?

networking  email  gmail  headers 
Sirwan Afifi
source
btw. Les adresses IP dans l'en-tête gmail sont au format IPv6: v6decode.com
user956584 le

Réponses:

147

Voir ci-dessous un exemple d'escroquerie qui m'a été envoyée, prétendant être de mon amie, prétendant avoir été volée et demandant une aide financière. J'ai changé les noms - je suis "Bill" et l'arnaqueur a envoyé un email à bill@domain.com, prétendant être alice@yahoo.com. Notez que Bill transmet son email à bill@gmail.com.

Tout d'abord, dans Gmail, cliquez sur show original:

Menu Message> Afficher l'original

L'email complet et ses entêtes s'ouvriront:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Les en-têtes doivent être lus chronologiquement de bas en haut - les plus anciens sont en bas. Chaque nouveau serveur en route ajoute son propre message - en commençant par Received. Par exemple:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Ceci dit qui mx.google.coma reçu le courrier de maxipes.logix.czà Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Maintenant, pour trouver le véritable expéditeur de votre courrier électronique, vous devez trouver la passerelle de confiance la plus ancienne - la dernière lors de la lecture des en-têtes à partir du haut. Commençons par trouver le serveur de messagerie de Bill. Pour cela, interrogez l'enregistrement MX du domaine. Vous pouvez utiliser des outils en ligne tels que Mx Toolbox , ou sous Linux, vous pouvez l'interroger en ligne de commande (notez que le vrai nom de domaine a été changé domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

Et vous verrez que le serveur de messagerie pour domain.com est maxipes.logix.czor broucek.logix.cz. Par conséquent, le dernier (le premier "saut" de confiance chronologiquement) - ou le dernier "Enregistrement reçu" de confiance ou le nom de votre choix - est celui-ci:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Vous pouvez avoir confiance en cela car il a été enregistré par le serveur de messagerie de Bill domain.com. Ce serveur l'a reçu de 209.86.89.64. Cela pourrait être, et est très souvent, le véritable expéditeur du courrier électronique - dans ce cas l’escroc! Vous pouvez vérifier cette adresse IP sur une liste noire . - Tu vois, il est inscrit dans 3 listes noires! Il y a encore un autre enregistrement en dessous:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Mais faites attention en sachant que c’est là la véritable source de l’email. La plainte de la liste noire pourrait simplement être ajoutée par l’escroc pour effacer ses traces et / ou tracer une fausse piste . Il est toujours possible que le serveur 209.86.89.64soit innocent et qu’il ne s’agisse que d’un relais pour le véritable attaquant 168.62.170.129. Dans ce cas, 168.62.170.129 c'est propre, donc on peut être presque certain que l'attaque a été faite depuis 209.86.89.64.

Il faut aussi garder à l’esprit que Alice utilise Yahoo! (alice@yahoo.com) et elasmtp-curtail.atl.sa.earthlink.netn'est pas sur Yahoo! réseau (vous pouvez vérifier à nouveau ses informations IP Whois ). Par conséquent, nous pouvons sans risque conclure que ce courrier électronique ne provient pas d'Alice et que nous ne devrions pas lui envoyer d'argent aux Philippines.

Tomas
source
15
Vous pouvez également coller les en-têtes dans SpamCop et le laisser effectuer tout le déchiffrement à votre place. Ils enverront même un avis de SPAM au (x) administrateur (s) responsable (s) si vous le souhaitez.
Ex Umbris
8
Ou, vous pouvez également utiliser l'outil d'analyse d'en-tête de Google
Vijay
2
Ceci est douloureusement commun - au point où je conseille généralement aux personnes qui reçoivent de tels courriers électroniques de demander quelque chose que seul le propriétaire de l'adresse e-mail sait que c'est faux;)
Journeyman Geek
9
@JourneymanGeek La meilleure pratique consiste souvent à ne pas répondre: une réponse (ou en cliquant sur un lien ou en chargeant des ressources externes, par exemple des images) peut indiquer aux spammeurs que votre adresse e-mail est valide et que quelqu'un la lit.
Bob
1
En tant qu'administrateur système, j'ai dû gérer quelques courriels anonymes, très abusifs et déplaisants, envoyés à l'un de nos employés il y a quelques années. Revenir sur les en-têtes était une impasse, car l'expéditeur avait (malheureusement) été suffisamment averti pour utiliser un réexpéditeur anonyme ( en.wikipedia.org/wiki/Anonymous_remailer ). Dans de tels cas, vous ne pouvez pratiquement rien faire (peut-être à moins de travailler pour la NSA).
abstrask
10

Pour trouver l'adresse IP:

Cliquez sur le triangle inversé à côté de Répondre. Sélectionnez Afficher l'original.

Recherchez Received: fromsuivi de l'adresse IP entre crochets []. (exemple: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Si vous trouvez plusieurs modèles Received: from, sélectionnez le dernier.

( Source )

Après cela, vous pouvez utiliser le site pythonclub , iplocation.net ou ip lookup pour connaître l'emplacement.

Luke
source
cette adresse IP est pour le serveur de messagerie ou l'emplacement de la personne qui a envoyé le courrier électronique?
Sirwan Afifi
1
C'est un serveur de messagerie. Je ne sais pas s'il existe un moyen de déterminer à partir de quel courrier électronique ip a été saisi.
Luc
La sélection du dernier enregistrement "Received:" n’est pas la meilleure stratégie - un attaquant aurait pu l’ajouter pour tracer un fil rouge sur la piste. Au lieu de cela, vous devez trouver le dernier en qui vous avez confiance . Voir ma réponse
Tomas
6

La façon dont vous accédez aux en-têtes varie selon les clients de messagerie. De nombreux clients vous laisseront facilement voir le format original du message. D'autres (MicroSoft Outlook) rendent la tâche plus difficile.

Pour déterminer qui a vraiment envoyé le message, le chemin de retour est utile. Cependant, il peut être usurpé. Une adresse de chemin de retour qui ne correspond pas à l'adresse d'expéditeur est source de suspicion. Ils peuvent être différents pour des raisons légitimes, tels que des messages transférés à partir de listes de diffusion ou des liens envoyés à partir de sites Web. (Il serait préférable que le site Web utilise l'adresse de réponse pour identifier la personne qui transmet le lien.)

Déterminer l’origine du message lu de haut en bas dans les en-têtes reçus. Il peut y en avoir plusieurs. La plupart auront l'adresse IP du serveur pour lequel ils ont reçu le formulaire de message. Quelques problèmes que vous rencontrerez:

  • Certains sites utilisent un programme externe pour analyser les messages qui le renvoient après l'analyse. Ceux-ci peuvent introduire localhost ou d'autres adresses étranges.
  • Certains serveurs masquent les adresses en omettant le contenu.
  • Certains SPAM incluront de faux en-têtes reçus destinés à vous induire en erreur.
  • Une adresse IP privée (10.0.0.0/8, 172.16.0.0/12 et 192.168.0.0/16) peut apparaître, mais n'a de sens que sur le réseau d'où elle vient.

Vous devez toujours pouvoir déterminer quel serveur sur Internet vous a envoyé le message. La recherche ultérieure dépend de la configuration des serveurs d'envoi.

BillThor
source
Pour info dans les récentes Microsoft Outlook, vous devez ouvrir un message dans sa propre fenêtre, il ne s'agit que de Fichier, Propriétés. Ce n'est pas difficile
Rup
1

J'utilise http://whatismyipipress.com/trace-email . Si vous utilisez Gmail, cliquez sur Afficher l'original (sur Plus, à côté du bouton Répondre, copiez les en-têtes, collez-les sur ce site et cliquez sur Obtenir la source. Vous obtiendrez les informations de géolocalisation et la carte en retour.

Cyber
source
0

Il existe également des outils pour analyser les en-têtes de courrier électronique et extraire les données de courrier électronique pour vous,
par exemple:

  1. eMailTrackerPro

    qui peut retracer un e-mail à son emplacement géographique, y compris le filtre anti-spam

  2. MSGTAG

  3. PoliteMail

  4. Super logiciel de marketing par courriel

  5. Zendio

Sirwan Afifi
source
eMailTracketPro ne fonctionne pas ..! Je viens de télécharger une version d'essai. et il s'est coincé
Md Faisal
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.