Mindennapos dolognak számít, ha a csomagküldő szolgálatnál megnézzük, hogy milyen útvonalon jutott el a csomag a címzetthez. Kevésbé ismert tény, hogy ugyanezt megtehetjük a beérkező emailjeinkkel is.
Minden email rendelkezik egy fejléccel, amit a legtöbb email olvasó program elrejt előlünk. Ebben a fejlécben szerepelnek az eredeti feladót azonosító IP cím, valamint azok a szerverek, melyen a levél keresztül haladt az útján.
Miért jó ez?
Ha nem vagyunk biztosak egy email eredetében, akkor az email header megtekintésével lehetünk biztosak abban, hogy valóban a feladóként szereplő személy, cég küldte a levelet.
Az email fejléc elérésé programonként változik, ráadásul néha el is rejtik a menüt a kíváncsi olvasó elöl. Mégis érdemes rászánni az időt, hogy egyszer megtaláljuk.
Mit látunk a headerben?
Példaként azt a levelet mutatom meg, amit a Fehér Házból kaptam. Vajon tényleg a Fehér Házból jött? Lássuk a fejlécet!
Return-Path: <[email protected]> X-Original-To: chris@localhost Delivered-To: [email protected] Received: from ***** (localhost [127.0.0.1]) by ***** (Postfix) with ESMTP id 85253BCA for <chris@localhost>; Wed, 13 May 2009 20:20:12 +0200 (CEST) X-Original-To: [email protected] Delivered-To: [email protected] Received: from ***** [**.214.110.112] by ***** with POP3 (fetchmail-6.3.9-rc2) for <chris@localhost> (single-drop); Wed, 13 May 2009 20:20:12 +0200 (CEST) Received: from service.govdelivery.com (smailer1.service.govdelivery.com [208.42.190.242]) by ***** (Postfix) with ESMTP id 56ACA14D0004 for <[email protected]>; Wed, 13 May 2009 19:17:31 +0000 (UTC) Received: from service.govdelivery.com ([10.10.20.242]) by service.govdelivery.com (StrongMail Enterprise 4.1.1.4(4.1.1.4-47689)); Wed, 13 May 2009 14:17:09 -0500 X-VirtualServerGroup: Default X-MailingID: 1215495828::480211::1001::PRD-BUL-480211 ::[email protected]::121436 X-SMHeaderMap: mid="X-MailingID" X-Destination-ID: [email protected] X-SMFBL: aW5mb0BibG9ndmlsYWcuaHU= Content-Transfer-Encoding: 7bit Content-Type: multipart/alternative; boundary="----=_NextPart_001_AEA6_74B0DC51.19495CFF" x-subscriber: Gj7UxKFz94g7NmXt3tChryV7S96KbNUJ X-AccountCode: USEOPWH X-Mailer: bulletin X-TokenInfo-OBO: 32233 Errors-To: [email protected] Reply-To: President Barack Obama <[email protected]> MIME-Version: 1.0 Message-ID: <1242242104804.1225234857.2030401332. [email protected]> Subject: Health care news worth sharing Date: Wed, 13 May 2009 14:17:09 -0500 To: [email protected] From: President Barack Obama <[email protected]>
Keressük meg az első „Recieved: from” sort. Ez a localhoston futó SMTP szerver címe. Felismerhető a 127.0.0.1-es IP-ről.
A második „Recieved: from” pedig annak az SMTP szervernek a címe, amelyik kiszolgálja a levélcímünket. Ha nem Linux/Solaris alól nézed a leveleket, akkor valószínűleg ez lesz az első bejegyzés.
A példában a harmadik „Recieved: from„, a
Received: from service.govdelivery.com
(smailer1.service.govdelivery.com [208.42.190.242])
az az SMTP szerver, amin keresztül a levél elindult hozzánk. Kis kereséssel megtudhatjuk, hogy a http://www.govdelivery.com/ URL a Goverment-To-Citizen Communication Solutions-t rejti
*SMTP szerver: Simple Mail Transport Protocol Ezek a szerverek felelősek azért, hogy a levél eljusson a címzethez.
Valamivel lejjebb van egy olyan sor, hogy
X-Mailer: bulletin
Ez mutatja meg, hogy milyen levelező eszközzel küldték a levelet. Ha pl. ezt látjuk:
X-Mailer: YahooMailRC/1277.43 YahooMailWebService/0.7.289.10
akkor nem kell zseninek lenni ahhoz, hogy kitaláljuk, ezt a Yahoo Mail-ről küldték. A példa esetében a bulletin arra utal, hogy egy tömeges levélküldést lehetővé tévő programmal küldték el.
Received: from service.govdelivery.com
(smailer1.service.govdelivery.com [208.42.190.242])
Received: from service.govdelivery.com ([10.10.20.242])
by service.govdelivery.com (StrongMail
Enterprise 4.1.1.4(4.1.1.4-47689));
Wed, 13 May 2009 14:17:09 -0500
Ezekből a sorokból azonban sok mást is megtudhatunk. A levelet útjára indító szerver az internetről a 208.42.190.242-es IP címen található meg, míg a belső hálón a 10.10.20.242 a neve. A levél leküldésére a StrongMail megvalósítását használták.
Ha akarjuk, akkor kíváncsiságból megnézhetjük a DomainTools-zal, hogy az 208.42.190.242 IP címhez tartozó gép helyileg Minnesota államban van.
Ha ennél egyszerűbben akarjuk megjeleníteni a küldő gép adatait, akkor másoljuk be a fejlécet a Email Trace online szolgáltatáshoz, ami még azt is megmondja nekünk, hogy a kérdéses gép konkrétan Shakopee városban van.
Mikor van rá szükség?
Mindez akkor hasznos, ha kétséges a levél forrása. Pl. a PayPal biztos, hogy nem Kínából vagy Chiléből akar veled kapcsolatba lépni. Az se valószínű, hogy az OTP külföldről küldené neked a jelszókérő levelet. Ha rendszeresen egy adott országból kizárólag spameket kapsz, akkor letilthatod azt az országot is.