Wie kann ich herausfinden, woher eine E-Mail wirklich kommt?

Veröffentlicht von

Tessa Miller
8/23/13 17:00 UhrAbgereicht bis: CROWDHACKER
399.3K
42
5

E-Mails werden gefälscht. Manchmal ist „Bill“ nicht wirklich Bill. Und manchmal schafft es die betrügerische E-Mail auch über Spam-Filter in Ihren Posteingang. e mail absender ermitteln Lass dich nicht täuschen. Finden Sie den tatsächlichen Absender heraus, indem Sie Ihre E-Mail-Header schnell analysieren. Die Superuser bei Stack Exchange sagen Ihnen, wie.

Woher kann ich wissen, woher eine E-Mail wirklich kam? Gibt es eine Möglichkeit, es herauszufinden? Ich habe von E-Mail-Headern gehört, aber ich weiß nicht, wo ich sie sehen kann, zum Beispiel in Google Mail. Irgendwelche Hilfe?

Siehe die ursprüngliche Frage.

The Nitty Gritty (Antwort von Tomas)
Sehen Sie unten ein Beispiel für einen Betrug, der mir geschickt wurde, indem Sie vorgaben, von meiner Freundin zu sein, behaupteten, sie sei ausgeraubt worden und mich um finanzielle Hilfe baten. Ich habe die Namen geändert – ich bin „Bill“, und der Betrüger hat eine E-Mail an bill@domain.com geschickt, die vorgibt, alice@yahoo.com. zu sein. Beachten Sie, dass Bill seine E-Mail an bill@gmail.com. weiterleitet.

Klicken Sie zunächst in Google Mail auf Original anzeigen:

Die vollständige E-Mail und ihre Kopfzeilen werden geöffnet:

Geliefert an: bill@gmail.com
Erhalten: bis 10.64.21.33 mit SMTP-ID s1csp177937iee;
Mo, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Empfangen: bis 10.14.47.73 mit SMTP-ID s49mr24756966eeb.71.1373281860071;
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Rückweg: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Erhalten: von maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]))
von mx.google.com mit ESMTPS-ID j47si6975462eeg.108.2013.07.08.04.10.59
für <bill@gmail.com>>
(Version=TLSv1 Chiffre=RC4-SHA bits=128/128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Empfangene-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 ist weder erlaubt noch durch den Best-Erratensatz für die Domäne von SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentifizierungsergebnisse: mx.google.com;
spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 ist weder erlaubt noch durch den Best-Entscheidungsdatensatz für die Domain von SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Erhalten: von maxipes.logix.cz (Postfix, ab Userid 604)
ID C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: verzögert 00:06:34 durch SQLgrey-1.8.0.0-rc1
Erhalten: von elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net[209.86.89.64])
von maxipes.logix.cz (Postfix) mit ESMTP-ID B43175D3A44
für <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Erhalten: von[168.62.170.129] (helo=laurence39)
durch elasmtp-curtail.atl.sa.earthlink.net mit esmtpa (Exim 4.67)
(Umschlag – von <alice@yahoo.com>)
id 1Uw98w-0006KI-6y
für bill@domain.com; Mo, 08 Jul 2013 06:58:06 -0400
Von: „Alice“ <alice@yahoo.com>>
Betreff: Schreckliches Reiseproblem………Bitte antworten Sie so schnell wie möglich.
An: bill@domain.com
Inhaltstyp: mehrteilig/alternativ; boundary=“jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70″.
MIME-Version: 1.0
Antwort an: alice@yahoo.com
Verabredung: Mo, 8 Jul 2013 10:58:06 +000000
Nachrichten-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a3a350badd9bab72f9c350badd9bab72f9f9c350badd9bab72f9c350badd9bab72f9c
X-Originierungs-IP: 168.62.170.170.129
Ich habe den Text der E-Mail geschnitten.

Die Kopfzeilen sind chronologisch von unten nach oben zu lesen – älteste sind unten. Jeder neue Server auf dem Weg dorthin fügt seinen eigenen Nachrichten-Start mit Received hinzu. Zum Beispiel:

Erhalten: von maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1]))
von mx.google.com mit ESMTPS-ID j47si6975462eeg.108.2013.07.08.04.10.59
für <bill@gmail.com>>
(Version=TLSv1 Chiffre=RC4-SHA bits=128/128/128);
Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Dies besagt, dass mx.google.com die Mail von maxipes.logix.cz am Mon, 08 Jul 2013 04:11:00 -0700 (PDT) erhalten hat.

Aktuelles Video von LifehackerVIEW MORE >

Die besten Upgrades der Lifehacker-Mitarbeiter von 2018
17.12.18 12:30 UHR
Um nun den tatsächlichen Absender Ihrer E-Mail zu finden, müssen Sie den frühesten vertrauenswürdigen Gateway-Letzten finden, wenn Sie die Header von oben lesen. Beginnen wir damit, Bills Mailserver zu finden. Dazu wird der MX-Eintrag für die Domäne abgefragt. Sie können Online-Tools wie MxToolbox verwenden, oder unter Linux können Sie es auf der Kommandozeile abfragen (beachten Sie, dass der tatsächliche Domainname in domain.com geändert wurde):

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Und Sie werden sehen, dass der Mailserver für domain.com maxipes.logix.cz oder broucek.logix.cz ist. Daher ist der letzte (erste chronologisch) vertrauenswürdige „Hop“ – oder der letzte vertrauenswürdige „Received Record“ oder wie auch immer Sie ihn nennen – dieser:

Erhalten: von elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net[209.86.89.64])
von maxipes.logix.cz (Postfix) mit ESMTP-ID B43175D3A44
für <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

Sie können sich darauf verlassen, denn es war eine Art