Email pelacakan kembali ke sumber: Twisted Evil
menyebabkan i hate spammer ... Evil or Very Mad
Tanyakan kebanyakan orang bagaimana mereka menentukan siapa yang mengirim mereka pesan email dan respon hampir secara universal, "Omong-Dari baris." Sayangnya gejala ini yang sedang kebingungan di kalangan pengguna internet ke mana pesan-pesan tertentu berasal dan siapa yang menyebarkan spam dan virus. "Dari" header sedikit lebih daripada untuk menghormati orang yang menerima pesan. Orang menyebarkan spam dan virus jarang sopan. Singkatnya, jika ada pertanyaan tentang di mana pesan email tertentu berasal dari aman adalah untuk menganggap "Dari" header yang dipalsukan.
Jadi, bagaimana Anda menentukan di mana sebuah pesan benar-benar datang dari? Anda harus memahami bagaimana pesan email diletakkan bersama-sama dalam rangka untuk mundur pesan email. SMTP adalah protokol berbasis teks untuk mentransfer pesan di internet. Serangkaian header ditempatkan di depan porsi data pesan. Dengan menguji header biasanya Anda dapat mundur pesan ke jaringan sumber, kadang-kadang host sumber. Lebih rinci esai membaca header email dapat ditemukan.
Jika Anda menggunakan Outlook atau Outlook Express Anda dapat melihat header dengan mengklik kanan pada pesan dan memilih properti atau pilihan.
Di bawah ini tercantum dalam header pesan spam yang sebenarnya saya terima. Saya telah mengubah alamat email saya dan nama server saya untuk alasan yang jelas. Saya juga spasi ganda header untuk membuat mereka lebih mudah dibaca.
Return-Path:
X-Original-To: davar@example.com
Delivered-To: davar@example.com
Received: from 12-218-172-108.client.mchsi.com (12-218-172-108.client.mchsi.com [12.218.172.108])
oleh mailhost.example.com (Postfix) with SMTP id 1F9B8511C7
untuk
Received: from (HELO 0udjou) [193.12.169.0] oleh 12-218-172-108.client.mchsi.com with ESMTP id <536.806-74.276>; Sun, 16 Nov 2003 19:42:31 +0200
Message-ID:
Dari: "Maricela Paulson"
Reply-To: "Maricela Paulson"
Kepada: davar@example.com
Perihal: STOP-PAYING For Your PAY-PER-VIEW, Movie Channels, Mature Channels ... isha
Tanggal: Sun, 16 Nov 2003 19:42:31 +0200
X-Mailer: Internet Mail Service (5.5.2650.21)
X-Priority: 3
MIME-Version: 1.0
Content-Type: multipart / alternative; boundary = "MIMEStream = _0 211.404 _90873633350646_4032088448"
Menurut Dari header pesan ini dari Maricela Paulson di s359dyxxt@yahoo.com. Aku bisa menembakkan pesan ke abuse@yahoo.com, tapi itu akan membuang-buang waktu. Pesan ini tidak datang dari layanan email yahoo.
Header paling mungkin berguna dalam menentukan sumber sebenarnya dari sebuah pesan email adalah Received header. Menurut paling atas header Diterima pesan ini diterima dari host 12-218-172-108.client.mchsi.com dengan alamat ip server saya 21.218.172.108 oleh mailhost.example.com. Item penting untuk dipertimbangkan adalah pada titik apa dalam rantai apakah sistem email menjadi tidak dipercaya? Saya menganggap apa pun di luar server email sendiri menjadi sumber informasi yang dapat diandalkan. Karena header ini adalah yang dihasilkan oleh server email saya masuk akal bagi saya untuk menerimanya pada nilai nominal.
Diterima berikutnya header (yang secara kronologis pertama) menunjukkan remote server email menerima pesan dari host 0udjou dengan ip 193.12.169.0. Orang-orang yang tahu apa-apa tentang IP akan menyadari bahwa yang bukan merupakan alamat IP dari host yang valid. Selain itu, setiap hostname yang berakhir di client.mchsi.com tidak mungkin server email yang berwenang. Ini setiap tanda menjadi sistem klien retak.
Berikut ini adalah di mana kita mulai menggali. Secara default Windows adalah agak kurang di alat diagnostik jaringan, namun, Anda dapat menggunakan alat-alat pada untuk melakukan pengecekan sendiri.
Davar @ nqh9k: [/ home / Davar] $ whois 12.218.172.108
AT & T Worldnet Services ATT (NET-12-0-0-0-1)
12.0.0.0 - 12.255.255.255
Mediacom Communications Corp MEDIACOMCC-12-218-168-0-FLANDREAU-MN (NET-12-218-168-0-1)
12.218.168.0 - 12.218.175.255
# ARIN WHOIS database, last updated 2003-12-31 19:15
# Enter? untuk tambahan mencari petunjuk tentang ARIN's WHOIS database.
Aku juga dapat memverifikasi nama host dari server jauh dengan menggunakan nslookup, meskipun dalam contoh khusus ini, server email saya telah memberikan kedua alamat IP dan nama host.
Davar @ nqh9k: [/ home / Davar] $ nslookup 12.218.172.108
Server: localhost
Alamat: 127.0.0.1
Nama: 12-218-172-108.client.mchsi.com
Alamat: 12.218.172.108
Ok, whois Mediacom Communications menunjukkan bahwa memiliki yang menegaskan netblock dan nslookup alamat untuk pemetaan nama host dari server jauh ,12-218-172-108. Client.mchsi.com. Jika saya kata pengantar sebuah www di depan nama domain porsi dan konektor yang ke browser web, http://www.mchsi.com, saya mendapatkan situs web Mediacom.
Ada beberapa hal yang lebih memalukan bagi saya daripada marah menembakkan pesan kepada seseorang yang diduga bertanggung jawab atas masalah, dan menjadi salah. Ganda memeriksa siapa yang memiliki host remote alamat IP menggunakan dua alat yang berbeda (whois dan nslookup) Saya meminimalkan kesempatan untuk membuat diriku terlihat seperti idiot.
Sebuah sekilas pada situs web dan tampaknya mereka adalah ISP. Sekarang jika saya salin seluruh pesan termasuk header ke pesan email baru dan kirim ke abuse@mchsi.com dengan pesan singkat menjelaskan situasi, mereka dapat melakukan sesuatu tentang hal itu.
Tapi bagaimana Maricela Paulson? Ada benar-benar ada cara untuk menentukan siapa yang mengirim pesan, yang terbaik yang dapat Anda harapkan adalah untuk mengetahui apa yang tuan rumah mengirimnya. Bahkan dalam kasus PGP pesan ditandatangani tidak ada jaminan bahwa satu orang tertentu benar-benar menekan tombol kirim. Jelas menentukan siapa sebenarnya pengirim pesan email jauh lebih terlibat daripada membaca Dari header. Mudah-mudahan contoh ini dapat digunakan untuk beberapa forum lain tetap.
0 komentar:
Posting Komentar