Pagina inicial » como » Como posso descobrir de onde um e-mail realmente veio?

    Como posso descobrir de onde um e-mail realmente veio?

    Só porque um e-mail aparece na sua caixa de entrada rotulado como [email protected], não significa que Bill realmente tenha alguma coisa a ver com isso. Continue lendo enquanto exploramos como pesquisar e ver de onde um e-mail suspeito realmente veio.

    A sessão de perguntas e respostas de hoje nos é oferecida por cortesia do SuperUser - uma subdivisão do Stack Exchange, um agrupamento de sites de perguntas e respostas da comunidade..

    A questão

    SuperUser reader Sirwan quer saber como descobrir de onde os e-mails realmente se originam:

    Como posso saber de onde um e-mail realmente veio?
    Existe alguma maneira de descobrir?
    Eu ouvi falar de cabeçalhos de e-mail, mas não sei onde posso ver cabeçalhos de e-mail, por exemplo, no Gmail.

    Vamos dar uma olhada nesses cabeçalhos de e-mail.

    As respostas

    O colaborador do SuperUser, Tomas, oferece uma resposta muito detalhada e perspicaz:

    Veja um exemplo de golpe que foi enviado para mim, fingindo que é da minha amiga, alegando que ela foi roubada e me pedindo ajuda financeira. Eu mudei os nomes - suponha que eu sou Bill, o scammer enviou um email para [email protected], fingindo que ele é [email protected]. Note que Bill tem para frente [email protected].

    Primeiro, no Gmail, use mostrar original:

    Em seguida, o email completo e seus cabeçalhos serão abertos:

    Delivered-To: [email protected] Recebido: por 10.64.21.33 com id SMTP s1csp177937iee; Seg, 8 de julho de 2013 04:11:00 -0700 (PDT) X-Recebido: por 10.14.47.73 com identificação SMTP s49mr24756966eeb.71.1373281860071; Seg, 08 de julho de 2013 04:11:00 -0700 (PDT) Return-Path: Recebido: de maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 ]) por mx.google.com com ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 para (versão = TLSv1 cipher = RC4-SHA bits = 128/128); Seg, 08 de julho de 2013 04:11:00 -0700 (PDT) Recebido-SPF: neutro (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 não é permitido nem negado pelo melhor recorde de suposição para domínio de [email protected]) cliente-ip = 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1; Resultados de autenticação: mx.google.com; spf = neutral (google.com: 2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1 não é permitido nem negado pelo melhor registro de suposições para o domínio de [email protected] ) [email protected] Recebido: por maxipes.logix.cz (Postfix, do ID do usuário 604) id C923E5D3A45; Seg, 8 de julho de 2013 23:10:50 +1200 (NZST) X-Original-To: [email protected] X-Greylist: atrasado 00:06:34 por SQLgrey-1.8.0-rc1 Recebido: from elasmtp-curtail .atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz (Postfix) com ESMTP id B43175D3A44 para; Mon, 8 de julho de 2013 23:10:48 +1200 (NZST) Recebido: de [168.62.170.129] (helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net com esmtpa (Exim 4.67) (envelope-de ) id 1Uw98w-0006KI-6y para [email protected]; Seg, 08 de julho de 2013 06:58:06 -0400 De: "Alice" Assunto: Terrible Travel Issue ... Por favor, responda o mais rápido possível para: [email protected] Content-Type: multiparte / alternativa; fronteira = "jtkoS2PA6LIOS7nZ3bDeIHwhuXF = _9jxn70" MIME-Version: 1.0 Reply-To: [email protected] Data: Mon, 08 de julho de 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating- IP: 168.62.170.129 [… eu cortei o corpo do email…] 

    Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão no fundo. Cada novo servidor a caminho irá adicionar sua própria mensagem - começando com Recebido. Por exemplo:

    Recebido: de maxipes.logix.cz (maxipes.logix.cz. [2a01: 348: 0: 6: 5d59: 50c3: 0: b0b1]) por mx.google.com com o ID ESMTPS j47si6975462eeg.108.2013.07.08.04.10. 59 para (versão = cifra TLSv1 = bits RC4-SHA = 128/128); Seg, 08 de julho de 2013 04:11:00 -0700 (PDT) 

    Isso diz que mx.google.com recebeu a correspondência de maxipes.logix.cz a Seg, 08 de julho de 2013 04:11:00 -0700 (PDT).

    Agora, para encontrar o real remetente do seu e-mail, seu objetivo é encontrar o último gateway confiável - por último, ao ler os cabeçalhos de cima, ou seja, primeiro na ordem cronológica. Vamos começar encontrando o servidor de email do Bill. Para isso, você consulta o registro MX do domínio. Você pode usar algumas ferramentas online, ou no Linux você pode consultá-lo na linha de comando (note que o nome real do domínio foi alterado para dominio.com):

    ~ $ host -t MX dominio.com dominio MX 10 broucek.logix.cz dominio MX 5 maxipes.logix.cz 

    Então você vê o servidor de email para domain.com é maxipes.logix.cz ou broucek.logix.cz. Assim, o último (primeiro cronologicamente) “hop” confiável - ou o último “Registro recebido” confiável ou como quer que você o chame - é este:

    Recebido: de elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) por maxipes.logix.cz (Postfix) com ESMTP id B43175D3A44 para; Seg, 8 de julho de 2013 23:10:48 +1200 (NZST) 

    Você pode confiar nisso porque isso foi registrado pelo servidor de email de Bill para dominio.com. Este servidor conseguiu 209.86.89.64. Isso pode ser, e muitas vezes é, o verdadeiro remetente do email - neste caso, o scammer! Você pode verificar este IP em uma lista negra. - Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo:

    Recebido: de [168.62.170.129] (helo = laurence39) por elasmtp-curtail.atl.sa.earthlink.net com esmtpa (Exim 4.67) (envelope-de) id 1Uw98w-0006KI-6y para [email protected]; Seg, 08 de julho de 2013 06:58:06 -0400 

    mas você não pode realmente confiar nisso, porque isso só poderia ser adicionado pelo scammer para acabar com seus traços e / ou Deite uma trilha falsa. Claro que ainda existe a possibilidade de que o servidor 209.86.89.64 é inocente e só agiu como um relé para o atacante real em 168.62.170.129, mas, em geral, o revezamento é considerado culpado e muitas vezes está na lista negra. Nesse caso, 168.62.170.129 está limpo para que possamos ter quase certeza de que o ataque foi feito a partir de 209.86.89.64.

    E, claro, como sabemos que Alice usa o Yahoo! e elasmtp-curtail.atl.sa.earthlink.netnão está no Yahoo! rede (você pode querer verificar novamente suas informações de IP Whois), podemos concluir com segurança que este e-mail não era de Alice, e que não deveríamos lhe enviar nenhum dinheiro para suas férias reivindicadas nas Filipinas.

    Dois outros colaboradores, Ex Umbris e Vijay, recomendaram, respectivamente, os seguintes serviços para auxiliar na decodificação de cabeçalhos de e-mail: SpamCop e a ferramenta Header Analysis do Google..


    Tem algo a acrescentar à explicação? Soe fora nos comentários. Quer ler mais respostas de outros usuários do Stack Exchange com experiência em tecnologia? Confira o tópico de discussão completo aqui.