Só porque um e-mail aparece na sua caixa de entrada, chamado [email protected], não significa que Bill realmente tenha alguma coisa a ver com isso. Leia como nós exploramos como cavar e ver de onde um e-mail suspeito realmente veio.
A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser, uma subdivisão do Stack Exchange, um agrupamento de comunidades de perguntas e respostas da comunidade.
A questão
SuperUser reader Sirwan quer saber como descobrir de onde os e-mails realmente se originam:
How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.
Vamos dar uma olhada nesses cabeçalhos de e-mail.
As respostas
O colaborador do SuperUser, Tomas, oferece uma resposta muito detalhada e perspicaz:
See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to
Em seguida, o email completo e seus cabeçalhos serão abertos:Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]
Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão no fundo. Cada novo servidor a caminho adicionará sua própria mensagem - começando com
Received
. Por exemplo:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Isso diz que
mx.google.com
recebeu o email de
maxipes.logix.cz
a
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Agora, para encontrar oreal remetente do seu email, o seu objetivo é encontrar o último gateway fidedigno - último ao ler os cabeçalhos a partir do topo, ou seja, primeiro na ordem cronológica. Vamos começar encontrando o servidor de e-mail do Bill. Para isso, você consulta o registro MX do domínio. Você pode usar algumas ferramentas online, ou no Linux você pode consultá-lo na linha de comando (note que o nome real do domínio foi alterado para
Então você vê o servidor de email para domain.com é
maxipes.logix.cz
ou
broucek.logix.cz
. Assim, o último (primeiro cronologicamente) "hop" confiável - ou o último "Registro recebido" confiável ou como quer que você o chame - é este:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Você pode confiar nisso porque isso foi registrado pelo servidor de e-mail de Bill para
domain.com
. Este servidor conseguiu
209.86.89.64
. Isso poderia ser, e muitas vezes é, o verdadeiro remetente do email - neste caso, o scammer! Você pode verificar este IP em uma lista negra. - Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo:
Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
mas você não pode realmente confiar nisso, porque isso só poderia ser adicionado pelo scammer para acabar com seus traços e / ouDeite uma trilha falsa. Claro que ainda há a possibilidade de que o servidor
209.86.89.64
é inocente e só agiu como um relé para o atacante real em
168.62.170.129
mas o revezamento é considerado culpado e muitas vezes está na lista negra. Nesse caso,
168.62.170.129
está limpo para que possamos ter quase certeza de que o ataque foi feito a partir de
209.86.89.64
E, claro, como sabemos que Alice usa o Yahoo! e
elasmtp-curtail.atl.sa.earthlink.net
não está no Yahoo! rede (você pode querer verificar novamente suas informações de IP Whois), podemos seguramente concluir que este e-mail não era de Alice, e que não deveríamos enviar-lhe nenhum dinheiro para suas férias reivindicadas nas Filipinas.
Dois outros colaboradores, Ex Umbris e Vijay, recomendaram, respectivamente, os seguintes serviços para auxiliar na decodificação de cabeçalhos de e-mail: o SpamCop e a ferramenta de análise de cabeçalho do Google.
Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.
Você pode ter ouvido muitas notícias recentemente sobre provedores de serviços de internet (ISPs) rastreando seu histórico de navegação e vendendo todos os seus dados. O que isso significa e como você pode se proteger melhor?
A maioria das pessoas sabe que o Outlook armazena e-mail para cada conta em um arquivo de armazenamento de tabela pessoal (PST), mas descobrir onde esse arquivo está localizado depende da versão do Outlook que você está usando. Veja onde o Outlook armazena seus arquivos e como você pode movê-los, se necessário.
Uma coisa é instalar um aplicativo que você quer, outra coisa é quando um aplicativo não só acaba em seu computador, mas também aparece e irrita você continuamente. Continue lendo enquanto ajudamos um colega leitor a chegar ao fundo de seu mistério popup e bani-lo no processo.
Quantas vezes você notou um arquivo em um diretório e perguntou … de onde veio esse arquivo? Ou você está tentando dizer a um amigo como usar um utilitário, mas ele não o instalou, e você não pode lembrar qual pacote você instalou para obtê-lo.
Essas ferramentas on-line gratuitas ajudam você a descobrir se o URL cujo redirecionamento deseja verificar vai para o destino desejado ou não. Encontre para onde um determinado URL ou link redireciona.
