A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser, uma subdivisão do Stack Exchange, um agrupamento de comunidades de perguntas e respostas da comunidade.
A questão
SuperUser reader Sirwan quer saber como descobrir de onde os e-mails realmente se originam:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Vamos dar uma olhada nesses cabeçalhos de e-mail.
As respostas
O colaborador do SuperUser, Tomas, oferece uma resposta muito detalhada e perspicaz:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
fingindo que é
. Note que Bill tem a frente para
Primeiro, no Gmail, use
show original
:
Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão no fundo. Cada novo servidor a caminho adicionará sua própria mensagem - começando com
Received
. Por exemplo:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Isso diz que
mx.google.com
recebeu o email de
maxipes.logix.cz
a
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Agora, para encontrar oreal remetente do seu email, o seu objetivo é encontrar o último gateway fidedigno - último ao ler os cabeçalhos a partir do topo, ou seja, primeiro na ordem cronológica. Vamos começar encontrando o servidor de e-mail do Bill. Para isso, você consulta o registro MX do domínio. Você pode usar algumas ferramentas online, ou no Linux você pode consultá-lo na linha de comando (note que o nome real do domínio foi alterado para
domain.com
):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz
Então você vê o servidor de email para domain.com é
maxipes.logix.cz
ou
broucek.logix.cz
. Assim, o último (primeiro cronologicamente) "hop" confiável - ou o último "Registro recebido" confiável ou como quer que você o chame - é este:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Você pode confiar nisso porque isso foi registrado pelo servidor de e-mail de Bill para
domain.com
. Este servidor conseguiu
209.86.89.64
. Isso poderia ser, e muitas vezes é, o verdadeiro remetente do email - neste caso, o scammer! Você pode verificar este IP em uma lista negra. - Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
mas você não pode realmente confiar nisso, porque isso só poderia ser adicionado pelo scammer para acabar com seus traços e / ouDeite uma trilha falsa. Claro que ainda há a possibilidade de que o servidor
209.86.89.64
é inocente e só agiu como um relé para o atacante real em
168.62.170.129
mas o revezamento é considerado culpado e muitas vezes está na lista negra. Nesse caso,
168.62.170.129
está limpo para que possamos ter quase certeza de que o ataque foi feito a partir de
209.86.89.64
E, claro, como sabemos que Alice usa o Yahoo! e
elasmtp-curtail.atl.sa.earthlink.net
não está no Yahoo! rede (você pode querer verificar novamente suas informações de IP Whois), podemos seguramente concluir que este e-mail não era de Alice, e que não deveríamos enviar-lhe nenhum dinheiro para suas férias reivindicadas nas Filipinas.
Dois outros colaboradores, Ex Umbris e Vijay, recomendaram, respectivamente, os seguintes serviços para auxiliar na decodificação de cabeçalhos de e-mail: o SpamCop e a ferramenta de análise de cabeçalho do Google.
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.