چه کسی این ایمیل را فرستاده است؟

1392/5/21
مهيار سوري
0

حتما برایتان زیاد پیش آمده که ببینید در عنوان یک رایانامه یا همان ایمیل خودمان یک آدرس ایمیل زده و ما به اتکا به آن اطلاعاتی را دریافت و ارسال کنیم. اما حقیقت این است که ارسال کننده اصلی ایمیل در عنوان قابل دیدن نیست و هر کسی می تواند هر رایانامه جعلی را آن جا وارد کند؛ این بحث به خودی خود مهم هست و هنگامی که به مسائل مهم مالی و اداری می رسد پر رنگ تر نیز می شود.
در این جا با “توماس” از SuperUser همراه می شویم و جزئیاتی دقیق از این مبحث با زیر شاخه ها برایمان توضیح داده می شود.

“””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””
به نمونه ای از رایانامه های کلاهبرداری که به من فرستاده شده دقت کنید، در اینجا وانمود شده که این ایمیل از طرف دوستم به من ارسال شده و ادعا کرده که پول هایش ربوده شده و نیاز به کمک مالی دارد. مثلا فرض می کنیم که بیل هستم. شخص کلاهبردار نیز رایانامه را به bill@domain.com ارسال کرده و وانمود کرده که alice@yahoo.com است و رایانامه اولی به bill@gmail.com فوروارد شده است.”
در ابتدا به جی میل رفته و نمایش اصلی (ٍShow Original) را کلیک کنید.
اکنون ایمیل کامل و سربرگ های آن مشابه زیر باز خواهد شد:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: “Alice” <alice@yahoo.com>
Subject: Terrible Travel Issue…..Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary=”jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70″
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[… در اینجا قسمت body ایمیل کپی شده است …]

به طور کلی هر سرور عنوان خاص خود را دارد و پیام خود را در ایمیل ها بازنویسی می کند و همانطور که مشاهده می کنید به ترتیب دارای اولویت هستند.

” Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

این متن اشاره به این دارد که that mx.google.com ایمیلی را در تاریخ 8 جولای روز دوشنبه 04:11:00 از maxipes.logix.cz دریافت نموده است.

اکنون برای پیدا کردن فرستنده اصلی رایانامه باید به آخرین GateWay مورد اعتماد رجوع کنید.برای مثال بیایید نگاهی به میل سرور بیل بیندازیم. برای این مورد باید MX Record کوئری خود را مد نظر قرار دهید. می توانید از بضی ابزار آنلاین استفاده کنید یا بر روی سیستم عامل لینوکس می توانید آن را روی کامند لاین کوئری کنید (دقت داشته باشید که دامین واقعی بر روی domain.com تغییر یافته باشد)

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

همانطور که مشاهده می کنید میل سرور این دامین maxipes.logix.cz یا broucek.logix.cz است. بنابراین آخرین هاپ یا رکورد یا هر چه آن را بنامید این خواهد بود:

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

اکنون می توانید به صحت آن اعتماد کنید چرا که توسط میل سرور بیل برای domain.com ثبت شده و آن را از 209.86.89.64. دریافت کرده است. تکنون با شناسایی آی پی می توانید وی را در یک لیست سیاه قرار دهید. همانطور که در زیر مشاهده می کنید او در سه لیست سیاه قرار دارد

Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

ولی این دلیل موثقی بر اعتماد کامل به آن نیست، چرا که شخص جعلی می تواند به آسانی با اضافه کردن آن، آثارش را از بین ببرد یا دنباله ای دروغین از خود به نمایش بگذارد. البته همچنان امکان بی تقصیر بودن سرور و تنها یک سر پوش بودن برای آی پی اصلی وجود دارد.
البته همیشه بهتر است که قبل از هر گونه عملی موقعیت مکانی آی پی اصلی را چک کنید تا از صحت و سقم فرد فرستنده مطمئن شویم.

“””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””””

دو کانتریوبیوتر دیگر “آمبریس و <ویجی” نیز پیشنهاد استفاده از SpamCop و Google’s Header Analysis Tool را برای دیکود کردن بهتر هدر های رایانامه ها را دادند…
آیا مورد دیگری نیز هست که مایلید ما را در جریان بگذارید؟ دست به کار شوید و در نظرات آن ها را به ما بگوئید
مانا باشید

دیدگاه خود را وارد کنید