Hvordan finne opprinnelsen til falske e-poster

Hvordan finne opprinnelsen til falske e-poster


Internett-protokoller som gjør e mulig ble aldri laget for godkjenning. Dette betyr spoofing avsenderinformasjon er en triviell oppgave for alle med litt kunnskap om hvordan Simple Mail Transfer Protocol (SMTP) fungerer. Selv om det er vanskelig å identifisere opprinnelsen til en e-post med 100% sikkerhet, er det noen måter du kan begynne å undersøke hvor en e-post kom fra.

Bruksanvisning

1 Viser hodeinformasjon for falske e-posten. Toppteksten inneholder blant annet historien om hvor dette budskapet har vært på vei til din innboks. Prosessen for å vise denne informasjonen varierer fra en e-post program til et annet. Noen ganger denne informasjonen er under lenker kalles "fulle headere", "Original Message", selv under meldingsegenskaper eller alternativer. Se Resources for mer informasjon om hvordan du finner dette med ulike e-postklienter.

2 Identifiser "Mottatte:" linjer i meldingshodet. Disse er lagt til overskrifter som e-post er gått fra en SMTP-server til en annen og er oppført i omvendt kronologisk rekkefølge. De skal vise Internet Protocol (IP) adressen til serveren meldingen ble mottatt "fra" og serveren den ble mottatt "av". Den siste "mottatt" entry er antagelig opphavet. Imidlertid vil smarte spoofers legge falske "mottatt" linjer for å dekke sine spor.

3 Fra og med første "fra" IP-adresse, kan du bruke nslookup verktøy (se Ressurser) for å matche IP-adressen til et domenenavn. Hvis du har et domenenavn fra hoder som ikke samsvarer med domenet funnet gjennom nslookup, er det mulig denne delen av header informasjon har blitt forfalsket. Hvis du er rimelig sikker på at du har funnet et forfalsket "mottatt" linje, er det en god sjanse for eventuelle senere "mottatt" informasjon vil være upålitelig også. I dette tilfellet, bør du stole på den siste "mottatt" linjen som er etterprøvbare.

4 Når du har en IP-adresse som du mener er opphavet til e-post, kan du bruke ulike geolocation verktøy tilgjengelig på Internett for å spore opp Internet Service Provider IP tilhører, kanskje til og med et geografisk område IP antas å være brukes i. IP-adresser endres og blir ofte delt av mer enn én person, noen ganger ikke engang på samme sted, så det er lite sannsynlig at du vil være i stand til å identifisere en person. I det minste kan du identifisere Internet Service Provider (ISP) hvor e-posten kommer fra.

Hint

  • Forfalsket informasjonen kan ha IP-adresser som ikke samsvarer domenenavnene de hevder å være knyttet til. De kan være formatert annerledes enn andre "Received" linjer, inneholder skrivefeil eller vise out-of-sekvens datoer og klokkeslett. Når du er i tvil, stole bare "Received" linjer du har vært i stand til å verifisere som legitim.
  • IP-adressen du kanskje tror tilhører opphavs et forfalsket melding kan faktisk være en uskyldig person eller organisasjon som har hatt sin IP-adresse kapret av spoofer til bruk i e-posthodet.