मैं कैसे पता लगा सकता हूं कि एक ईमेल वास्तव में कहां से आया है?
सिर्फ इसलिए कि कोई ईमेल आपके बिल इनबॉक्स में दिखाता है। [email protected], का अर्थ यह नहीं है कि बिल का वास्तव में इससे कोई लेना-देना नहीं था। इस पर पढ़ें कि हम कैसे खुदाई करते हैं और देखें कि वास्तव में एक संदिग्ध ईमेल कहां से आया है.
आज का प्रश्न और उत्तर सत्र सुपरयूज़र के सौजन्य से आता है-स्टैक एक्सचेंज का एक उपखंड, क्यू एंड ए वेब साइटों की एक सामुदायिक-ड्राइव ग्रुपिंग।.
प्रश्न
सुपरयूजर रीडर सिरावन जानना चाहता है कि वास्तव में ईमेल की उत्पत्ति कहां से होती है:
मुझे कैसे पता चलेगा कि एक ईमेल वास्तव में कहां से आया है?
क्या इसका पता लगाने का कोई तरीका है?
मैंने ईमेल हेडर के बारे में सुना है, लेकिन मुझे नहीं पता कि जीमेल में उदाहरण के लिए मैं ईमेल हेडर कहां देख सकता हूं.
आइए एक नजर डालते हैं इन ईमेल हेडर्स पर.
जवाब
सुपरयूज़र योगदानकर्ता टॉमस एक बहुत विस्तृत और व्यावहारिक प्रतिक्रिया प्रदान करता है:
मेरे द्वारा भेजे गए घोटाले का एक उदाहरण देखें, यह दिखावा करते हुए कि यह मेरे मित्र का है, दावा किया गया है कि उसे लूट लिया गया है और मुझसे वित्तीय सहायता मांगी जा रही है। मैंने नाम बदल दिए हैं - मान लीजिए कि मैं बिल हूं, घोटालेबाज ने एक ईमेल भेजा है
[email protected]
, बहाना वह है[email protected]
. ध्यान दें कि बिल आगे है[email protected]
.सबसे पहले, जीमेल में, उपयोग करें
मूल दिखाएँ
:फिर, पूरा ईमेल और उसके हेडर खुलेंगे:
डिलीवर-टू: बिल@gmail.com प्राप्त: SMTP आईडी s1csp1779373e के साथ 10.64.21.33 द्वारा; सोम, 8 जुलाई 2013 04:11:00 -0700 (पीडीटी) एक्स-प्राप्त: SMTP आईडी s49mr24756966eeb.71.1373281860071 के साथ 10.14.47.73; सोम, 08 जुलाई 2013 04:11:00 -0700 (पीडीटी) रिटर्न-पाथ: प्राप्त: मैक्सपाइप्स .logix.cz से (maxipes.logix.cz।] [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.109 के साथ mx.google.com (संस्करण = TLSv1 सिफर = RC4-SHA बिट्स = 128/128) के लिए; सोम, 08 जुलाई 2013 04:11:00 -0700 (पीडीटी) प्राप्त-एसपीएफ: तटस्थ (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 को न तो अनुमति दी गई है और न ही सर्वश्रेष्ठ अनुमान रिकॉर्ड से इनकार किया गया है [email protected]) का ग्राहक-आईपी = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; प्रमाणीकरण-परिणाम: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 को SRS0 के डोमेन के लिए सर्वोत्तम अनुमान रिकॉर्ड से न तो अनुमति है और न ही इनकार किया गया है। ) [email protected] प्राप्त: maxipes.logix.cz (उपसर्ग उपयोक्ता 604 से) आईडी C923ED3A45; सोम, 8 जुलाई 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: विलंबित 00:06:34 SQLgrey-1.8.0-rc1 द्वारा प्राप्त: elasmasmp-curtail से .mt.log.log..cth के लिए ESMTP आईडी BTC3175D3A44 के साथ maxipes.logix.cz (पोस्टफिक्स) द्वारा। (elasmtp-curtail.tal.sa.earthlink.net [209.86.89.64])। सोम, 8 जुलाई 2013 23:10:48 +1200 (NZST) प्राप्त: [168.62.170.129] से (helo = laurence39) elasmtp-curtail.atl.sa.earthlink.net द्वारा esmtpa (एक्जिम 4.67) (लिफाफा से) ) id 1Uw98w-0006KI-6y के लिए [email protected]; सोम, 08 जुलाई 2013 06:58:06 -0400 से: "ऐलिस" विषय: भयानक यात्रा का मुद्दा ... कृपया ASAP को जवाब दें: [email protected] सामग्री-प्रकार: मल्टीपार्ट / वैकल्पिक; सीमा = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" माइम-संस्करण: 1.0 इन्हें जवाब दें: [email protected] दिनांक: सोम, 8 जुला 2013 10:58:06 +0000 संदेश- ID: एक्स-ELNK-ट्रेस: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c एक्स Originating- IP: 168.62.170.129 [… मैंने ईमेल बॉडी काट ली है…]
शीर्षलेखों को कालानुक्रमिक रूप से नीचे से ऊपर तक पढ़ा जाना है - सबसे नीचे तल पर हैं। रास्ते में हर नया सर्वर अपना संदेश जोड़ देगा - के साथ शुरू
प्राप्त किया
. उदाहरण के लिए:प्राप्त: maxipes.logix.cz से (maxipes.logix.cz। [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) mx.google.com द्वारा ESPTPS id j47si6975462eeg.108.2013.2013.07.08.08.10.10 के साथ। 59 के लिए (संस्करण = TLSv1 सिफर = RC4-SHA बिट्स = 128/128); सोम, 08 जुलाई 2013 04:11:00 -0700 (पीडीटी)
यह वह कहता है
mx.google.com
से मेल प्राप्त हुआ हैmaxipes.logix.cz
परसोम, 08 जुलाई 2013 04:11:00 -0700 (पीडीटी)
.अब, खोजने के लिए असली आपके ईमेल का प्रेषक, आपका लक्ष्य अंतिम विश्वसनीय गेटवे ढूंढना है - अंतिम जब शीर्ष से हेडर पढ़ते हैं, अर्थात् कालानुक्रमिक क्रम में। बिल के मेल सर्वर को खोजने के द्वारा शुरू करते हैं। इसके लिए, आप डोमेन के लिए MX रिकॉर्ड को क्वेरी करते हैं। आप कुछ ऑनलाइन टूल का उपयोग कर सकते हैं, या लिनक्स पर आप इसे कमांड लाइन पर क्वेरी कर सकते हैं (ध्यान दें कि वास्तविक डोमेन नाम को बदल दिया गया था
domain.com
):~ $ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
तो आप देखते हैं domain.com के लिए मेल सर्वर है
maxipes.logix.cz
याbroucek.logix.cz
. इसलिए, अंतिम (पहले कालानुक्रमिक रूप से) "हॉप" पर भरोसा किया - या अंतिम विश्वसनीय "प्राप्त रिकॉर्ड" या जिसे आप इसे कहते हैं - यह एक है:प्राप्त: elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) द्वारा maxips.logix.z (पोस्टफिक्स) के साथ ESMTP आईडी B43175D3A44; सोम, 8 जुलाई 2013 23:10:48 +1200 (NZST)
आप इस पर भरोसा कर सकते हैं क्योंकि यह बिल के मेल सर्वर द्वारा रिकॉर्ड किया गया था
domain.com
. यह सर्वर से मिल गया209.86.89.64
. यह हो सकता है, और बहुत बार होता है, ईमेल का वास्तविक प्रेषक - इस मामले में घोटालेबाज! आप इस IP को एक ब्लैकलिस्ट पर देख सकते हैं। - देखिए, वह 3 ब्लैक लिस्ट में सूचीबद्ध है! अभी इसके नीचे एक और रिकॉर्ड है:प्राप्त: [१६ived.६२.१.1०.१२ ९] (हीलो = लॉरेंस ३ ९) से इस्मातप- curtail.atl.sa.earthlink.net द्वारा esmtpa (एक्जिम ४.६)) (लिफ़ाफ़ा-से) आईडी १ यूडब्ल्यू ९ w००० बीकेआई -६ के लिए [email protected]; सोम, 08 जुलाई 2013 06:58:06 -0400
लेकिन आप वास्तव में इस पर भरोसा नहीं कर सकते हैं, क्योंकि यह केवल स्कैमर द्वारा अपने निशान और / या मिटाने के लिए जोड़ा जा सकता है एक झूठी राह रखना. बेशक अभी भी संभावना है कि सर्वर
209.86.89.64
निर्दोष है और केवल असली हमलावर के लिए एक रिले के रूप में काम करता है168.62.170.129
, लेकिन तब रिले को अक्सर दोषी माना जाता है और अक्सर ब्लैक लिस्टेड किया जाता है। इस मामले में,168.62.170.129
यह साफ है कि हम लगभग सुनिश्चित हो सकते हैं कि हमला कहां से किया गया था209.86.89.64
.और हां, जैसा कि हम जानते हैं कि ऐलिस याहू का उपयोग करती है! तथा
elasmtp-curtail.atl.sa.earthlink.net
याहू पर नहीं है! नेटवर्क (आप इसकी आईपी Whois जानकारी फिर से जांचना चाहते हैं), हम सुरक्षित रूप से यह निष्कर्ष निकाल सकते हैं कि यह ईमेल ऐलिस से नहीं था, और हमें उसे फिलीपींस में दावा की गई छुट्टी के लिए उसे कोई पैसा नहीं भेजना चाहिए.
ईमेल हेडर को डिकोड करने में सहायता करने के लिए क्रमशः दो अन्य योगदानकर्ता, Ex Umbris और Vijay, की सिफारिश की गई, निम्नलिखित सेवाएं: SpamCop और Google का शीर्ष विश्लेषण उपकरण.
स्पष्टीकरण में कुछ जोड़ना है? टिप्पणियों में ध्वनि बंद। अन्य टेक-सेवी स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक उत्तर पढ़ना चाहते हैं? पूरी चर्चा धागा यहाँ देखें.