Hogyan kövessük az emailek útvonalát?


Mindennapos dolognak számít, ha a csomagküldő szolgálatnál megnézzük, hogy milyen útvonalon jutott el a csomag a címzetthez. Kevésbé ismert tény, hogy ugyanezt megtehetjük a beérkező emailjeinkkel is.

Minden email rendelkezik egy fejléccel, amit a legtöbb email olvasó program elrejt előlünk. Ebben a fejlécben szerepelnek az eredeti feladót azonosító IP cím, valamint azok a szerverek, melyen a levél keresztül haladt az útján.

Miért jó ez?

Ha nem vagyunk biztosak egy email eredetében, akkor az email header megtekintésével lehetünk biztosak abban, hogy valóban a feladóként szereplő személy, cég küldte a levelet.

Az email fejléc elérésé programonként változik, ráadásul néha el is rejtik a menüt a kíváncsi olvasó elöl. Mégis érdemes rászánni az időt, hogy egyszer megtaláljuk.

Mit látunk a headerben?

Példaként azt a levelet mutatom meg, amit a Fehér Házból kaptam. Vajon tényleg a Fehér Házból jött? Lássuk a fejlécet!

Return-Path: <[email protected]>
X-Original-To: chris@localhost
Delivered-To: [email protected]
Received: from ***** (localhost [127.0.0.1])
by ***** (Postfix) with ESMTP id 85253BCA
for <chris@localhost>; Wed, 13 May 2009
     20:20:12 +0200 (CEST)
X-Original-To: [email protected]
Delivered-To: [email protected]
Received: from ***** [**.214.110.112]
by ***** with POP3 (fetchmail-6.3.9-rc2)
for <chris@localhost> (single-drop); Wed,
     13 May 2009 20:20:12 +0200 (CEST)
Received: from service.govdelivery.com
     (smailer1.service.govdelivery.com [208.42.190.242])
by ***** (Postfix) with ESMTP id 56ACA14D0004
for <[email protected]>; Wed, 13 May 2009
     19:17:31 +0000 (UTC)
Received: from service.govdelivery.com ([10.10.20.242])
by service.govdelivery.com (StrongMail
     Enterprise 4.1.1.4(4.1.1.4-47689));
     Wed, 13 May 2009 14:17:09 -0500
X-VirtualServerGroup: Default
X-MailingID: 1215495828::480211::1001::PRD-BUL-480211
     ::[email protected]::121436
X-SMHeaderMap: mid="X-MailingID"
X-Destination-ID: [email protected]
X-SMFBL: aW5mb0BibG9ndmlsYWcuaHU=
Content-Transfer-Encoding: 7bit
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_AEA6_74B0DC51.19495CFF"
x-subscriber: Gj7UxKFz94g7NmXt3tChryV7S96KbNUJ
X-AccountCode: USEOPWH
X-Mailer: bulletin
X-TokenInfo-OBO: 32233
Errors-To: [email protected]
Reply-To: President Barack Obama
     <[email protected]>
MIME-Version: 1.0
Message-ID: <1242242104804.1225234857.2030401332.
     [email protected]>
Subject: Health care news worth sharing
Date: Wed, 13 May 2009 14:17:09 -0500
To: [email protected]
From: President Barack Obama
     <[email protected]>

Keressük meg az első „Recieved: from” sort. Ez a localhoston futó SMTP szerver címe. Felismerhető a 127.0.0.1-es IP-ről.

A második „Recieved: from” pedig annak az SMTP szervernek a címe, amelyik kiszolgálja a levélcímünket. Ha nem Linux/Solaris alól nézed a leveleket, akkor valószínűleg ez lesz az első bejegyzés.

A példában a harmadik „Recieved: from„, a

Received: from service.govdelivery.com
     (smailer1.service.govdelivery.com [208.42.190.242])

az az SMTP szerver, amin keresztül a levél elindult hozzánk. Kis kereséssel megtudhatjuk, hogy a http://www.govdelivery.com/ URL a Goverment-To-Citizen Communication Solutions-t rejti

*SMTP szerver: Simple Mail Transport Protocol Ezek a szerverek felelősek azért, hogy a levél eljusson a címzethez.

Valamivel lejjebb van egy olyan sor, hogy

X-Mailer: bulletin

Ez mutatja meg, hogy milyen levelező eszközzel küldték a levelet. Ha pl. ezt látjuk:

X-Mailer: YahooMailRC/1277.43 YahooMailWebService/0.7.289.10

akkor nem kell zseninek lenni ahhoz, hogy kitaláljuk, ezt a Yahoo Mail-ről küldték. A példa esetében a bulletin arra utal, hogy egy tömeges levélküldést lehetővé tévő programmal küldték el.

Received: from service.govdelivery.com
     (smailer1.service.govdelivery.com [208.42.190.242])

Received: from service.govdelivery.com ([10.10.20.242])
by service.govdelivery.com (StrongMail
     Enterprise 4.1.1.4(4.1.1.4-47689));
     Wed, 13 May 2009 14:17:09 -0500

Ezekből a sorokból azonban sok mást is megtudhatunk. A levelet útjára indító szerver az internetről a 208.42.190.242-es IP címen található meg, míg a belső hálón a 10.10.20.242 a neve. A levél leküldésére a StrongMail megvalósítását használták.

Ha akarjuk, akkor kíváncsiságból megnézhetjük a DomainTools-zal, hogy az 208.42.190.242 IP címhez tartozó gép helyileg Minnesota államban van.

Ha ennél egyszerűbben akarjuk megjeleníteni a küldő gép adatait, akkor másoljuk be a fejlécet a Email Trace online szolgáltatáshoz, ami még azt is megmondja nekünk, hogy a kérdéses gép konkrétan Shakopee városban van.

Mikor van rá szükség?

Mindez akkor hasznos, ha kétséges a levél forrása. Pl. a PayPal biztos, hogy nem Kínából vagy Chiléből akar veled kapcsolatba lépni. Az se valószínű, hogy az OTP külföldről küldené neked a jelszókérő levelet. Ha rendszeresen egy adott országból kizárólag spameket kapsz, akkor letilthatod azt az országot is.