홈페이지 » 어떻게 » 전자 메일이 실제로 어디에서 왔는지 어떻게 알 수 있습니까?

    전자 메일이 실제로 어디에서 왔는지 어떻게 알 수 있습니까?

    이메일이 [email protected]이라는받은 편지함에 나타나기 때문에 Bill이 실제로 그 메일과 관련이 있다는 것을 의미하지는 않습니다. 의심스러운 이메일이 실제로 어디서 왔는지 파악하고 발견하는 방법을 살펴 보는 동안 계속 읽어보십시오..

    오늘의 질문 및 답변 세션은 Q & A 웹 사이트의 커뮤니티 드라이브 그룹 인 Stack Exchange의 하위 부문 인 수퍼 유저의 도움으로 이루어졌습니다..

    질문

    수퍼 유저 Sirwan은 이메일이 실제로 어디에서 왔는지 파악하는 방법을 알고 싶어합니다.

    이메일이 실제로 어디에서 온 것인지 어떻게 알 수 있습니까??
    그것을 찾을 수있는 방법이 있습니까??
    이메일 헤더에 대해 들었지만 Gmail에서 이메일 헤더를 어디에서 볼 수 있는지 모르겠습니다..

    이 전자 메일 헤더를 살펴 보겠습니다..

    답변

    수퍼 유저 기고가 Tomas는 매우 자세하고 통찰력있는 응답을 제공합니다.

    나에게 보낸 사기의 예를 본다. 내 친구에게서 나온 것으로 여기며 사기를 쳤고 재정 지원을 요청했다. 나는 이름을 바꿨다. 나는 빌 (Bill)이라고 가정하고, 사기꾼은 이메일을 보낸다. [email protected], 그가 가장하는 [email protected]. Bill은 앞으로 나아갑니다. [email protected].

    먼저 Gmail에서 원본보기:

    그런 다음 전체 이메일과 해당 헤더가 열립니다.

    Delivered-To : [email protected] 수신 : SMTP 아이디가있는 10.64.21.33으로 s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received : 10.14.47.73, SMTP ID는 s49mr24756966eeb.71.1373281860071입니다. 월, 2013 년 7 월 8 일 04:11:00 -0700 (PDT) Return-Path : 수신 : maxipes.logix.cz (maxipes.logix.cz. [2a01 : 348 : 0 : 6 : 5d59 : 50c3 : 0 : b0b1 ]))에 대한 ESMTPS ID가 j47si6975462eeg.108.2013.07.08.04.10.59 인 mx.google.com에서 (버전 = TLSv1 암호 = RC4-SHA 비트 = 128 / 128); 월, 2013 년 7 월 8 일 04:11:00 -0700 (PDT) Received-SPF : 중립 (google.com : 2a01 : 348 : 0 : 6 : 5d59 : 50c3 : 0 : b0b1은 다음에 대한 최상의 추측 기록에 의해 허용되거나 거부되지 않습니다. SRS0 = Znlt = QW = yahoo.com = [email protected]의 도메인) client-ip = 2a01 : 348 : 0 : 6 : 5d59 : 50c3 : 0 : b0b1; 인증 결과 : mx.google.com; spf = 중립 (google.com : 2a01 : 348 : 0 : 6 : 5d59 : 50c3 : 0 : b0b1은 [email protected]의 도메인에 대한 최상의 추측 레코드에 의해 허용되거나 거부되지 않습니다. ) [email protected] 접수 : maxipes.logix.cz (Postfix, userid 604에서) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To : [email protected] X-Greylist : SQLgrey-1.8.0-rc1에 의해 00:06:34 지연됨 수신 : elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) ESMTP id B43175D3A44의 maxipes.logix.cz (Postfix)에 의해; 월, 8 Jul 2013 23:10:48 +1200 (NZST) 수신 : esmtpa (exim 4.67)를 사용하여 elasmtp-curtail.atl.sa.earthlink.net의 [168.62.170.129] (helo = laurence39) ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 7 월 2013 06:58:06 -0400 보낸 사람 : "Alice"제목 : 끔찍한 여행 문제 ... 최대한 빨리 친절하게 답변하십시오 : [email protected] Content-Type : multipart / alternative; 경계 = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70"MIME-버전 : 1.0 답장 : [email protected] 날짜 : 2013년 7월 8일 (월) 10시 58분 6초 +0000 메시지 ID : X-ELNK-추적 : 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c의 X-Originating- IP : 168.62.170.129 [... 이메일 본문을 잘라 냈습니다 ...] 

    헤더는 시간순으로 아래에서 위로 읽어야합니다. 가장 오래된 것은 맨 아래에 있습니다. 새로운 서버가 생길 때마다 자신의 메시지가 추가됩니다. 받은. 예 :

    받은 메일 : mx.google.com의 maxipes.logix.cz (maxipes.logix.cz. [2a01 : 348 : 0 : 6 : 5d59 : 50c3 : 0 : b0b1]) ESMTPS ID는 j47si6975462eeg.108.2013.07.08.04.10입니다. 59 (버전 = TLSv1 암호 = RC4-SHA 비트 = 128 / 128); 월, 2013 년 7 월 8 일 04:11:00 -0700 (PDT) 

    이 말은 mx.google.com 님이에서 메일을 받았습니다. maxipes.logix.cz ...에서 월, 2013 년 7 월 8 일 04:11:00 -0700 (PDT).

    이제, 레알 전자 메일을 보낸 사람의 목표는 가장 신뢰할 수있는 게이트웨이를 찾는 것입니다. 머리말을 처음부터 순서대로 읽는 것입니다. 먼저 Bill의 메일 서버를 찾아 보겠습니다. 이를 위해 도메인의 MX 레코드를 쿼리합니다. 온라인 도구를 사용하거나 Linux에서 명령 줄에서 쿼리 할 수 ​​있습니다 (실제 도메인 이름은 다음과 같이 변경되었습니다). domain.com) :

    ~ $ 호스트 -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz 

    그러면 domain.com의 메일 서버가 maxipes.logix.cz 또는 broucek.logix.cz. 따라서 마지막 (처음으로 시간순으로) 신뢰할 수있는 "홉"또는 마지막으로 신뢰할 수있는 "수신 된 레코드"또는 사용자가 호출 한 이름은이 것입니다.

    수신 : ESMTP id B43175D3A44 인 maxipes.logix.cz (Postfix)의 elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) 월, 2013 년 7 월 8 일 23:10:48 +1200 (NZST) 

    이 메일은 Bill의 메일 서버에서 domain.com. 이 서버는 209.86.89.64. 이것은 전자 메일의 진짜 발신자 일 수 있습니다.이 경우는 사기꾼입니다. 블랙리스트에서이 IP를 확인할 수 있습니다. 봐, 그는 3 개의 블랙리스트에 올라있다! 아래에 또 다른 기록이 있습니다.

    수신 : esmtpa (exim 4.67) (envelope-from) id1Uw98w-0006KI-6y ([email protected])와 함께 elasmtp-curtail.atl.sa.earthlink.net의 [168.62.170.129] (helo = laurence39) 월, 2013 년 7 월 8 일 06:58:06 -0400 

    하지만 당신은 실제로 이것을 믿을 수 없습니다. 왜냐하면 그것은 사기꾼이 그의 흔적을 없애기 위해 추가 할 수 있기 때문입니다. 거짓 흔적을 남기다. 물론 서버가 209.86.89.64 무고하며 진정한 공격자의 중계 역할을합니다. 168.62.170.129, 그러나 릴레이는 종종 유죄로 간주되며 매우 자주 블랙리스트에 올립니다. 이 경우, 168.62.170.129 우리가 공격이 이루어 졌다는 것을 거의 확신 할 수 있도록 깨끗합니다. 209.86.89.64.

    그리고 물론, 우리는 Alice가 Yahoo! 과 elasmtp-curtail.atl.sa.earthlink.netYahoo!에 없다! 네트워크 (IP Whois 정보를 다시 확인하고 싶을 수도 있습니다)를 보내면이 이메일은 Alice가 아니며 필리핀에서 청구 한 휴가에 돈을 보내면 안된다는 결론을 내릴 수 있습니다..

    Ex Umbris와 Vijay의 다른 두 명의 기고자는 전자 메일 헤더의 해독을 지원하기 위해 SpamCop 및 Google의 헤더 분석 도구.


    설명에 추가 할 것이 있습니까? 의견에서 소리가 나지. 다른 기술에 정통한 Stack Exchange 사용자의 답변을 더 읽고 싶습니까? 전체 토론 스레드를 여기에서 확인하십시오..