मैं कैसे पता लगा सकता हूं कि एक ईमेल वास्तव में कहां से आया था?

2024 लेखक: Geoffrey Carr | [email protected]. अंतिम बार संशोधित: 2024-01-08 02:11

सिर्फ इसलिए कि बिल.mith@somehost.com लेबल वाले आपके इनबॉक्स में एक ईमेल दिखाया गया है, इसका मतलब यह नहीं है कि बिल वास्तव में इसके साथ कुछ लेना देना था। जैसा कि हम पता लगाते हैं कि कैसे खोदना है और देखें कि वास्तव में एक संदिग्ध ईमेल कहां से आया था। — सिर्फ इसलिए कि बिल[email protected] लेबल वाले आपके इनबॉक्स में एक ईमेल दिखाया गया है, इसका मतलब यह नहीं है कि बिल वास्तव में इसके साथ कुछ लेना देना था। जैसा कि हम पता लगाते हैं कि कैसे खोदना है और देखें कि वास्तव में एक संदिग्ध ईमेल कहां से आया था।

आज का प्रश्न और उत्तर सत्र सुपरयूसर की सौजन्य है - स्टैक एक्सचेंज का एक उपविभाग, क्यू एंड ए वेब साइट्स का एक समुदाय-ड्राइव समूह।

प्रश्न

सुपर यूज़र रीडर सिवान जानना चाहते हैं कि यह पता लगाने के लिए कि ईमेल वास्तव में कहां से उत्पन्न होते हैं:


How can I know where an Email really came from? Is there any way to find it out? I have heard about email headers, but I don’t know where can I see email headers for example in Gmail.

आइए इन ईमेल शीर्षकों पर नज़र डालें।

जवाब

सुपरयूसर योगदानकर्ता टॉमस एक बहुत विस्तृत और अंतर्दृष्टि प्रतिक्रिया प्रदान करता है:


See an example of scam that has been sent to me, pretending it is from my friend, claiming she has been robbed and asking me for financial aid. I have changed the names - suppose that I am Bill, the scammer has send an email to

[email protected]

वह नाटक कर रहा है

[email protected]

। ध्यान दें कि विधेयक के पास आगे है

[email protected]

सबसे पहले, जीमेल में, उपयोग करें

show original








:



फिर, पूरा ईमेल और उसके शीर्षलेख खुलेंगे:

Delivered-To: [email protected] Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path:  Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for  (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected] Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice'  Subject: Terrible Travel Issue…..Kindly reply ASAP To: [email protected] Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: [email protected] Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID:  X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [… I have cut the email body …]








हेडर को क्रमशः नीचे से ऊपर तक पढ़ा जाना चाहिए - सबसे पुराना नीचे है। जिस तरह से हर नया सर्वर अपना संदेश जोड़ देगा - साथ शुरू होगा

Received

। उदाहरण के लिए:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for  (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

यह कहता है कि

mx.google.com

से मेल प्राप्त हुआ है

maxipes.logix.cz

पर

Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

अब, खोजने के लिएअसली आपके ईमेल के प्रेषक, आपका लक्ष्य अंतिम भरोसेमंद गेटवे ढूंढना है - शीर्ष पर शीर्षलेख पढ़ते समय, यानी कालक्रम क्रम में पहले। आइए बिल के मेल सर्वर को ढूंढकर शुरू करें। इसके लिए, आप डोमेन के लिए एमएक्स रिकॉर्ड पूछते हैं। आप कुछ ऑनलाइन टूल्स का उपयोग कर सकते हैं, या लिनक्स पर आप इसे कमांड लाइन पर पूछ सकते हैं (ध्यान दें कि वास्तविक डोमेन नाम बदल दिया गया था








domain.com

):
~$ host -t MX domain.com domain.com MX 10 broucek.logix.cz domain.com MX 5 maxipes.logix.cz

तो आप डोमेन.com के लिए मेल सर्वर देखते हैं

maxipes.logix.cz

या

broucek.logix.cz

। इसलिए, आखिरी (पहले कालक्रम) भरोसेमंद "हॉप" - या अंतिम भरोसेमंद "प्राप्त रिकॉर्ड" या जिसे आप इसे कहते हैं - यह एक है:
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

आप इस पर भरोसा कर सकते हैं क्योंकि यह बिल के मेल सर्वर द्वारा दर्ज किया गया था

domain.com

। इस सर्वर से यह मिला

209.86.89.64

। यह हो सकता है, और अक्सर, ईमेल के असली प्रेषक - इस मामले में स्कैमर! आप इस आईपी को ब्लैकलिस्ट पर देख सकते हैं। - देखें, वह 3 ब्लैकलिस्ट में सूचीबद्ध है! इसके नीचे एक और रिकॉर्ड है:







Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400

लेकिन आप वास्तव में इस पर भरोसा नहीं कर सकते हैं, क्योंकि स्कैमर द्वारा उसे अपने निशान और / या मिटाए जाने के लिए जोड़ा जा सकता हैएक झूठी निशान रखना। बेशक अभी भी संभावना है कि सर्वर

209.86.89.64

निर्दोष है और केवल वास्तविक हमलावर के लिए रिले के रूप में कार्य किया है

168.62.170.129

लेकिन फिर रिले को अक्सर दोषी माना जाता है और अक्सर ब्लैकलिस्ट किया जाता है। इस मामले में,

168.62.170.129

साफ है इसलिए हम लगभग आश्वस्त हो सकते हैं कि हमला किया गया था

209.86.89.64

और निश्चित रूप से, जैसा कि हम जानते हैं कि ऐलिस याहू का उपयोग करता है! तथा

elasmtp-curtail.atl.sa.earthlink.net

याहू पर नहीं है! नेटवर्क (आप अपनी आईपी हूइस जानकारी दोबारा जांचना चाहेंगे), हम सुरक्षित रूप से निष्कर्ष निकाल सकते हैं कि यह ईमेल ऐलिस से नहीं था, और हमें फिलीपींस में उसकी दावा की गई छुट्टी पर उसे कोई पैसा नहीं भेजना चाहिए।
दो अन्य योगदानकर्ता, पूर्व उम्ब्रिस और विजय ने ईमेल हेडर के डिकोडिंग में सहायता के लिए क्रमशः निम्नलिखित सेवाओं की सिफारिश की: स्पैमकॉप और Google के शीर्षलेख विश्लेषण टूल।
स्पष्टीकरण में जोड़ने के लिए कुछ है? टिप्पणियों में आवाज उठाओ। अन्य तकनीक-समझदार स्टैक एक्सचेंज उपयोगकर्ताओं से अधिक उत्तरों पढ़ना चाहते हैं? यहां पूर्ण चर्चा धागा देखें।