Como posso saber de onde veio realmente um e-mail? Existe alguma forma de o descobrir?
Já ouvi falar de cabeçalhos de correio electrónico, mas não sei onde posso ver cabeçalhos de correio electrónico, por exemplo no Gmail. Alguma ajuda?
Veja abaixo um exemplo de um esquema que me foi enviado, fingindo ser da minha amiga, afirmando que foi roubada e pedindo-me ajuda financeira. Mudei os nomes - sou “Bill”, e o burlão enviou um e-mail para bill@domain.com, fingindo ser alice@yahoo.com. Note-se que Bill encaminha o seu email para bill@gmail.com.
Primeiro, no Gmail, clique em show original:
Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129
[... I have cut the email body ...]
O email completo e os seus cabeçalhos serão abertos:
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
for <bill@gmail.com>
(version=TLSv1 cipher=RC4-SHA bits=128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Os cabeçalhos devem ser lidos cronologicamente de baixo para cima - os mais antigos estão em baixo. Cada novo servidor no caminho adiciona a sua própria mensagem - começando com Received. Por exemplo:
~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz
Isto diz que mx.google.com recebeu o correio de maxipes.logix.cz em Mon, 08 Jul 2013 04:11:00 -0700 (PDT).
Agora, para encontrar o real remetente do seu correio electrónico, deve encontrar o primeiro gateway de confiança - último ao ler os cabeçalhos a partir do topo. Comecemos por encontrar o servidor de correio do Bill. Para isso, consulte o registo MX para o domínio. Pode usar ferramentas online como Mx Toolbox , ou no Linux pode consultá-lo na linha de comando (note que o nome de domínio real foi alterado para domain.com):
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
E verá que o servidor de correio para domain.com é maxipes.logix.cz ou broucek.logix.cz. Assim, o último (primeiro cronologicamente) “salto” de confiança - ou último “registo recebido” de confiança ou o que quer que lhe chame - é este:
Received: from [168.62.170.129] (helo=laurence39)
by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
(envelope-from <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
Pode confiar nisto porque foi gravado pelo servidor de correio do Bill para domain.com. Este servidor obteve-o a partir do 209.86.89.64. Este pode ser, e muito frequentemente é, o verdadeiro remetente do e-mail - neste caso, o burlão! Pode verificar este IP numa lista negra . - Veja, ele está listado em 3 blacklists! Há ainda outro registo abaixo dele:
Mas tenha cuidado ao confiar que esta é a verdadeira fonte do correio electrónico. A queixa da lista negra poderia apenas ser acrescentada pelo burlão para apagar os seus vestígios e/ou lay a falsear o rasto. Existe ainda a possibilidade do servidor 209.86.89.64 ser inocente e apenas um retransmissor para o verdadeiro atacante no 168.62.170.129. Neste caso, 168.62.170.129 está limpo por isso podemos estar quase certos de que o ataque foi feito a partir de 209.86.89.64.
Outro ponto a ter em mente é que Alice usa Yahoo! (alice@yahoo.com) e elasmtp-curtail.atl.sa.earthlink.net não está na rede Yahoo! (pode querer verificar novamente o seu IP Whois information ). Portanto, podemos concluir com segurança que este e-mail não é da Alice, e não devemos enviar o seu dinheiro para as Filipinas.
Para encontrar o endereço IP:
Clique no triângulo invertido ao lado da Resposta. Seleccione Mostrar Original.
Procure Received: from seguido do endereço IP entre parênteses rectos []. (exemplo: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)
Se encontrar mais do que um Recebido: a partir de padrões, seleccione o último.
Fonte )
Depois disso, pode usar site pythonclub , iplocation.net ou ip lookup para descobrir a localização.
A forma como se chega aos cabeçalhos varia entre os clientes de correio electrónico. Muitos clientes permitem-lhe ver facilmente o formato original da mensagem. Outros (MicroSoft Outlook) tornam-na mais difícil.
Para determinar quem realmente enviou a mensagem, o caminho de retorno é útil. No entanto, pode ser falsificado. Um endereço do caminho de retorno que não corresponda ao endereço De é motivo de suspeita. Existem razões legítimas para que sejam diferentes, tais como mensagens encaminhadas de listas de correio, ou links enviados de sítios da web. (Seria melhor se o sítio web utilizasse o endereço Reply-to para identificar a pessoa que reencaminha a ligação).
Para determinar a origem da mensagem lida de cima para baixo através dos cabeçalhos recebidos. Pode haver vários. A maioria terá o endereço IP do servidor em que recebeu o formulário da mensagem. Alguns problemas que encontrará:
Deverá ser sempre possível determinar qual o servidor na Internet que lhe enviou a mensagem. O rastreio posterior depende da configuração dos servidores de envio.
Eu uso http://whatismyipaddress.com/trace-email . Se utilizar o Gmail, clique Mostrar original (em Mais, ao lado do botão Responder, copie os cabeçalhos, cole-os neste website e clique em Obter fonte. Receberá em troca a informação e o mapa da Geo-localização
também existem algumas ferramentas para analisar cabeçalhos de correio electrónico e extrair dados de correio electrónico para si, por exemplo:
MSGTAG
PoliteMail
Super Email Marketing Software
Zendio