سؤال كيف يمكنني معرفة مصدر البريد الإلكتروني؟


كيف يمكنني معرفة مصدر البريد الإلكتروني بالفعل؟ هل هناك طريقة للعثور عليه؟

لقد سمعت برؤوس البريد الإلكتروني ، ولكن لا أعرف أين يمكنني رؤية عناوين البريد الإلكتروني ، على سبيل المثال في Gmail. أي مساعدة؟


101
2017-07-26 12:19


الأصل


راجع للشغل. عنوان IP في gmail Header في تنسيق IPv6: v6decode.com - user956584


الأجوبة:


انظر أدناه للحصول على مثال لعملية احتيال تم إرسالها إليّ ، متظاهرًا بأنها من صديقي ، مدعياً ​​أنها تعرضت للسرقة وطلبت مني المساعدة المالية. لقد غيرت أسماء - أنا "بيل" ، وقد أرسل المخادع رسالة بريد إلكتروني إلى bill@domain.com، تدعي كونك alice@yahoo.com. لاحظ أن Bill يعيد توجيه بريده الإلكتروني إلى bill@gmail.com.

أولاً ، في Gmail ، انقر فوق show original:

Message menu > Show original

سيتم فتح البريد الإلكتروني الكامل ورؤوسه:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

يجب قراءة العناوين بترتيب زمني من أسفل إلى أعلى - الأقدم في الأسفل. يضيف كل خادم جديد على الطريق رسالته الخاصة - بدءًا من Received. فمثلا:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

هذا يقول ذلك mx.google.com تلقى البريد من maxipes.logix.cz في Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

الآن ، للعثور على حقيقة مرسلًا لبريدك الإلكتروني ، يجب عليك العثور على أول بوابة موثوقة - أخيرًا عند قراءة الرؤوس من أعلى الصفحة. لنبدأ بإيجاد خادم بريد Bill. لهذا ، قم بالاستعلام عن سجل MX للمجال. يمكنك استخدام أدوات الإنترنت مثل أدوات Mxأو على Linux يمكنك الاستعلام عنه في سطر الأوامر (لاحظ أنه تم تغيير اسم المجال الحقيقي إلى domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

وسترى خادم البريد الخاص بـ domain.com هو maxipes.logix.cz أو broucek.logix.cz. ومن ثم ، فإن "الوثب" الأخير (الذي كان وقتًا زمنيًا) موثوقًا به "الوثب" - أو آخر سجل موثوق به "" ، أو أي شيء تسمونه - هو هذا:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

يمكنك الوثوق بهذا لأنه تم تسجيله بواسطة خادم بريد Bill الخاص به domain.com. هذا الخادم حصلت عليه من 209.86.89.64. هذا يمكن أن يكون ، وفي أغلب الأحيان ، المرسِل الحقيقي للبريد الإلكتروني - في هذه الحالة المخادع! يمكنك تحقق من هذا IP على قائمة سوداء. - شاهد ، إنه مدرج في 3 قوائم سوداء! يوجد سجل آخر أدناه:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

ولكن كن على يقين من أن هذا هو المصدر الحقيقي للبريد الإلكتروني. شكوى القائمة السوداء يمكن فقط إضافتها من قبل المخادع للقضاء على آثاره و / أو تكمن درب كاذبة. لا يزال هناك احتمال أن الخادم 209.86.89.64 بريء ومتابع فقط للمهاجم الحقيقي في 168.62.170.129. في هذه الحالة، 168.62.170.129  نظيف لذلك يمكننا أن نكون على يقين من أن الهجوم قد تم 209.86.89.64.

هناك نقطة أخرى يجب أخذها في الاعتبار وهي أن Alice تستخدم Yahoo! (alice@yahoo.com) و elasmtp-curtail.atl.sa.earthlink.net ليس على ياهو! الشبكة (قد ترغب في ذلك إعادة التحقق من معلومات IP Whois الخاصة بها). لذلك قد نستنتج بأمان أن هذه الرسالة الإلكترونية ليست من أليس ، ويجب ألا نرسل أموالها إلى الفلبين.


143
2017-07-26 14:31



أو يمكنك لصق العناوين في SpamCop ودعها تفعل كل فك رموز بالنسبة لك. حتى أنهم سيرسلون إشعارًا بالرسائل الاقتحامية (SPAM) إلى مسؤول النظام المسئول (sysadmin) إذا كنت ترغب في ذلك. - Ex Umbris
أو يمكنك أيضًا استخدام أداة تحليل رأس google - Vijay
هذا أمر شائع بشكل مؤلم - لدرجة أنه عادة ما أقوم بتقديم النصيحة للأشخاص الذين يحصلون على رسائل البريد الإلكتروني هذه ليطلبوا شيئًا ما فقط صاحب البريد الإلكتروني الإضافي سيعرف بأنه خطأ ؛) - Journeyman Geek♦
JourneymanGeek أفضل الممارسات في كثير من الأحيان ليس الرد - يمكن أن يوفر الرد (أو النقر على أي رابط ، أو تحميل موارد خارجية ، مثل الصور) إشارة إلى مرسلي الرسائل غير المرغوب فيها بأن عنوان بريدك الإلكتروني صالح ، وأن شخصًا ما يقرأه بالفعل. - Bob
بصفتي مسؤول نظام ، كان عليّ التعامل مع عدد قليل من رسائل البريد الإلكتروني المجهولة والمسيئة وغير المرغوب فيها ، والتي تم إرسالها إلى أحد موظفينا قبل بضع سنوات. كان التراجع عن الرؤوس طريقًا مسدودًا ، حيث كان المرسل (لسوء الحظ) يتمتع بالذكاء الكافي لاستخدام أداة إعادة توجيه مجهولة الهوية (en.wikipedia.org/wiki/Anonymous_remailer). في مثل هذه الحالات ، لا يوجد شيء عمليًا يمكنك القيام به (ربما ما لم تكن تعمل من أجل NSA). - abstrask


للعثور على عنوان IP:

انقر على المثلث المقلوب بجانب الرد. حدد إظهار الأصل.

يبحث عن Received: from متبوعًا بعنوان IP بين الأقواس المربعة []. (مثال: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

إذا وجدت أكثر من واحد تم الاستلام: من الأنماط ، حدد الأخير.

(مصدر)

بعد ذلك ، يمكنك استخدام موقع pythonclub، iplocation.net أو البحث IP لمعرفة الموقع.


10
2017-07-26 12:24



أن IP هو لخادم البريد الإلكتروني أو موقع الشخص الذي أرسل البريد الإلكتروني؟ - Sirwan Afifi
انها خادم البريد. لست متأكدًا مما إذا كانت هناك طريقة لتحديد البريد الإلكتروني للملكية الذي تم كتابته. - Luke
اختيار السجل الأخير "Received:" ليس أفضل إستراتيجية - كان يمكن أن يضيفه المهاجم لرسم خط أحمر عبر المسار. بدلا من ذلك ، يجب عليك العثور على آخر واحد موثوق به. انظر جوابي - Tomas


تختلف كيفية الوصول إلى رؤوس الرسائل بين عملاء البريد الإلكتروني. سيسمح لك العديد من العملاء بمشاهدة التنسيق الأصلي للرسالة بسهولة. الآخرين (MicroSoft Outlook) تجعل الأمر أكثر صعوبة.

لتحديد من أرسل الرسالة بالفعل ، يكون مسار الإرجاع مفيدًا. ومع ذلك ، يمكن أن يتم انتحال. عنوان مسار المرسل الذي لا يتطابق مع عنوان "من" هو سبب الاشتباه. هناك أسباب مشروعة لتكون مختلفة ، مثل الرسائل المعاد توجيهها من القوائم البريدية ، أو الروابط المرسلة من مواقع الويب. (من الأفضل أن يستخدم موقع الويب عنوان "الرد" لتحديد الشخص الذي يقوم بإعادة توجيه الرابط).

لتحديد أصل الرسالة التي تمت قراءتها من أعلى إلى أسفل خلال الرؤوس المستلمة. قد يكون هناك عدة. سيحتوي معظمهم على عنوان IP للخادم الذي تلقوا منه نموذج الرسالة. بعض المشكلات التي ستواجهها:

  • تستخدم بعض المواقع برنامجًا خارجيًا لمسح الرسائل التي تعيد إرسال الرسالة بعد الفحص. هذه قد إدخال localhost أو عناوين أخرى غريبة.
  • بعض الخوادم تعتم العناوين عن طريق حذف المحتوى.
  • تشتمل بعض الرسائل الاقتحامية (SPAM) على رؤوس مستلمة مزيفة بهدف تضليلك.
  • Private address (10.0.0.0/8، 172.16.0.0/12، 192.168.0.0/16) قد يظهر عنوان IP ، ولكن يكون له معنى فقط على الشبكة التي أتت منها.

يجب أن تكون قادرًا دائمًا على تحديد الخادم الموجود على الإنترنت الذي أرسل الرسالة إليك. تتبع مزيد من الظهر يعتمد على تكوين خوادم الإرسال.


6
2017-07-26 13:03



FYI في Microsoft Outlook الأخيرة تحتاج إلى فتح رسالة في نافذتها الخاصة ، فهي مجرد ملف ، خصائص. هذا ليس صعبا - Rup


أنا أستعمل http://whatismyipaddress.com/trace-email. إذا كنت تستخدم Gmail ، فانقر فوق إظهار الأصلي (على المزيد ، بجوار زر الرد ، انسخ العناوين ، والصقها على هذا الموقع وانقر على الحصول على المصدر. ستحصل على معلومات الموقع الجغرافي وخريطة في المقابل


1
2017-07-31 13:07





هناك أيضًا بعض الأدوات لتحليل رؤوس البريد الإلكتروني واستخراج بيانات البريد الإلكتروني لك ،
فمثلا :

  1. eMailTrackerPro

    يمكنها تتبع البريد الإلكتروني مرة أخرى إلى موقعه الجغرافي بما في ذلك تصفية البريد المزعج

  2. MSGTAG

  3. PoliteMail

  4. سوبر برامج البريد الإلكتروني والتسويق

  5. Zendio


0
2017-09-07 12:12



eMailTracketPro لا يعمل .. لقد قمت بتنزيل نسخة تجريبية منه. وقد تمسك - Md Faisal