Come posso scoprire la vera provenienza di un'email?

Vedi sotto un esempio di una truffa che mi è stata inviata, fingendo di essere da una mia amica, sostenendo che è stata derubata e chiedendomi un aiuto finanziario. Ho cambiato i nomi - io sono “Bill”, e lo scammer ha mandato una email a bill@domain.com, fingendo di essere alice@yahoo.com. Notate che Bill inoltra la sua email a bill@gmail.com.

Prima, in Gmail, clicca su show original:

Delivered-To: bill@gmail.com
Received: by 10.64.21.33 with SMTP id s1csp177937iee;
        Mon, 8 Jul 2013 04:11:00 -0700 (PDT)
X-Received: by 10.14.47.73 with SMTP id s49mr24756966eeb.71.1373281860071;
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Return-Path: <SRS0=Znlt=QW=yahoo.com=alice@domain.com>
Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)
Received-SPF: neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) client-ip=2a01:348:0:6:5d59:50c3:0:b0b1;
Authentication-Results: mx.google.com;
       spf=neutral (google.com: 2a01:348:0:6:5d59:50c3:0:b0b1 is neither permitted nor denied by best guess record for domain of SRS0=Znlt=QW=yahoo.com=alice@domain.com) smtp.mail=SRS0=Znlt=QW=yahoo.com=alice@domain.com
Received: by maxipes.logix.cz (Postfix, from userid 604)
    id C923E5D3A45; Mon, 8 Jul 2013 23:10:50 +1200 (NZST)
X-Original-To: bill@domain.com
X-Greylist: delayed 00:06:34 by SQLgrey-1.8.0-rc1
Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)
Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400
From: "Alice" <alice@yahoo.com>
Subject: Terrible Travel Issue.....Kindly reply ASAP
To: bill@domain.com
Content-Type: multipart/alternative; boundary="jtkoS2PA6LIOS7nZ3bDeIHwhuXF=_9jxn70"
MIME-Version: 1.0
Reply-To: alice@yahoo.com
Date: Mon, 8 Jul 2013 10:58:06 +0000
Message-ID: <E1Uw98w-0006KI-6y@elasmtp-curtail.atl.sa.earthlink.net>
X-ELNK-Trace: 52111ec6c5e88d9189cb21dbd10cbf767e972de0d01da940e632614284761929eac30959a519613a350badd9bab72f9c350badd9bab72f9c350badd9bab72f9c
X-Originating-IP: 168.62.170.129

[... I have cut the email body ...]

Si aprirà l'email completa e le sue intestazioni:

Received: from maxipes.logix.cz (maxipes.logix.cz. [2a01:348:0:6:5d59:50c3:0:b0b1])
        by mx.google.com with ESMTPS id j47si6975462eeg.108.2013.07.08.04.10.59
        for <bill@gmail.com>
        (version=TLSv1 cipher=RC4-SHA bits=128/128);
        Mon, 08 Jul 2013 04:11:00 -0700 (PDT)

Le intestazioni devono essere lette cronologicamente dal basso verso l'alto - le più vecchie sono in basso. Ogni nuovo server sulla strada aggiunge il proprio messaggio - iniziando con Received. Per esempio:

~$ host -t MX domain.com
domain.com MX 10 broucek.logix.cz
domain.com MX 5 maxipes.logix.cz

Questo dice che mx.google.com ha ricevuto la posta da maxipes.logix.cz a Mon, 08 Jul 2013 04:11:00 -0700 (PDT).

Ora, per trovare il mittente reale della tua email, devi trovare il primo gateway fidato - l'ultimo quando leggi gli header dall'alto. Cominciamo a trovare il server di posta di Bill. Per questo, interrogate il record MX del dominio. Puoi usare strumenti online come Mx Toolbox , o su Linux puoi interrogarlo sulla linea di comando (nota che il vero nome del dominio è stato cambiato in domain.com):

Received: from elasmtp-curtail.atl.sa.earthlink.net (elasmtp-curtail.atl.sa.earthlink.net [209.86.89.64])
    by maxipes.logix.cz (Postfix) with ESMTP id B43175D3A44
    for <bill@domain.com>; Mon, 8 Jul 2013 23:10:48 +1200 (NZST)

E vedrai che il server di posta per domain.com è maxipes.logix.cz o broucek.logix.cz. Quindi, l'ultimo (primo cronologicamente) “hop” fidato - o ultimo “Received record” fidato o come lo chiamate voi - è questo:

Received: from [168.62.170.129] (helo=laurence39)
    by elasmtp-curtail.atl.sa.earthlink.net with esmtpa (Exim 4.67)
    (envelope-from <alice@yahoo.com>)
    id 1Uw98w-0006KI-6y
    for bill@domain.com; Mon, 08 Jul 2013 06:58:06 -0400

Potete fidarvi di questo perché è stato registrato dal server di posta di Bill per domain.com. Questo server lo ha ricevuto da 209.86.89.64. Questo potrebbe essere, e molto spesso è, il vero mittente dell'email - in questo caso il truffatore! Puoi controllare questo IP su una lista nera . - Vedi, è elencato in 3 blacklist! C'è ancora un altro record sotto di esso:

Ma fai attenzione a credere che questa sia la vera fonte dell'email. Il reclamo nella lista nera potrebbe essere solo aggiunto dal truffatore per cancellare le sue tracce e/o giocare una falsa pista. C'è ancora la possibilità che il server 209.86.89.64 sia innocente e solo un relay per il vero attaccante a 168.62.170.129. In questo caso, 168.62.170.129 è pulito quindi possiamo essere quasi certi che l'attacco è stato fatto da 209.86.89.64.

Un altro punto da tenere a mente è che Alice usa Yahoo! (alice@yahoo.com) e elasmtp-curtail.atl.sa.earthlink.net non è sulla rete Yahoo! (potresti voler ricontrollare le sue informazioni IP Whois ). Quindi possiamo tranquillamente concludere che questa email non è di Alice, e non dovremmo inviare i suoi soldi nelle Filippine.

Per trovare l'indirizzo IP:

Clicca sul triangolo invertito accanto a Reply. Seleziona Mostra originale.

Cerca Received: from seguito dall'indirizzo IP tra parentesi quadre []. (esempio: Received: from [69.138.30.1] by web31804.mail.mud.yahoo.com)

Se trovi più di un Received: from patterns, seleziona l'ultimo.

Source )

Dopo di che, puoi usare pythonclub site , iplocation.net o ip lookup per trovare la posizione.

Il modo in cui si arriva alle intestazioni varia da un client di posta elettronica all'altro. Molti client ti permettono di vedere facilmente il formato originale del messaggio. Altri (MicroSoft Outlook) lo rendono più difficile.

Per determinare chi ha realmente inviato il messaggio, il percorso di ritorno è utile. Tuttavia, può essere spoofato. Un indirizzo Return-path che non corrisponde all'indirizzo From è motivo di sospetto. Ci sono ragioni legittime per cui sono diversi, come i messaggi inoltrati dalle mailing list, o i link inviati da siti web. (Sarebbe meglio se il sito web usasse l'indirizzo Reply-to per identificare la persona che inoltra il link).

Per determinare l'origine del messaggio leggi dall'alto verso il basso le intestazioni ricevute. Ce ne possono essere diversi. La maggior parte avrà l'indirizzo IP del server da cui hanno ricevuto il messaggio. Alcuni problemi che incontrerete:

• Alcuni siti usano programmi esterni per scansionare i messaggi che reinviano il messaggio dopo la scansione. Questi possono introdurre localhost o altri indirizzi strani.
  
• Alcuni server offuscano gli indirizzi omettendo il contenuto.
  
• Alcuni SPAM includono false intestazioni ricevute destinate a fuorviarti.
• Gli indirizzi IP privati (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) possono apparire, ma hanno senso solo sulla rete da cui provengono.

Dovresti essere sempre in grado di determinare quale server su Internet ti ha inviato il messaggio. Risalire più indietro dipende dalla configurazione dei server di invio.

Io uso http://whatismyipaddress.com/trace-email . Se usi Gmail, clicca su Show original (su More, accanto al pulsante Reply, copia le intestazioni, incollale su questo sito e clicca su Get source. Otterrai in cambio le informazioni di geolocalizzazione e la mappa

Inoltre ci sono alcuni strumenti per analizzare le intestazioni delle email ed estrarre i dati delle email per te, per esempio:

1. eMailTrackerPro

2. MSGTAG

3. PoliteMail

4. Super Email Marketing Software

5. Zendio