Wie kann ich herausfinden, woher eine E-Mail wirklich stammt?

E-Mails werden gefälscht. Manchmal ist 'Bill' nicht wirklich Bill. Und manchmal schafft es die betrügerische E-Mail an Spam-Filtern vorbei und in Ihren Posteingang. Lass dich nicht täuschen. Finden Sie den wahren Absender heraus, indem Sie schnell Ihre E-Mail-Header analysieren. Die Superuser beiStapelaustauschsag dir wie.

Bundesliga-Spieler des Monats

Wie kann ich wissen, woher eine E-Mail wirklich stammt? Gibt es eine Möglichkeit, es herauszufinden? Ich habe von E-Mail-Headern gehört, weiß aber nicht, wo ich sie zum Beispiel in Gmail sehen kann. Irgendeine Hilfe?

Sehendie ursprüngliche frage.

The Nitty Gritty (Beantwortet von Tomas)

Unten sehen Sie ein Beispiel für einen Betrug, der an mich gesendet wurde, vorgibt, von meiner Freundin zu stammen, behauptete, sie sei ausgeraubt worden, und bat mich um finanzielle Hilfe. Ich habe die Namen geändert – ich bin 'Bill' und der Betrüger hat eine E-Mail an |_+_| gesendet und vorgibt, |_+_| zu sein. Beachten Sie, dass Bill seine E-Mail an |_+_| weiterleitet.

Klicken Sie zunächst in Gmail auf |_+_|:

Bild für den Artikel mit dem Titel Wie kann ich herausfinden, woher eine E-Mail wirklich stammt?

Die vollständige E-Mail und ihre Kopfzeilen werden geöffnet:

bill@domain.com

Die Überschriften sind chronologisch von unten nach oben zu lesen – die ältesten stehen ganz unten. Jeder neue Server auf dem Weg fügt seine eigene Nachricht hinzu – beginnend mit |_+_|. Beispielsweise:

alice@yahoo.com

Dies sagt, dass |_+_| hat die Mail von |_+_| . erhalten bei |_+_|.

Jetzt finden Sie dieRealAbsender Ihrer E-Mail müssen Sie das früheste vertrauenswürdige Gateway finden – das letzte, wenn Sie die Header von oben lesen. Beginnen wir damit, Bills Mailserver zu finden. Fragen Sie dazu den MX-Record für die Domain ab. Sie können Online-Tools wie MxToolbox verwenden oder unter Linux über die Befehlszeile abfragen (beachten Sie, dass der echte Domänenname in |_+_| geändert wurde):

bill@gmail.com

Und Sie werden sehen, dass der Mailserver für domain.com |_+_| . ist oder |_+_|. Daher ist der letzte (chronologisch erste) vertrauenswürdige 'Hop' - oder der letzte vertrauenswürdige 'empfangene Datensatz' oder wie auch immer Sie es nennen - dieser:

show original

Sie können dem vertrauen, da es von Bills Mailserver für |_+_| aufgezeichnet wurde. Dieser Server hat es von|_+_|. Dies könnte der wahre Absender der E-Mail sein und ist es sehr oft – in diesem Fall der Betrüger! Sie können diese IP auf einer Blacklist überprüfen. Es ist in drei schwarzen Listen aufgeführt! Darunter befindet sich noch ein weiterer Rekord:

Delivered-To: bill@gmail.com Received: by 10.64.21.33 with SMTP id s1csp177937iee; Mon, 8 Jul 2013 04:11:00 -0700 (PDT) X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071; Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Return-Path: Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]) by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59 for (version=TLSv1 cipher=RC4-SHA bits=128/128); Mon, 08 Jul 2013 04:11:00 -0700 (PDT) Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1; Authentication-Results: mx.google.com; spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com Received: by maxipes.logix.cz (Postfix, from userid 604) id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST) X-Original-To: bill@domain.com X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1 Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64]) by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44 for ; Mon, 8 Jul 2013 23:10:48 +1200 (NZST) Received: from [168.62.170.129] (helo=laurence39) by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67) (envelope-from ) id 1Uw98w-0006KI-6y for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400 From: 'Alice' Subject: Terrible Travel Issue.....Kindly reply ASAP To: bill@domain.com Content-Type: multipart/alternative; boundary='jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70' MIME-Version: 1.0 Reply-To: alice@yahoo.com Date: Mon, 8 Jul 2013 10:58:06 +0000 Message-ID: X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c X-Originating-IP: 168.62.170.129 [... I have cut the email body ...]

Aber seien Sie vorsichtig und vertrauen Sie darauf, dass dies die wahre Quelle der E-Mail ist. Die Blacklist-Beschwerde könnte einfach vom Betrüger hinzugefügt werden, um seine Spuren zu verwischen und/odereine falsche Spur legen. Es besteht immer noch die Möglichkeit, dass der Server |_+_| ist unschuldig und nur ein Relais für den echten Angreifer bei |_+_|. In diesem Fall |_+_| sauber ist, so dass wir fast sicher sein können, dass der Angriff von|_+_| ausgeführt wurde.

Ein weiterer zu beachtender Punkt ist, dass Alice Yahoo! (alice@yahoo.com) und |_+_| ist nicht auf Yahoo! Netzwerk (möglicherweise möchten Sie die IP-Whois-Informationen erneut überprüfen). Daher können wir mit Sicherheit den Schluss ziehen, dass diese E-Mail nicht von Alice stammt und wir ihr Geld nicht auf die Philippinen senden sollten.

Oder Sie können die Kopfzeilen in SpamCop einfügen und es die gesamte Entschlüsselung für Sie erledigen lassen. Sie senden auf Wunsch sogar eine SPAM-Benachrichtigung an den/die zuständigen Systemadministrator(en).

Alternativ können Sie auch das Header-Analysetool von Google verwenden.

Warum nicht einfach antworten? (Kommentar von Journeyman Geek)

Gefälschte E-Mails sind schmerzlich üblich – bis zu dem Punkt, an dem ich Leuten, die solche E-Mails erhalten, häufig rate, etwas zu fragen, von dem nur der Besitzer des E-Mail-Addies weiß, dass es falsch ist.

Die bewährte Methode besteht häufig darin, nicht zu antworten – eine Antwort (oder das Klicken auf einen Link oder das Laden externer Ressourcen, z. B. Bilder) kann Massen-Spammern einen Hinweis darauf geben, dass Ihre E-Mail-Adresse gültig ist und jemand sie tatsächlich liest.

Sind Sie mit den obigen Antworten nicht einverstanden? Sie möchten eigene Expertise einbringen? Kasseder ursprüngliche Beitrag, und weitere Fragen wie diese finden Sie unterSuperuser, die Q&A-Site für Computer-Enthusiasten und Power-User unterStapelaustausch. Und natürlich gernestell deine eigene Frage.