Como posso descobrir de onde realmente veio um email?

Como posso saber de onde um email realmente se originou? Existe alguma maneira de descobrir isso?

Ouvi falar de cabeçalhos de email, mas não sei onde posso ver os cabeçalhos de email, por exemplo, no Gmail. Qualquer ajuda?

Veja abaixo um exemplo de uma fraude que foi enviada a mim, fingindo ser do meu amigo, alegando que ela foi roubada e me pedindo ajuda financeira. Mudei os nomes - sou "Bill", e o golpista enviou um e-mail para [email protected], fingindo ser [email protected]. Observe que Bill encaminha seu email para [email protected].

Primeiro, no Gmail, clique em show original:

O email completo e seus cabeçalhos serão abertos:

Delivered-To: [email protected]
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <[email protected]>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of [email protected]) [email protected]
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon,  8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: [email protected]
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <[email protected]>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <[email protected]>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: [email protected]
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: [email protected]
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <[email protected]>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão na parte inferior. Cada novo servidor no caminho adiciona sua própria mensagem - começando com Received. Por exemplo:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <[email protected]>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Isso diz que mx.google.comrecebeu o e-mail de maxipes.logix.czàs Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Agora, para encontrar o verdadeiro remetente do seu email, você deve encontrar o gateway confiável mais antigo - o último ao ler os cabeçalhos de cima. Vamos começar encontrando o servidor de email de Bill. Para isso, consulte o registro MX do domínio. Você pode usar ferramentas online como o Mx Toolbox ou, no Linux, pode consultá-lo na linha de comando (observe que o nome do domínio real foi alterado para domain.com):

~$ host -t MX domain.com
domain.com               MX      10 broucek.logix.cz
domain.com               MX      5 maxipes.logix.cz

E você verá que o servidor de email para domain.com é maxipes.logix.czou broucek.logix.cz. Portanto, o último "salto" confiável (primeiro cronologicamente) - ou o último "registro recebido" confiável ou o que você chamar - é este:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <[email protected]>; Mon,  8 Jul 2013 23:10:48 +1200 (NZST)

Você pode confiar nisso porque foi gravado pelo servidor de email de Bill domain.com. Este servidor conseguiu 209.86.89.64. Este pode ser, e muitas vezes é, o verdadeiro remetente do e-mail - nesse caso, o fraudador! Você pode verificar esse IP em uma lista negra . - Veja, ele está listado em 3 listas negras! Há ainda outro registro abaixo:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <[email protected]>)
    id 1Uw98w-0006KI-6y
    for [email protected]; Mon, 08 Jul 2013 06:58:06 -0400

Mas tenha cuidado, confiando que essa é a fonte real do email. A queixa da lista negra poderia ser adicionada pelo scammer para apagar seus traços e / ou traçar uma pista falsa . Ainda existe a possibilidade de o servidor 209.86.89.64ser inocente e apenas uma retransmissão para o verdadeiro atacante 168.62.170.129. Nesse caso, 168.62.170.129 está limpo para que possamos ter quase certeza de que o ataque foi realizado 209.86.89.64.

Outro ponto a ser lembrado é que Alice usa o Yahoo! ([email protected]) e elasmtp-curtail.atl.sa.earthlink.netnão está no Yahoo! rede (você pode verificar novamente as informações IP Whois ). Portanto, podemos concluir com segurança que este e-mail não é de Alice e não devemos enviar seu dinheiro para as Filipinas.

Para encontrar o endereço IP:

Clique no triângulo invertido ao lado de Responder. Selecione Mostrar original.

Procure Received: fromseguido pelo endereço IP entre colchetes []. (exemplo Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com:)

Se você encontrar mais de um Recebido: dos padrões, selecione o último.

( Fonte )

Depois disso, você pode usar o site pythonclub , iplocation.net ou pesquisa de ip para descobrir a localização.

A maneira como você acessa os cabeçalhos varia entre os clientes de email. Muitos clientes permitem ver facilmente o formato original da mensagem. Outros (MicroSoft Outlook) tornam mais difícil.

Para determinar quem realmente enviou a mensagem, o caminho de retorno é útil. No entanto, pode ser falsificado. Um endereço de caminho de retorno que não corresponde ao endereço De é motivo de suspeita. Existem razões legítimas para que sejam diferentes, como mensagens encaminhadas de listas de discussão ou links enviados de sites. (Seria melhor se o site usasse o endereço de resposta para identificar a pessoa que encaminhava o link.)

Para determinar a origem da mensagem lida de cima para baixo através dos cabeçalhos recebidos. Pode haver vários. A maioria terá o endereço IP do servidor que recebeu o formulário de mensagem. Alguns problemas que você encontrará:

• Alguns sites usam programas externos para verificar mensagens que reenviam a mensagem após a verificação. Estes podem introduzir host local ou outros endereços estranhos.
• Alguns servidores ofuscam os endereços omitindo conteúdo.
• Alguns SPAM incluirão cabeçalhos falsos recebidos destinados a enganar você.
• O endereço IP privado (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) pode aparecer, mas apenas faz sentido na rede da qual eles vieram.

Você sempre deve poder determinar qual servidor na Internet enviou a mensagem para você. O rastreamento posterior depende da configuração dos servidores de envio.

Eu uso http://whatismyipaddress.com/trace-email . Se você usa o Gmail, clique em Mostrar original (em Mais, ao lado do botão Responder, copie os cabeçalhos, cole-os neste site e clique em Obter fonte. Você obterá as informações e o mapa de localização geográfica em troca

Também existem algumas ferramentas para analisar cabeçalhos de email e extrair dados de email para você,
por exemplo:

1. eMailTrackerPro

   que pode rastrear um email de volta à sua localização geográfica, incluindo filtro de spam

2. MSGTAG

3. PoliteMail

4. Super Email Marketing Software

5. Zendio